Kohl Investments SA zajmuje się projektowaniem, produkcją i dystrybucją odzieży. Spółka zatrudnia niemal 1100 osób. Przy prowadzeniu tak dużego przedsiębiorstwa szczególnie istotne jest to, aby zapewnić wysoki poziom bezpieczeństwa danych osobowych pracowników, w tym zwłaszcza przetwarzanych przy okazji procesów rekrutacyjnych. Procesy te bowiem w sposób znaczący ingerują w prywatność zarówno obecnych, jak i potencjalnych pracowników.
Dziennik Gazeta Prawna
Sławomir Rak, członek zarządu Kohl Investments SA, spotkał się z Olgą Dobosz, dyrektor ds. kadr i płac, i Łukaszem Zawiślakiem, prawnikiem, w celu omówienia sposobu dalszego postępowania w sprawie incydentu, który miał miejsce kilka dni wcześniej. Asystentka pani dyrektor, Joanna Braś, miała za zadanie przygotować formularze potrzebne do zgłoszenia na szkolenia BHP trzydziestu nowo zatrudnionych pracowników, a także uporządkować dokumentację, jaka została zgromadzona podczas zakończonego procesu rekrutacyjnego, w którym brało udział ponad stu kandydatów. Wspomniane formularze zawierały ich dane osobowe, tj. imię, nazwisko, datę i miejsce urodzenia, stanowisko, nazwę pracodawcy oraz termin rozpoczęcia pracy. Asystentka w ostatnim czasie miała bardzo dużo pracy, gdyż proces rekrutacyjny spółka prowadziła we własnym zakresie, bez wsparcia rekruterów zewnętrznych. Chciała dokończyć przygotowanie formularzy w domu (gdyż wiedziała, że bez nich nie będzie możliwe przeprowadzenie szkolenia), postanowiła więc zgrać robocze wersje dokumentów na niezaszyfrowany przenośny dysk zewnętrzny, który pospiesznie wrzuciła do torebki i opuściła miejsce pracy. Zabrała też ze sobą segregator z dokumentacją rekrutacyjną z nadzieją, że w jej porządkowaniu pomoże jej siostra. W domu zorientowała się jednak, że w torebce nie ma nośnika z danymi. Poprosiła więc siostrę o zajęcie się dokumentacją kandydatów odrzuconych w procesie rekrutacyjnym, sama natomiast wróciła do pracy w nadziei, że jednak dysk pozostał na biurku. Niestety dysku nie było. Po powrocie do domu siostra powiedziała jej, że dzwoniła do kilku osób, których numery telefonów były podane w formularzach rekrutacyjnych, proponując im zatrudnienie u swojego pracodawcy. Jednocześnie wyraziła zdziwienie, jak można było odrzucić tak doświadczone zawodowo osoby. Po dwóch dniach asystentka poinformowała dyrektor ds. kadr i płac o zaistniałej sytuacji, gdyż dysk się nie znalazł, a zbliżała się inwentaryzacja. Co więcej, dwie osoby, które uczestniczyły w procesie rekrutacyjnym, zgłosiły się do spółki z pretensjami, jak ich dane mogły zostać ujawnione zupełnie innej firmie, do której nie aplikowali. Niedoszli pracownicy grozili spółce zawiadomieniem organów ścigania.
W pierwszej części spotkania omówiono sposoby możliwie jak najszybszego rozwiązania tej kłopotliwej sytuacji (na gruncie obecnie obowiązujących przepisów – m.in. wypłatę ewentualnych rekompensat dla kandydatów). W trakcie rozmowy niepokój Sławomira Raka i Olgi Dobosz wzbudziło jednak to, co by było, gdyby incydent z dyskiem miał miejsce w chwili, gdy w Polsce będzie już stosowane RODO i nowe przepisy ustawowe o ochronie danych (obecnie na etapie projektu). Kwestie te zostały poruszone w drugiej części spotkania.
● ETAP 1 Identyfikacja i zgłoszenie incydentu
– Czyli sytuacja wygląda tak: Joanna Braś, asystentka Olgi, zgubiła niezaszyfrowany przenośny dysk zewnętrzny, na którym znajdowały się dane osobowe trzydziestu nowo zatrudnionych pracowników. A jakby tego było mało, udostępniła dokumenty rekrutacyjne osobie nieupoważnionej, która uczyniła z nich własny użytek – podsumował Sławomir Rak, członek zarządu. – W związku z tym zastawiam się, co musielibyśmy zrobić w tej sytuacji – już na gruncie nowych przepisów o ochronie danych? Czy powinniśmy gdzieś zgłosić taki incydent? Jakie groziłyby nam kary i pod jakimi warunkami?
– Spokojnie – przerwał mu Łukasz Zawiślak. – Zacznijmy od początku. Otóż zgodnie z nowymi przepisami – mam tutaj na myśli RODO, czyli ogólne rozporządzenie o ochronie danych nr 2016/679 z 27 kwietnia 2016 r. oraz rządowy projekt ustawy o ochronie danych osobowych – wszelkie naruszenia ochrony danych osobowych podlegają zgłoszeniu do nowego Urzędu Ochrony Danych Osobowych (UODO).
– Ale kto ma zgłosić takie naruszenie? – wtrąciła Olga Dobosz.
– To obowiązek administratora danych – odpowiedział prawnik. – W zaistniałej sytuacji będzie nim Kohl Investments SA. W zasadzie nie ma wątpliwości, że pracodawca jest administratorem danych swoich pracowników i innych osób, których dane osobowe są przetwarzane w związku z zatrudnieniem.
CO NA TO PRAWO? RADA 1
– A kiedy trzeba zgłosić naruszenie? – zapytał Sławomir Rak, wyraźnie zaniepokojony.
– Gdyby nowe przepisy już obowiązywały, musielibyście to uczynić bez zbędnej zwłoki, nie później jednak niż do 72 godzin, liczonych od stwierdzenia naruszenia. Podkreślę jeszcze raz, że termin liczymy od stwierdzenia naruszenia, a nie, jak się często upraszcza, od wystąpienia zdarzenia. Macie szczęście, że jest jeszcze trochę czasu do 25 maja, kiedy nowe przepisy trzeba będzie bezwzględnie stosować. Po tej dacie bylibyście dodatkowo zobowiązani do poinformowania o tym osób, których dane zostały utracone czy też ujawnione osobie postronnej. Im więcej danych osobowych przetwarza pracodawca, tym większe jest ryzyko naruszenia – stanowczo odpowiedział prawnik.
– Dobrze, że obowiązująca ustawa nie przewiduje obowiązku zawiadomienia generalnego inspektora ochrony danych osobowych o incydencie – wtrącił mocno już zdenerwowany Sławomir.
– To prawda – przyznał mecenas Łukasz Zawiślak. – Ale dysk się jeszcze nie znalazł, a co więcej, nie wiemy, co jeszcze się może okazać. Z tego, co mówicie, w dziale kadr i płac panuje dość duży chaos, a nadmiar obowiązków utrudnia pracownikom sukcesywne porządkowanie dokumentacji pracowników i kandydatów. A jak już mówiłem, obowiązek zawiadomienia powstaje po stwierdzeniu naruszenia.
– Teraz to ja już nie będę spać – wtrąciła się ze łzami w oczach Olga. – Moje pracownice w dziale często kończą pracę w domu i korzystają z prywatnego sprzętu... Sama nie wiem, co może się znajdować poza firmą...
● ETAP 2 Ustalenie odpowiedzialności
– A co z odpowiedzialnością za naruszenie ochrony danych osobowych? – zapytał Sławomir Rak. – Interesuje mnie, kto ponosiłby odpowiedzialność za to, co się stało. Przyznam, że nie miałem pojęcia, jak poważna jest sytuacja i jak duża jest skala zaniechań po naszej stronie.
– Otóż odpowiedzialność za każde naruszenie RODO ponosi co do zasady administrator – zaczął Łukasz Zawiślak.
– Jak to? To moja asystentka nie poniosłaby odpowiedzialności? – wtrąciła wyraźnie zdezorientowana Olga. – Przecież nie udzieliłam jej zgody na zgranie na dysk formularzy ani na zabranie z pracy segregatora z dokumentacją rekrutacyjną. Jak to możliwe, żeby cała spółka miała odpowiadać za jej lekkomyślność?
– Niestety nie jest tak, jak pani myśli, pani dyrektor – odpowiedział mecenas. – To administrator, czyli w naszym przypadku pracodawca, jest odpowiedzialny za wprowadzenie stosownych zasad ochrony danych osobowych, oczywiście stosownych do zagrożeń. Z tego, co mi wiadomo, nie było takich zasad, a więc asystentka mogła przypuszczać, że wynoszenie danych nie jest niczym nagannym. Musicie zaś pamiętać, że zgodnie z art. 29 RODO każda osoba działająca z upoważnienia administratora, mająca dostęp do danych osobowych, przetwarza je na polecenie administratora. Powinniście bezwzględnie uporządkować zasady postępowania z danymi osobowymi w dziale i wydać pracownikom polecenia i szczegółowe instrukcje.
– Ale co w takim wypadku grozi Joannie Braś? – zapytał Sławomir Rak.
– Tego typu naruszenie może już na tę chwilę uzasadniać rozwiązanie umowy o pracę w trybie art. 52 par. 1 pkt 1 kodeksu pracy, bowiem zachowanie asystentki można uznać za ciężkie naruszenie obowiązków pracowniczych – wskazał Łukasz. – Mam tu na myśli art. 100 par. 2 pkt 4 k.p., tj. obowiązek dbałości o dobro zakładu pracy i zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
– A czy możemy już obecnie dochodzić od niej naprawienia szkody? – dopytywał członek zarządu.
– Tak, w mojej ocenie mielibyście prawo podnieść roszczenie regresowe, choć raczej w ograniczonej wysokości, czyli do wysokości trzymiesięcznego wynagrodzenia pracownicy. Trudno tu bowiem dopatrywać się winy umyślnej przy wykonywaniu obowiązków pracowniczych.
– Aż boję się zapytać, ale skoro są podstawy do zwolnienia dyscyplinarnego mojej asystentki – zaczęła wyraźnie zdenerwowana Olga – to czy ja również ponoszę odpowiedzialność? Przyznam szczerze, że nawet nie miałam czasu, żeby moją asystentkę przeszkolić z tematów związanych z ochroną danych. Sytuacja, w której powierzałam jej jakąś pracę merytoryczną, należała do rzadkości. Tak nam się naskładało pracy, że nie było innego wyjścia.
– Niestety nie mam dobrej informacji – zaczął Łukasz Zawiślak. – Obowiązkiem osoby na stanowisku kierowniczym jest odpowiednio przeszkolić osobę, której zleca się określone czynności związane z przetwarzaniem danych osobowych, lub zadbać o jej właściwe przeszkolenie. A pozostałe osoby były przeszkolone? – zapytał prawnik.
– Pamiętam, że jakiś czas temu podpisywaliśmy z prezesem zbiorcze upoważnienie dla pracowników działu kadr i płac do przetwarzania danych i była tam informacja o tym, iż są im znane zasady ochrony danych osobowych... Olga, powiedz, proszę, że to zrobiłaś – wtrącił wyraźnie poirytowany Sławomir Rak. – Przecież regulamin pracy mówi wyraźnie, że w zakresie twoich obowiązków jest m.in. przeszkolenie pracowników.
– Sławomirze, doskonale wiem o tym, ale wiesz, jakie mamy braki kadrowe, zwyczajnie nie było kiedy... – oznajmiła załamana Olga. – Strasznie dużo się działo ostatnimi czasy i nie miałam kiedy tego zrobić. Dziewczyny też miały dużo pracy.
– To nie może stanowić usprawiedliwienia – wskazał prawnik. – Rozumiem waszą sytuację, ale po rozpoczęciu stosowania RODO ryzyko po waszej stronie byłoby zbyt duże, aby nie wdrożyć efektywnych zasad ochrony danych osobowych i nie upewnić się, że pracownicy je znają i będą stosować.
CO NA TO PRAWO?RADA 2
– Dobrze, postaramy się szybko to nadrobić, a także uporządkować dokumenty w dziale – odpowiedziała przerażona Olga.
– Koniecznie – dodał Sławomir.
● ETAP 3 Środki ochrony prawnej
– Przed spotkaniem, w związku z zaistniałym incydentem, poczytałem trochę w internecie o tych administracyjnych karach pieniężnych wynikających z RODO i przyznam szczerze, że trochę się przeraziłem – zaczął Sławomir Rak. – To, o czym teraz myślę, to te gigantyczne kary pieniężne... Znając nasze realia, to już możemy się zacząć szykować na to, że dostaniemy karę 20 mln euro. Przecież Kohl Investments SA przynosi rocznie milionowe zyski...
– Nie – momentalnie wtrącił się prawnik. – Każdy incydent będzie indywidualnie rozpatrywany przez organ nadzorczy, czyli prezesa UODO. Co więcej, art. 83 ust. 5 RODO wskazuje na administracyjną karę pieniężną w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. To oznacza górną granicę wymiaru kary, czyli może być mniej. Z tak wysoką karą będziemy mieli do czynienia w przypadku najbardziej rażących naruszeń ochrony danych osobowych – wyjaśnił.
– Czy RODO przewiduje również inne kary? – zapytała Olga.
– Tak, do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Są to kary, które mogą zostać nałożone w przypadku mniejszych naruszeń.
– Czy jest jakaś tabela wskazująca na wysokość kar za określone naruszenia? – zapytał członek zarządu, licząc na podanie konkretnej sumy. – Chciałbym sprawdzić, jaka kara może grozić za utratę danych osobowych znajdujących się na niezaszyfrowanym dysku zewnętrznym.
– Niestety nie – odpowiedział prawnik.
– W takim razie skąd mamy wiedzieć, ile będziemy musieli zapłacić? – wtrąciła Olga.
– Jak już wskazałem, każdy incydent będzie indywidualnie rozpatrywany przez organ nadzorczy. To on będzie decydował każdorazowo o wysokości kary. Ustalając ją, będzie brał pod uwagę m.in. stopień naruszenia, umyślny lub nieumyślny charakter naruszenia, kategorię danych osobowych, których dotyczyło naruszenie – wyjaśniał prawnik.
CO NA TO PRAWO? RADA 3
– A czy będzie miało znaczenie, jak dużej liczby osób i danych dotyczy naruszenie? – zapytała Olga.
– Oczywiście. Liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody będą miały wpływ na ocenę wagi naruszenia przez prezesa UODO.
● ETAP 4 Jak zmniejszyć ryzyko
– Czy można w jakiś sposób zmniejszyć ryzyko wystąpienia naruszenia? – zapytał Sławomir Rak. – Olga, musimy zrobić wszystko, aby drugi raz nie doszło do takiej sytuacji.
– To prawda – zgodziła się Olga. – Na kim w spółce spoczywa obowiązek wdrożenia odpowiednich zabezpieczeń? – zapytała.
– Po kolei – oznajmił prawnik. – Przede wszystkim zacznijmy od tego, że zgodnie z motywem 71 RODO administrator powinien m.in. zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą. Zatem pracodawca ma obowiązek wdrożenia odpowiednich zabezpieczeń i dbania o to, aby były one przestrzegane...
– Tak myślałam – wtrąciła Olga.
– Zwróćcie uwagę również na motyw 83 RODO, który wskazuje, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie – kontynuował prawnik.
– Czyli zaleca nam pan szyfrowanie dysków? – zapytał Sławomir Rak.
– Dokładnie tak. Musicie państwo pamiętać o szyfrowaniu danych osobowych, szczególnie w przypadku przenośnych dysków. Dodatkowo trzeba pamiętać, że hasła do nich również powinny być odpowiednio przechowywane. Wielokrotnie w trakcie audytów okazywało się, że pracownicy trzymają hasła np. pod klawiaturą, naklejone na monitor czy też pod biurkiem.
– To prawda. Wielokrotnie z Olgą to obserwowaliśmy – potwierdził Sławomir Rak.
– Ponadto proponuję rozpocząć szkolenie pracowników, które miałoby przybliżyć im tematykę ochrony danych osobowych – wskazał prawnik.
– Musimy się nad tym zastanowić, ponieważ zgadzam się z panem, że należy zwiększać świadomość pracowników, choćby w zakresie spoczywającej na nich odpowiedzialności w związku z przetwarzaniem danych osobowych – stwierdził Sławomir Rak.
RADA 1 Naruszenie trzeba zgłosić
Zgodnie z art. 4 pkt 12 RODO przez naruszenie ochrony danych osobowych rozumie się naruszenie bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Innymi słowy, za naruszenie ochrony danych osobowych należy uznać nieodwracalne naruszenie bezpieczeństwa informacji dotyczących danych osobowych.
W zakres ww. definicji wchodzi utrata danych osobowych. Jest to sytuacja, w której dane co prawda nadal istnieją, ale administrator danych utracił dostęp lub kontrolę nad nimi, a więc nie jest już w ich posiadaniu. Z taką utratą mamy do czynienia w opisywanej sytuacji, gdzie asystentka dyrektor ds. kadr i płac zgubiła niezaszyfrowany dysk zawierający dane osobowe trzydziestu nowo zatrudnionych pracowników.
Idąc dalej, należy wskazać, że pojęcie naruszenia bezpieczeństwa danych osobowych jest ściśle związane z obowiązkiem zawiadomienia organu nadzorczego o każdym przypadku wystąpienia naruszenia. Zgodnie z art. 34 ust. 2 rządowego projektu ustawy o ochronie danych osobowych w zw. z art. 34 RODO organem nadzorczym jest prezes Urzędu Ochrony Danych Osobowych (PUODO). Obowiązek zgłoszenia naruszenia ochrony danych osobowych do PUODO wynika z art. 33 ust. 1 RODO. Wskazuje on, że w przypadku naruszenia ochrony danych osobowych administrator w miarę możliwości, bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu (chyba że jest w stanie wykazać, zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych). Uzasadnienia tak krótkiego terminu na zgłoszenie naruszenia danych osobowych należy się doszukiwać w motywie 85 RODO, który wskazuje, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego oraz szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jeżeli nie można dokonać zgłoszenia w tym terminie, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być wówczas przekazywane stopniowo, ale bez dalszej zbędnej zwłoki. Obowiązek ten nakłada na administratora art. 33 ust. 1 RODO. Co ciekawe, RODO nie przewiduje sankcji niedochowania terminu 72 godzin. Jednak zasadne wydaje się twierdzenie, że niewywiązanie się z obowiązku wyjaśnienia w zgłoszeniu przyczyn opóźnienia może stanowić przesłankę nałożenia administracyjnej kary pieniężnej wskazanej w art. 83 ust. 4 lit. a RODO w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Warto wspomnieć, że RODO pozostawia pełną swobodę, gdy chodzi o formę zgłoszenia incydentu, a co za tym idzie, nie wskazuje skutków niezachowania odpowiedniej formy. Wydaje się, że forma zgłoszenia powinna jednak umożliwiać przekazanie niezbędnych informacji zawartych w art. 33 ust. 1 zd. 2 i art. 33 ust. 3 RODO. Co ciekawe, art. 56 rządowego projektu ustawy o ochronie danych osobowych wskazuje, że prezes urzędu może prowadzić system teleinformatyczny umożliwiający dokonywanie zgłoszenia naruszenia ochrony danych osobowych, potwierdzając tym samym, że UODO bierze pod uwagę możliwość dokonania zgłoszenia w formie elektronicznej.
RADA 2 Możliwa odpowiedzialność
Podmiotem odpowiedzialnym za naruszenie przepisów RODO i wynikłą z tego tytułu szkodę jest administrator – zgodnie z art. 82 ust. 2 RODO. Przesłanki odpowiedzialności to:
– poniesienie przez osobę, której dane dotyczą, szkody niemajątkowej lub majątkowej;
– naruszenie przez administratora przepisów RODO;
– powstanie związku przyczynowego pomiędzy szkodą a naruszeniem;
– wystąpienie winy po stronie administratora.
Idąc dalej, należy zwrócić uwagę na ust. 5 omawianego artykułu, który wskazuje, że „administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2”. Cytowany przepis wskazuje na roszczenie regresowe, które polega na tym, że w przypadku gdy na skutek postępowania sądowego administrator lub podmiot przetwarzający został zobowiązany do uiszczenia odszkodowania za całą wyrządzoną szkodę, a zaangażowane w to były również inne podmioty, może on żądać od nich zwrotu części wypłaconego odszkodowania.
Warto wskazać, że administrator (zgodnie z art. 29 RODO) może udzielić upoważnienia do przetwarzania danych osobowych każdej osobie fizycznej. Z takim powierzeniem często będziemy mieli do czynienia w przypadku pracowników. Z uwagi na grożące sankcje administracyjne zaleca się, aby takie upoważnienie było w jakiś sposób utrwalone, np. zapisane na trwałym nośniku. Może nam ono posłużyć jako dowód, w przypadku gdy pracownik przekroczy zakres upoważnienia. W sytuacji gdy pracownik przetwarza dane osobowe z przekroczeniem posiadanego upoważnienia, może to uzasadniać zwolnienie dyscyplinarne (wyrok Sądu Najwyższego z 4 kwietnia 2017 r., sygn. akt II PK 37/16). Co więcej, w takiej sytuacji pracodawca może dochodzić naprawienia szkody przez podniesienie roszczenia regresowego odpowiadającego wysokości kary nałożonej na pracodawcę zgodnie z przytoczonym art. 82 ust. 5 RODO.
Nie można również zapominać o obowiązkach pracowniczych wynikających wprost z art. 100 par. 2 pkt 2 k.p. W opisywanej sytuacji mamy do czynienia z regulaminem pracy, który wprost określa, że dyrektor ds. kadr i płac ma za zadanie przeszkolić każdego nowo zatrudnionego pracownika. W przypadku uchybienia temu obowiązkowi dyrektora ds. kadr i płac można pociągnąć do odpowiedzialności z tytułu naruszenia obowiązków pracowniczych. Wspomniane naruszenie może też stanowić podstawę do zastosowania środków porządkowych, skutkować rozwiązaniem umowy o pracę czy nawet degradacją na niższe stanowisko (w przypadku wypowiedzenia zmieniającego), względnie może prowadzić do odpowiedzialności materialnej. Warto wskazać, że każda sprawa będzie indywidualnie oceniana i to, z jakim skutkiem naruszenia obowiązków pracowniczych będziemy mieli do czynienia, będzie zależeć m.in. od sposobu naruszenia czy stopnia zawinienia w niewykonaniu lub nienależytym wykonaniu obowiązków pracowniczych.
RADA 3 Uwaga na sankcje
RODO przewiduje dwa przedziały administracyjnych kar pieniężnych:
a) do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za brak współpracy z organem nadzorczym, czy też w przypadku braku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
b) do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za naruszenia przepisów dotyczących przetwarzania szczególnych kategorii danych osobowych czy też w przypadku przetwarzania danych bez zgody zainteresowanej jednostki.
Warto zaznaczyć, że wyżej wskazane kwoty stanowią maksymalny wymiar kary, a więc nie można nałożyć na administratora lub podmiot przetwarzający wyższej administracyjnej kary pieniężnej niż kara wskazana w punkcie a lub b.
W razie stwierdzenia przez PUODO naruszenia przepisów RODO, będzie mógł on nałożyć administracyjną karę pieniężną – niezależnie od uprzednio wydanej decyzji administracyjnej lub zastosowania innego środka prawnego. Potwierdzenia tej tezy można się doszukiwać w motywie 148 RODO: „Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy”.
Idąc dalej, należy wskazać, że zgodnie z art. 83 ust. 1 RODO organ nadzorczy zapewnia, iż administracyjne kary pieniężne będą w każdym indywidualnym przypadku „skuteczne, proporcjonalne i odstraszające”. Jak widać, są to dość ogólne kryteria. Czyli w pierwszej kolejności należy ocenić, czy zastosowanie w określonym przypadku i etapie postępowania administracyjnego kary pieniężnej będzie skuteczne. Poza tym w kontekście popełnionych naruszeń przepisów RODO, przez kryterium proporcjonalności i odstraszającego charakteru kary należy rozumieć funkcję prewencyjną i represyjną nałożonej kary. Wspomniany motyw 148 RODO precyzuje przy tym kryterium proporcjonalności, wskazując, że „Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia...”.
Na uwagę zasługuje, że poza możliwością zastosowania finansowych środków represji organ nadzorczy może też poprzestać na zastosowaniu sankcji o charakterze niepieniężnym. Te ostatnie zostały określone w art. 58 ust. 2 RODO. Wynika z niego, że organ nadzorczy może m.in.:
– nakazać administratorowi zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych;
– wydać administratorowi lub podmiotowi przetwarzającemu ostrzeżenie dotyczące możliwości naruszenia przepisów RODO przez planowane operacje przetwarzania;
– nakazać sprostować, usunąć lub ograniczyć przetwarzanie danych osobowych oraz nakazać powiadomić o tych czynnościach odbiorców, których dane osobowe ujawniono.
W przypadku niewykonania nałożonej sankcji o charakterze niepieniężnym, organ nadzorczy będzie mógł nałożyć karę pieniężną w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Natomiast zależnie od okoliczności określonej sprawy, organ nadzorczy będzie mógł obok lub zamiast wspomnianych sankcji o charakterze niepieniężnym nałożyć na administratora danych lub podmiot przetwarzający administracyjną karę pieniężną.
Reasumując: organ nadzorczy będzie oceniał każdą zaistniałą sytuację w sposób indywidualny, dostosowując sankcje (niepieniężne lub finansowe) do określonego naruszenia ochrony danych osobowych.
PODSUMOWANIE
! Obecnie przedsiębiorca, który nie przestrzega przepisów z zakresu ochrony danych osobowych, może zostać ukarany administracyjnie dopiero w wyniku niewykonania decyzji GIODO zobowiązującej do określonego zachowania (np. do usunięcia uchybień w procesie przetwarzania danych osobowych). Na gruncie nowych przepisów to się zmieni. Już w chwili stwierdzenia naruszenia nowy organ nadzorczy będzie mógł ukarać każdego przedsiębiorcę, będącego administratorem danych lub podmiotem przetwarzającym, wysoką administracyjną karą pieniężną. Prezes UODO, decydując o wysokości administracyjnej kary pieniężnej, będzie brał pod uwagę przesłanki określone w art. 83 RODO. Niemniej jednak każda sytuacja naruszenia ochrony danych osobowych jest inna i każdorazowo będzie musiał określić stopień tego naruszenia.
Dziennik Gazeta Prawna
Podstawa prawna
Ustawa z 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2018 r. poz. 108 ze zm.).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE z 2016 r. L 119).
Rządowy projekt ustawy o ochronie danych osobowych z 5 kwietnia 2018 r. (druk nr 2410).