Czy możliwym jest zwolnienie dyscyplinarne za naruszenie przepisów RODO

Dodano w dniu Autor
Podziel się z innymi

Ciekawym zagadnieniem, na kanwie przepisów prawa pracy, jest możliwość zwolnienia dyscyplinarnego pracownika za naruszenie przepisów dotyczących RODO. Tutaj niewątpliwie trzeba być bardzo ostrożnym, bowiem okoliczności danego przypadku zdecydują o tym, czy zachowanie pracownika można uznać za ciężkie naruszenie obowiązków, a tym samym mogłoby to być podstawą do zwolnienia dyscyplinarnego. W tej sytuacji w grę wchodzić również może poniesienie przez pracownika odpowiedzialności porządkowej bądź też materialnej.

Co jest zatem istotne w kontekście naruszenia przepisów RODO, a zwolnienia pracownika?

Zasadniczo odpowiedzialność za zapewnienie bezpieczeństwa danych osobowych, przetwarzanych przez pracodawcę na gruncie przepisów RODO, ponosi zatrudniający, działając jako administrator bądź też podmiot przetwarzający dane. Niewątpliwie jednak mogą zdarzyć się sytuacje, gdy pracownik odmawia stosowania się do standardów przyjętych przez pracodawcę i przyczynia się do naruszenia bezpieczeństwa danych osobowych.

Zgodnie z kodeksem pracy, obowiązkami pracownika jest między innymi:

  • dbałość o dobro zakładu pracy
  • zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę
  • przestrzeganie tajemnic określonych w odrębnych przepisach
  • stosowanie się do poleceń przełożonych

Ważnym jest tutaj, iż za tymi ogólnymi stwierdzeniami kryją się również obowiązki związane z zapewnieniem bezpieczeństwa danych osobowych w przedsiębiorstwie oraz przestrzeganie zasad obowiązujących w danym zakładzie pracy w tym zakresie.

W praktyce wszystko to oznacza, iż pracownik ma obowiązek nie tylko zapoznać się ze standardami i procedurami przetwarzania danych osobowych, wprowadzonych u pracodawcy, ale także stosować się do nich. Działania takie mają służyć uniknięciu sytuacji, gdzie na skutek zaniedbania bądź umyślnego działania pracownika, pracodawca poniesie konsekwencje prawne, a co za tym idzie, również finansowe, z tytułu naruszenia przepisów o ochronie danych osobowych.

Niewątpliwie, zgodnie z przepisami, to pracodawca jako administrator lub podmiot przetwarzający ponosi odpowiedzialność wobec prezesa organu nadzoru, czyli Urzędu Ochrony Danych Osobowych oraz podmiotu danych, w razie ich niezgodnego z prawem przetwarzania. Nie znaczy to jednak, iż nie może on pociągnąć do odpowiedzialności obecnego bądź też byłego pracownika, jeśli będzie w stanie wykazać jego winę i przyczynienie się do naruszenia przepisów. W tym zakresie przepisy kodeksu pracy w sposób szczególny określają możliwość wyciągnięcia konsekwencji.

Pamiętać należy o tym, iż pracodawca jako administrator danych, odpowiada za prawidłowe przetwarzanie danych w relacji z organem nadzoru i podmiotem danych, w szczególności na podstawie przepisów RODO i ustawy o ochronie danych osobowych. Natomiast odpowiedzialność pracownika względem pracodawcy w tym zakresie kształtują przepisy kodeksu pracy, dotyczące odpowiedzialności porządkowej i majątkowej oraz te dotyczące rozwiązywania umów o pracę. To właśnie na ich podstawie pracodawca ma możliwość wyciągnięcia konsekwencji wobec pracownika, który dopuścił się niezgodnego z przepisami bądź też zasadami obowiązującymi w danym przedsiębiorstwie, przetwarzania danych.

Jakie zatem możliwości ma pracodawca w sytuacji, gdy pracownik dopuścił się niezgodnego z przepisami zachowania dotyczącego ochrony danych osobowych?

Co do zasady, w przypadku każdego nieprawidłowego zachowania pracownika, w zależności od jego charakteru, pracodawca ma możliwość wyboru spośród narzędzi przyznanych mu przez przepisy prawa pracy. W zakresie odpowiedzialności porządkowej nieprzestrzeganie zasad prawidłowego przetwarzania danych osobowych może w konkretnym przypadku skutkować karą upomnienia lub nagany. Jeżeli jednak pracownik swym zachowaniem wyrządził pracodawcy szkodę, to wówczas może on ponieść również odpowiedzialność majątkową. Odpowiedzialność ta mieści się w granicach rzeczywistej straty pracodawcy i ogranicza się tylko do normalnych następstw postępowania pracownika, z którego ona wynikła. Poza tym, co istotne w kontekście odpowiedzialności z tytułu ochrony danych osobowych, nie dotyczy ona ryzyka związanego z działalnością pracodawcy.

Niewątpliwie też nie w każdej sytuacji w ten sposób pracownik będzie w całości w stanie zrekompensować pracodawcy poniesioną szkodę, a co do zasady górną granicę odpowiedzialności majątkowej stanowi równowartość trzykrotności wynagrodzenia pracownika, jakie otrzymywał w momencie naruszenia przepisów. Wyjątkiem, który pozwalałby na pełną kompensatę, jest sytuacja, gdzie pracownik dopuścił się naruszenia w sposób umyślny.

Niezależnie jednak od odpowiedzialności porządkowej czy materialnej, konkretny przypadek naruszenia zasad bezpieczeństwa danych osobowych skutkować może decyzją o wypowiedzeniu umowy o pracę bądź też nawet o zwolnieniu dyscyplinarnym. Tutaj jednak wybór odpowiedniego trybu rozwiązania umowy w konkretnym przypadku winien zostać poprzedzony dogłębnym zbadaniem i oceną wszystkich okoliczności sprawy.

W powyższym aspekcie warto powiem zwrócić uwagę na jedno z orzeczeń Sądu Najwyższego mianowicie wyrok z 10 maja 2018 roku (sygn. akt II PK 76/17), gdzie sędziowie stwierdzili, iż: „Stworzenie przez pracownika stanu, w którym istnieje potencjalna możliwość dostępu osób trzecich do podlegających ochronie danych osobowych, stanowi zagrożenie interesów pracodawcy. Uzasadnioną przyczyną rozwiązania z pracownikiem umowy o pracę w trybie art. 52 par. 1 pkt. 1 kodeksu pracy może być także zawinione działanie pracownika powodujące samo zagrożenie interesów pracodawcy. Tak więc uznanie, że zachowanie pracownika nie wypełnia znamion czynu niedozwolonego (…) z art. 51 ust. 1 ustawy o ochronie danych osobowych, nie przekreśla jako zakwalifikowania go jako ciężkie naruszenie podstawowych obowiązków pracowniczych. Jeśli zaś chodzi o tajemnicę przedsiębiorstwa, w tym przypadku również ocena zagrożenia interesów pracodawcy nie może być rozpatrywana wyłącznie na gruncie prawnokarnym (…), ale też w ujęciu cywilistycznym rozumianym jako narażenie pracodawcy na szkodę w związku z potencjalną możliwością wykorzystania tajemnicy przedsiębiorstwa przez osobę trzecią.”

Z kolei sędziowie Sądu Najwyższego w wyroku z 4 kwietnia 2017 roku (sygn. akt II PK 37/16) ocenili, iż pracownik przetwarzający dane osobowe poza zakresem upoważnienia udzielonego przez administratora, dopuszcza się ciężkiego naruszenia podstawowych obowiązków pracowniczych i to nawet w sytuacji, gdy zachowuje poufność danych.

Z obu tych orzeczeń jasno wynika, iż jeśli pracownik nie spowodował jeszcze realnej szkody pracodawcy, a jedynie swym zachowaniem naraził go na nią, bezpieczniejszym dla pracodawcy pod kątem wykazania słuszności swojej decyzji przed sądem pracy może okazać się wypowiedzenie umowy o pracę, z uwagi na zachowanie powodujące utratę zaufania do pracownika. Nie warto zatem od razu w takiej sytuacji sięgać po zwolnienie dyscyplinarne.

Jak jeszcze ocenić możliwość zwolnienia dyscyplinarnego pracownika za naruszenie przepisów dotyczących RODO?

W powyższym aspekcie warto również zważyć na wyrok Sądu Rejonowego w Toruniu z 28 grudnia 2018 roku (sygn. akt IV P 364/18), gdzie sędziowie stwierdzili, iż: „Odmowa zgody na wdrożenie procedur związanych z wejściem w życie rozporządzenia RODO nie może skutkować dyscyplinarnym rozwiązaniem umowy o pracę. Możliwe jest w tej sytuacji wypowiedzenie umowy o pracę.”

W wyroku tym sędziowie stwierdzili ponadto, iż odmowa podpisania przez pracownika oświadczenia o zapoznaniu się z obowiązującymi u pracodawcy zasadami bezpieczeństwa danych osobowych oraz zobowiązane do ich przestrzegania oznacza, że mamy do czynienia z zagrożeniem, że pracownik nie ma stosownej wiedzy w tym przedmiocie, bądź że takową posiada, lecz nie będzie w praktyce jej wykorzystywał. I taka sytuacja, zdaniem sędziów, uzasadnia niezwłoczne odsunięcie takowego pracownika od pracy, a nawet wypowiedzenie umowy, ponieważ rodzi obawę czy pracownik będzie postępował zgodnie z zasadą dbałości o dobro zakładu pracy.

Niewątpliwie pracodawca podejmując decyzję o pociągnięciu do odpowiedzialności pracownika z powodu naruszenia standardów bezpieczeństwa danych osobowych oraz o tym jakie kroki tutaj poweźmie, koniecznie ustalić musi, czy można przypisać pracownikowi winę w tym zakresie.

Bardzo istotnym jest, iż nie każde naruszenie bezpieczeństwa danych osobowych w przedsiębiorstwie, przy czym nawet takie, które będzie skutkować koniecznością poinformowania o nim prezesa UODO oraz samego podmiotu danych, daje podstawy do pociągnięcia do odpowiedzialności pracownika, który je spowodował.

W sytuacji bowiem, gdy pracownik omyłkowo ujawnił dane osobowe na zewnątrz osobie do tego nieupoważnionej, utracił dane pomimo stosowania się do obowiązujących w przedsiębiorstwie procedur i stosowania odpowiednich środków bezpieczeństwa, a zwłaszcza, jeśli do naruszenia doszło na skutek powodów leżących po stronie organizacji, trudno będzie mówić o jego zawinieniu, które zawsze jest podstawowym warunkiem pociągnięcia pracownika do odpowiedzialności porządkowej, materialnej bądź też zwolnienia dyscyplinarnego.

Podsumowując, zasadniczo możliwym jest, aby wobec pracownika, który dopuścił się naruszenia przepisów dotyczących ochrony danych osobowych, zastosować zwolnienie dyscyplinarne bez wypowiedzenia. Jednakże nad wyraz istotne są okoliczności danego przypadku, a szczególnie to, czy można udowodnić winę pracownika oraz dowieść tego, czy jego zachowanie było ciężkim naruszeniem obowiązków pracowniczych. Poza tym warto wiedzieć, iż poza odpowiedzialnością w postaci zwolnienia pracownika, możliwa jest również jego odpowiedzialność materialna oraz porządkowa. Niewątpliwie podejmują decyzję o zwolnieniu dyscyplinarnym pracownika wskutek naruszenia przez niego przepisów dotyczących RODO trzeba być bardzo ostrożnym i mieć pewność, że pracownik rzeczywiście jest winnym ciężkiego naruszenia obowiązków pracowniczych.