Odpowiedzialność pracownika za wyciek danych osobowych w świetle RODO i Kodeksu pracy

Wyciek danych osobowych

Przedstawię po kolei zagadnienia prawne, które należy przeanalizować, aby odpowiedzieć na pytanie, czy sytuacja, która się zdarzyła, może pociągnąć za sobą konsekwencje dla Pani. Przede wszystkim należy się odwołać do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawy.

Przede wszystkim, odwołując się do przepisów, zgodnie z art. 4 ust. 1 RODO, „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

Tak więc mamy do czynienia z danymi osobowymi w połączeniu z danymi medycznymi, gdyż skierowanie sugerowało, jakie problemy medyczne ma pacjent. 

Wyciek danych zaś oznacza, że dane osobowe zostały upublicznione. Wiąże się to z ryzykiem, że osoby nieuprawnione mogły wejść w ich posiadanie. Tutaj sytuacja nie jest do końca jasna. Często wysłana wiadomość e-mail pod niepoprawnie wpisany adres „wraca” do osoby wysyłającej z adnotacją, że adres nie jest właściwy. Nie wiadomo więc, czy do wycieku faktycznie doszło, czy ktoś miał szansę zapoznać się z danymi. Pacjent oskarżył przychodnię o wyciek danych, ale nie wiadomo, czy zgłosił wyciek do odpowiednich organów.

Wedle przepisów RODO „każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę” (art. 82 ust. 1). Nie widzę także podstaw, aby pacjent domagał się odszkodowania w związku z wyciekiem, bo nie odniósł na jego skutek żadnej szkody.

Podsumowując ten punkt, nie wiadomo, czy do rzeczywistego wycieku faktycznie doszło.

Konieczność szyfrowania przesyłanych plików

Artykuł 32 rozporządzenia RODO:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

Przede wszystkim należy zaznaczyć, iż powyższy przepis nie nakłada obowiązku szyfrowania, a jedynie zaznacza, że to administrator oraz podmiot przetwarzający są odpowiedzialni za podjęcie decyzji, w jaki sposób będą chronić dane. Kolejna kwestia jest taka, że ustawa tą odpowiedzialnością obciąża administratora danych oraz podmiot przetwarzający. Zgodnie z przyjętą praktyką administratorem lub podmiotem przetwarzającym jest prawdopodobnie Pani pracodawca. Pani jako pracownik jest osobą przetwarzającą dane z ich upoważnienia. Z Pani wiadomości wynika, iż szyfrowanie danych nie jest w Pani miejscu pracy wprowadzone, co oznacza, że podmioty odpowiedzialne nie podjęły decyzji, aby w ten sposób chronić dane. Trudno, aby Pani samodzielnie podjęła decyzję o szyfrowaniu danych, skoro pracodawca, a więc podmiot odpowiedzialny, tego nie wymaga.

Podsumowując ten punkt, nie poniesie Pani konsekwencji na gruncie przepisów o RODO. Nie jest Pani podmiotem, na którym ciążył obowiązek ochrony danych. To pracodawca powinien wdrożyć odpowiednie praktyki.

Zwolnienie dyscyplinarne na gruncie prawa pracy

Ostatnia kwestia wymagająca analizy to możliwość zwolnienia dyscyplinarnego. Należy się odwołać do art. 52 Kodeksu pracy:

„§ 1. Pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie:

1) ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych;

2) popełnienia przez pracownika w czasie trwania umowy o pracę przestępstwa, które uniemożliwia dalsze zatrudnianie go na zajmowanym stanowisku, jeżeli przestępstwo jest oczywiste lub zostało stwierdzone prawomocnym wyrokiem;

3) zawinionej przez pracownika utraty uprawnień koniecznych do wykonywania pracy na zajmowanym stanowisku”.

W mojej ocenie nie ma możliwości do wdrożenia wobec Pani takiego trybu zwolnienia. Nie doszło tutaj do ciężkiego naruszenia obowiązków pracowniczych, ponadto, jak już zostało ustalone, szyfrowanie danych nie było Pani obowiązkiem.

Nie wiem, jak pracodawca zareaguje na tę sytuację, ale nie widzę większych powodów do obaw. Jeśli doszłoby do tego, iż pracodawca wypowiedziałby Pani umowę, musiałby wskazać powód, co powinno zostać przez Panią skonsultowane z prawnikiem. W świetle przepisów nie popełniła Pani błędu dającego możliwość zwolnienia Pani.

Źródła:

1. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych - Dz.U. 2018 poz. 1000