RODO nie wpływa na odpowiedzialność materialną pracowników. Nadal jest ona ograniczona – choćby nawet winnymi wycieku danych byli tylko oni. Bać się za to mogą osoby na umowach cywilnoprawnych
Unijne rozporządzenie o ochronie danych osobowych (RODO) przewiduje możliwość nakładania wysokich kar przez organ nadzorczy – nawet do 20 mln euro lub 4 proc. obrotu przedsiębiorstwa w roku poprzedzającym naruszenie przepisów. Mało tego, RODO dało możliwość dochodzenia odszkodowań również przez osoby, których dane osobowe zostały naruszone. To potencjalnie oznacza kolejne duże straty finansowe dla firmy. W sytuacji naruszenia bezpieczeństwa ochrony danych osobowych odpowiedzialność za skutki tego zdarzenia ponosi w pierwszej kolejności administrator danych. To administrator danych jest bowiem zobowiązany do zapewnienia należytej ochrony danych osobowych, w tym do ich zabezpieczenia przed wyciekiem lub innymi formami niezgodnego z prawem ich przetwarzania (art. 83 RODO).
Każdy podmiot tworzą jednak pracownicy. A ci, jak każdy człowiek, popełniają błędy. Na gruncie przepisów RODO ich pomyłka może przedsiębiorcę wiele kosztować. Pojawia się więc pytanie, czy w przypadku naruszenia przepisów unijnego rozporządzenia przez pracownika, można go pociągnąć do odpowiedzialności. Eksperci mówią zgodnie: oczywiście. Dodają jednak, że nowe przepisy nie dają możliwości dochodzenia od pracownika roszczeń w wyższej wysokości niż dotychczas.
– Przepisy RODO nie modyfikują zasad odpowiedzialności materialnej pracownika wobec pracodawcy za szkody wyrządzone wskutek działań zatrudnionego. Oznacza to, że pracownik w dalszym ciągu chroniony jest przepisami prawa pracy, które wyznaczają łagodniejsze zasady odpowiedzialności materialnej wobec pracodawcy niż ogólne przepisy kodeksu cywilnego – mówi Aleksandra Kobierska, adwokat w kancelarii adwokackiej Lassota i Partnerzy. [ramka 1]

Ramka 1

Wina nieumyślna…
Zgodnie z art. 114 kodeksu pracy pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną na zasadach określonych w kodeksie. Innymi słowy, pracownik ponosi odpowiedzialność za szkodę poniesioną przez pracodawcę tylko w razie zawinionego niewykonania obowiązków pracowniczych, pozostającego w związku przyczynowym ze szkodą.
– Zawinione zachowanie może przy tym przybrać postać działania lub zaniechania. W przypadku wycieku danych osobowych mogą być to obie z tych form – tłumaczy dr Lucyna Staniszewska, adwokat z kancelarii Filipiak Babicz.
Kodeks pracy mówi, że pracownik, który wyrządził szkodę z winy nieumyślnej, odpowiada za nią w pełnej wysokości, jednakże zastrzega przy tym od razu limit – górną granicą odpowiedzialności zatrudnionego ma być jego trzymiesięczne wynagrodzenie (art. 119 k.p.). Odpowiada on przy tym za poniesioną przez pracodawcę rzeczywistą stratę w mieniu, a nie za utracone korzyści.
– Istotne jest więc w tym wypadku właściwe rozumienie winy nieumyślnej. Definicji takiej winy nie ma w kodeksie pracy, należy zatem posiłkować się pojęciami prawa karnego. Zgodnie z art. 9 par. 2 kodeksu karnego czyn zabroniony popełniony jest nieumyślnie, jeżeli sprawca nie mając zamiaru jego popełnienia, popełnia go jednak na skutek niezachowania ostrożności w danych okolicznościach, mimo że popełnienie tego czynu przewidywał lub mógł przewidzieć – wyjaśnia dr Lucyna Staniszewska.
…albo celowe działanie
Inaczej kształtuje się natomiast odpowiedzialność pracownika w przypadku winy umyślnej, czyli w sytuacji gdy pracownik ma zamiar naruszenia, tj. chce je popełnić albo przewidując możliwość jego popełnienia, godzi się na to. Taki pracownik odpowiada do pełnej wysokości szkody, obejmującej rzeczywistą stratę i utracone korzyści (art. 122 k.p.).
– Rzeczywista strata to faktyczny uszczerbek majątkowy poniesiony przez pracodawcę w mieniu, którego jest właścicielem lub posiadaczem. Utracone korzyści zaś to korzyści z mienia pracodawcy, które w chwili wyrządzenia szkody były już uzyskiwane lub oczekiwane w przyszłości, a których pracodawca nie osiągnął w konsekwencji wyrządzenia szkody – mówi dr Lucyna Staniszewska.
Z kolei mec. Aleksandra Kobierska zauważa, że w szczególnych przypadkach rażące niedbalstwo pracownika lub demonstrowana zła wola w naruszeniu zasad postępowania z danymi osobowymi może narazić tego pracownika na zwolnienie dyscyplinarne, czyli rozwiązanie umowy o pracę bez wypowiedzenia z jego winy z powodu ciężkiego naruszenia podstawowych obowiązków pracowniczych (art. 52 k.p.).
Dużo ciekawszy jest przy tym przypadek osób zatrudnionych na umowach cywilnoprawnych. Bo – jak zwraca uwagę mec. Aleksandra Kobierska – łagodniejsze zasady odpowiedzialności, w tym kwotowe ograniczenie wysokości odszkodowania, ich nie obejmują. W przypadku takich osób, o ile spełnione zostaną niżej opisane warunki, możliwe jest co najmniej częściowe przerzucenie na nich odpowiedzialności finansowej po nałożeniu administracyjnej kary finansowej przez prezesa Urzędu Ochrony Danych Osobowych. A to stawia zleceniobiorców i osoby wykonujące inne umowy cywilnoprawne w jeszcze gorszej pozycji w stosunku do pracowników, niż było to dotychczas.

Podwyższone ryzyko

– Jeżeli osoba pozostająca w stosunku zatrudnienia na podstawie umowy cywilnoprawnej, w tym o dzieło czy o świadczenie usług, naruszyła zasady przetwarzania danych osobowych, które zobowiązała się przestrzegać, ponosi pełną odpowiedzialność za szkodę poniesioną przez administratora z tego tytułu, zarówno w zakresie rzeczywistej straty, jak i utraconych korzyści – podkreśla mecenas Kobierska.
W przypadku zatrudnienia na podstawie umowy cywilnoprawnej strony mogą bowiem swobodnie uregulować zasady odpowiedzialności za szkody wyrządzone wskutek niezgodnego z prawem przetwarzania danych. Konkretna osoba może więc ponieść odpowiedzialność za niezachowanie należytej staranności w wykonaniu swoich obowiązków z umowy. Zakres szkody, do naprawienia której będzie zobowiązana, obejmie wszystkie normalne następstwa, tj. zarówno rzeczywistą szkodę (np. koszty prawne, kary administracyjne, spłacone roszczenia osób trzecich itd.), jak i utracone korzyści (np. utratę lukratywnego zlecenia).
!W sytuacji naruszenia bezpieczeństwa ochrony danych osobowych odpowiedzialność za skutki tego zdarzenia ponosi w pierwszej kolejności administrator danych, który ma dbać o ich przetwarzanie zgodnie z prawem.
– Taka osoba może zwolnić się z odpowiedzialności, wykazując, że nie ponosi winy, przy czym to na niej spoczywa ciężar udowodnienia tej okoliczności. Natomiast podmiot zatrudniający będzie zmuszony dowieść, że konkretna szkoda powstała wskutek niewykonania obowiązków przez konkretnego zleceniobiorcę – wyjaśnia Aleksandra Kobierska.

Elastyczność w dwie strony

Te ogólne przesłanki odpowiedzialności mogą zostać zarówno ograniczone, jak i rozszerzone przez strony w umowie, tak długo jak ustanowione przez nie zasady odpowiedzialności nie naruszają prawa, natury stosunku prawnego lub zasad współżycia społecznego (art. 3531 kodeksu cywilnego). Oznacza to, że strony mogą się umówić, iż zleceniobiorca będzie odpowiadać za okoliczności, za które nie ponosiłby odpowiedzialności na zasadach ogólnych (np. za szkodę wyrządzoną bez swojej winy), ale także jego odpowiedzialność może zostać ograniczona (np. tylko do przypadku rażącego niedbalstwa zleceniobiorcy lub kwotowo – do kilkukrotności wynagrodzenia itd.). Z jednym wyjątkiem – nie można wyłączyć odpowiedzialności dłużnika za szkody wyrządzone umyślnie (art. 473 par. 2 k.c.). [ramka 2]

Ramka 2

Kara umowna
Jak zauważa Aleksandra Kobierska, strony mogą też zmodyfikować zasady odpowiedzialności, wprowadzając kary umowne, do zapłaty których osoba zatrudniona będzie zobowiązana w przypadku naruszenia bezpieczeństwa przetwarzania danych osobowych.
– Jest to rozwiązanie często stosowane w praktyce, zwłaszcza w sytuacjach gdy precyzyjne wykazanie wysokości szkody może okazać się trudne. W takim przypadku zleceniobiorca będzie zobowiązany do zapłaty kary umownej niezależnie od tego, czy druga strona poniosła jakąkolwiek szkodę – mówi mec. Kobierska. Tłumaczy przy tym, że kara może zależeć od tego, czy zleceniobiorca ponosi winę w niewykonaniu swoich obowiązków, ale może również być oderwana od przesłanki winy – wówczas samo naruszenie zasad postępowania z danymi, nawet niezawinione, może uzasadniać obowiązek zapłaty określonej kary umownej. Co ważne, przepisy nie określają maksymalnej wysokości takiej kary. Trzeba jednak pamiętać, że sądy mają możliwość miarkowania, czyli obniżania kary zastrzeżonej w umowie, jeżeli jest ona rażąco wygórowana (art. 484 par 2 k.c.).
– W praktyce, w stosunku do osób fizycznych współpracujących na podstawie umowy cywilnoprawnej sądy często korzystają z tego rozwiązania, jeżeli pozwany podniesie taki zarzut w procesie. Oceniając, czy kara jest rażąca wygórowana, sąd bierze pod uwagę w pierwszej kolejności wysokość wyrządzonej szkody, ale znaczenie może mieć także charakter umowy, sposób ukształtowania obowiązków stron, w tym np. rażąca ich dysproporcja między stronami, a także okoliczności, wagę i zakres nienależytego wykonania obowiązków z umowy – tłumaczy mec. Kobierska.

W RODO bez zmian

Zdaniem ekspertów w samym RODO nie ma przepisów, które dawałyby inne możliwości dochodzenia roszczeń przez pracodawcę od zatrudnionego. W grę nie może wchodzić zastosowanie zwłaszcza art. 82 ust. 5 RODO. Przepis ten stanowi, że administrator, który zapłaci odszkodowanie, może ubiegać się o zwrot jego części od podmiotów przetwarzających biorących udział w tym samym przetwarzaniu danych.
– Osoba zatrudniona na podstawie umowy cywilnoprawnej, działająca de facto na rzecz i pod kierownictwem dającego zlecenie, nie będzie bowiem podmiotem przetwarzającym, lecz osobą upoważnioną do przetwarzania danych z ramienia administratora – konkluduje mec. Kobierska.
WAŻNE W umowie cywilnoprawnej strony mogą swobodnie uregulować zasady odpowiedzialności za szkody wyrządzone wskutek niezgodnego z prawem przetwarzania danych.
Podstawa prawna
Art. 82 ust. 5, art. 83 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, RODO (Dz.Urz. UE z 2016 r. L 119, s. 1).