Poradnik Przedsiębiorcy

Wyciek danych osobowych u pracodawcy – czy można żądać odszkodowania?

Dane osobowe należą do tzw. informacji wrażliwych. Ich ochrona jest szczególnie istotna, gdyż stanowią one dobra osobiste każdego człowieka. Co jednak, jeśli dojdzie do ich ujawnienia w zakładzie pracy wbrew woli zatrudnionego? Czy pracownikowi przysługują wówczas jakiekolwiek roszczenia odszkodowawcze za wyciek danych osobowych u pracodawcy?

Czym są dane osobowe?

Każda osoba, która decyduje się podjąć zatrudnienie, jest zobowiązana do przekazania określonych danych swojemu przełożonemu. Dotyczy to przede wszystkim informacji o miejscu zamieszkania, stanie rodzinnym, ukończonych szkołach i kursach, a także posiadanych kwalifikacjach czy zainteresowaniach.

Gromadzenie danych osobowych na temat określonej osoby zaczyna się już na etapie rozmowy kwalifikacyjnej, głównie poprzez zbieranie informacji umieszczanych w CV lub liście motywacyjnym. Następnie zakres takich danych jest rozszerzany w związku z zawarciem konkretnej umowy o pracę lub zobowiązania do zachowania tajemnicy danego przedsiębiorstwa.

Obowiązek zabezpieczenia danych osobowych pracowników

Niezależnie od tego, w jaki sposób zgromadzono dane zatrudnianych osób, każdy pracodawca jest zobowiązany do ich należytej ochrony. Musi on przeciwdziałać ewentualnemu wyciekowi takich informacji, np. poprzez stosowanie zabezpieczeń cyfrowych lub fizycznych środków ochrony informacji (szaf pancernych lub sejfów, w których przechowywane są akta pracownicze).

Art. 221b Kodeksu pracy

Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Odpowiedzialność za wyciek danych osobowych u pracodawcy

Do wycieku danych osobowych w zakładzie pracy może dojść na skutek różnych czynników, zarówno zawinionych, jak i niezawinionych przez zatrudniającego.

Bezprawne udostępnienie danych osobowych pracownika może mieć miejsce już w sytuacji, gdy do wycieku doszło tylko względem jednej informacji – np. dotyczącej imion rodziców zatrudnionego. Taki przypadek uzasadnia podjęcie działań o charakterze odszkodowawczym. Oczywiście wyciek większej liczby danych określonej osoby tylko wzmacnia pozycję roszczeniową poszkodowanego pracownika.

Art. 82 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.   

Jak wynika z powyższego, każdy pracownik, którego dane osobowe zostały upublicznione wbrew jego woli, ma prawo żądać stosownego odszkodowania od administratora lub podmiotu, który przetwarza takie informacje. Do naruszenia może przy tym dojść w dowolnej formie, np. poprzez udostępnienie określonych informacji w zakładzie pracy, na stronie internetowej lub na portalu społecznościowym. Co ciekawe, rozpowszechnienie cudzych danych osobowych uzasadniające możliwość dochodzenia odszkodowania może mieć miejsce także wtedy, gdy informacje na temat danej osoby są przekazywane ustnie pomiędzy pracownikami.

Wyciek danych osobowych u pracodawcy - odszkodowanie

Wysokość odszkodowania za upublicznienie danych osobowych pracownika bez jego zgody nie została jednolicie określona. W praktyce oznacza to, że ustalenie kwoty, której może żądać pracownik, spoczywa wyłącznie na poszkodowanym.

Tak naprawdę o wysokości odszkodowania za naruszenie cudzych danych osobowych decydują okoliczności danej sprawy, zakres bezprawnie udostępnionych informacji oraz podejście do całej sprawy samego poszkodowanego. Oczywiście im większa ilość danych została upubliczniona i dotyczy to informacji szczególnie wrażliwych (takich jak orientacja seksualna, poglądy religijne czy dane członków najbliższej rodziny), tym większe odszkodowanie będzie wchodziło w grę.

W rzeczywistości poszkodowany musi udowodnić w takiej sprawie kilka rzeczy:

  • fakt dokonania naruszenia jego danych osobowych – np. upublicznienie ich bez zgody zainteresowanego na stronie internetowej zakładu pracy;

  • fakt poniesienia szkody z tytułu udostępnienia danych osobowych pracownika – sam wyciek informacji uzasadnia już dochodzenie stosownego odszkodowania;

  • związek przyczynowy pomiędzy bezprawnym ujawnieniem danych pracownika a poniesioną przez niego szkodą.

Jak uzyskać odszkodowanie za wyciek danych osobowych u pracodawcy?

Pracownik, którego dane osobowe zostały naruszone, ma prawo dochodzić stosownego odszkodowania od swojego przełożonego na podstawie wspomnianego już wcześniej art. 82 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Podstawą prawną omawianego roszczenia jest także art. 23 i 24 Kodeksu cywilnego, który wprowadza zasadę ochrony dóbr osobistych każdego człowieka (dane osobowe pracownika są właśnie takimi dobrami).

Pierwszym krokiem do uzyskania odszkodowania za wyciek danych osobowych u pracodawcy jest wystosowanie pisemnego zawiadomienia i wezwania do zapłaty wobec przełożonego, który dopuścił do wycieku danych osobowych. W takim piśmie należy opisać dokładnie całą sytuację związaną z bezprawnym upublicznieniem informacji na temat danego pracownika oraz wskazać wysokość i termin zapłaty żądanego odszkodowania. Warto także oprzeć się na powołanych wcześniej przepisach.

Jeżeli pracodawca nie zareaguje na wezwanie, jedyną drogą pozostaje wówczas skierowanie sprawy na drogę postępowania sądowego. W tym celu należy sporządzić pozew o zapłatę odszkodowania z tytułu bezprawnego naruszenia dóbr osobistych pod postacią danych osobowych pracownika. Pamiętajmy, że poszkodowany ma wówczas prawo dochodzić również stosownego zadośćuczynienia – to roszczenie istnieje niezależnie od żądań odszkodowawczych.

Sądem właściwym w danej sprawie jest zawsze sąd okręgowy położony według siedziby administratora lub podmiotu przetwarzającego, albo miejsca stałego pobytu osoby, której dane dotyczą. Pozew podlega stałej opłacie w wysokości 600 zł.

Wyciek danych osobowych u pracodawcy - podsumowanie

Wyciek danych osobowych u każdego pracodawcy rodzi odpowiedzialność odszkodowawczą po stronie zatrudniającego. Pracownik, którego dane zostały bezprawnie wykorzystane i upublicznione, może dochodzić odszkodowania na podstawie art. 82 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, a także art. 23 i 24 kc. Zatrudnionemu przysługuje w takiej sytuacji również roszczenie o zapłatę stosownego zadośćuczynienia w związku z naruszeniem jego dóbr osobistych.