Bezpodstawne ujawnienie danych pracownika przez pracodawcę może stanowić naruszenie RODO i prowadzić do odpowiedzialności zarówno administracyjnej, jak i cywilnej. Jeżeli pracodawca przekazał dane osobowe osobom nieuprawnionym, opublikował je w komunikacie, np. rozesłał mailem do innych pracowników albo posłużył się nimi poza celem, dla którego zostały zebrane, pracownik może rozważyć skargę do Prezesa UODO oraz roszczenie o odszkodowanie z art. 82 RODO.
Ochrona danych osobowych to specyficzne prawne zagadnienie. Zapoznaj się z rozwiązaniami, na które pozwala RODO.
- 1. Czym jest naruszenie RODO przez pracodawcę?
- 2. Kiedy ujawnienie danych jest bezprawne?
- 3. Podstawa prawna w RODO
- 4. Co wynika z orzecznictwa TSUE?
- 5. Jakie roszczenia ma pracownik?
- 6. Jak wykazać szkodę?
- 7. Dlaczego warto działać równolegle?
- 8. Pomoc prawna w sprawach RODO
- 9. FAQ – pytania zadawane w związku z RODO
- 10. Pomoc prawna w sprawach RODO
1. Czym jest naruszenie RODO przez pracodawcę?
Pracodawca jest administratorem danych osobowych pracowników i musi przetwarzać je zgodnie z zasadami z art. 5 RODO. Do naruszenia dochodzi w szczególności wtedy, gdy dane pracownika zostaną ujawnione bez podstawy prawnej, w zakresie szerszym niż to konieczne albo w sposób sprzeczny z zasadą poufności i minimalizacji. W praktyce nie chodzi wyłącznie o „wyciek” danych w sensie technicznym, ale także o ich nieuprawnione ujawnienie w wiadomości, komunikacie, wewnętrznym obiegu dokumentów czy publikacji internetowej.
Art. 5 ust. 1 lit. a RODO stanowi, że dane osobowe muszą być „przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”, a art. 5 ust. 1 lit. f RODO wymaga, by były „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych”.
Z kolei art. 5 ust. 2 RODO wprowadza zasadę rozliczalności: administrator „musi być w stanie wykazać” przestrzeganie tych zasad.
2. Kiedy ujawnienie danych jest bezprawne?
Przykładem bezprawnego działania pracodawcy może być publikacja pewnych informacji o pracowniku na stronie internetowej firmy, w mailu rozesłanym do szerokiego grona odbiorców lub w komunikacie, który zawiera więcej danych, niż jest to konieczne. Jeżeli w takim komunikacie pojawiają się także informacje o zdrowiu albo innych danych wrażliwych, ocena naruszenia staje się jeszcze bardziej rygorystyczna.
Do typowych naruszeń należy również udostępnienie listy obecności lub grafiku urlopowego w miejscu dostępnym dla wszystkich pracowników, skoro dokumenty te ujawniają okresy nieobecności, które mogą pośrednio wskazywać na stan zdrowia danej osoby. Naruszeniem jest też przesłanie akt osobowych pracownika do niewłaściwego adresata – np. omyłkowe przekierowanie maila z CV i historią zatrudnienia do innego pracownika lub osoby trzeciej.
Poważnym naruszeniem jest również monitoring poczty elektronicznej lub aktywności na komputerze pracownika bez uprzedniego poinformowania go o zakresie i celach takiej kontroli, a także nagrywanie rozmów telefonicznych bez wymaganej podstawy prawnej i stosownych klauzul informacyjnych. Pracodawca narusza RODO także wtedy, gdy w ogłoszeniu rekrutacyjnym lub w korespondencji z kandydatem żąda podania danych wykraczających poza katalog dopuszczony przez Kodeks pracy – takich jak informacja o planach rodzicielskich, przynależności związkowej czy przekonaniach religijnych.
Podobnie bezprawne, co do zasady, jest zamieszczenie w firmowym intranecie lub tablicy ogłoszeń informacji o nałożonej karze porządkowej wraz z imieniem i nazwiskiem ukaranego, gdyż dane te powinny pozostać znane zainteresowanemu i przełożonemu.
3. Podstawa prawna w RODO
Najważniejsze przepisy w tego typu sprawach to art. 5, art. 6, art. 9 i art. 82 RODO.
Art. 6 ust. 1 RODO wskazuje, że przetwarzanie jest zgodne z prawem tylko wtedy, gdy spełniona jest przynajmniej jedna z podstaw legalności, np.:
1) zgoda,
2) obowiązek prawny,
3) wykonanie umowy,
4) interes publiczny,
5) prawnie uzasadniony interes.
Art. 9 ust. 1 RODO zawiera zasadę zakazu przetwarzania szczególnych kategorii danych, w tym danych dotyczących zdrowia, seksualności czy poglądów. Tylko wyjątkowo, przy spełnieniu jednej z przesłanek z art. 9 ust. 2 RODO, takie dane mogą być legalnie przetwarzane. W praktyce oznacza to, że ujawnienie informacji o stanie zdrowia pracownika bez wyraźnej podstawy prawnej jest szczególnie ryzykowne i może prowadzić do poważnych konsekwencji prawnych.
Z kolei art. 82 RODO daje podstawę do tego, aby każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, mogła uzyskać od administratora za poniesioną szkodę.
4. Co wynika z orzecznictwa TSUE?
TSUE wielokrotnie podkreślał, że ochrona danych osobowych jest ściśle związana z prawami podstawowymi do prywatności i ochrony danych. W sprawie C-184/20 Trybunał wskazał, że publikacja danych osobowych w Internecie stanowi przetwarzanie danych i wymaga konkretnej oceny zgodności z RODO, zwłaszcza gdy chodzi o dane wrażliwe. Z kolei w odniesieniu do art. 82 RODO TSUE potwierdził, że odszkodowanie ma charakter kompensacyjny, a nie represyjny, i że samo naruszenie nie wystarcza bez wykazania szkody. Ten wyrok, jak inne wyroki TSUE w sprawach C-182/22 i C-189/22 mają znaczenie dla interpretacji krajowych roszczeń odszkodowawczych dotyczących szkody niemajątkowej.
W praktyce oznacza to, że pracownik, który dochodzi roszczenia, powinien pokazać nie tylko fakt bezprawnego ujawnienia danych, ale także realne skutki: stres, utratę kontroli nad danymi, naruszenie reputacji lub inne następstwa niematerialne. Im lepiej te skutki zostaną udokumentowane, tym mocniejsza będzie pozycja procesowa poszkodowanego.
5. Jakie roszczenia ma pracownik?
Pracownik może skorzystać z dwóch niezależnych ścieżek ochrony:
1) skargi do Prezesa UODO oraz
2) powództwa cywilnego o odszkodowanie.
Skarga administracyjna służy ustaleniu naruszenia oraz ewentualnej reakcji organu nadzorczego, natomiast pozew cywilny ma na celu uzyskanie rekompensaty pieniężnej.
Art. 82 ust. 1 RODO stanowi, że „każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora (…) odszkodowanie za poniesioną szkodę”. Prezes UODO przypomina, że prawo to ma charakter kompensacyjny, a jego celem jest naprawienie szkody, a nie ukaranie sprawcy.
W praktyce bardzo często warto prowadzić oba postępowania równolegle. Decyzja UODO może wzmocnić argumentację w sądzie cywilnym, a zgromadzony materiał dowodowy ułatwia wykazanie bezprawności działania pracodawcy.
6. Jak wykazać szkodę?
W przypadku roszczenia z art. 82 RODO istotne jest wykazanie zarówno naruszenia, jak i szkody. Szkoda może mieć charakter majątkowy, ale w wielu sprawach pracowniczych dominować będzie szkoda niemajątkowa. Może ona obejmować stres, poczucie bezsilności, utratę zaufania do pracodawcy, obawę przed dalszym rozpowszechnianiem danych albo naruszenie dobrego imienia zawodowego.
Warto w takim przypadku gromadzić dowody w postaci korespondencji, zrzutów ekranu, treści komunikatów, zeznań świadków oraz – jeśli to potrzebne – dokumentacji medycznej lub psychologicznej. To szczególnie ważne po wyrokach TSUE, które wzmacniają wymóg realnego wykazania szkody, nawet jeśli nie musi ona mieć dużej wartości ekonomicznej.
7. Dlaczego warto działać równolegle?
Połączenie skargi do UODO z pozwem o odszkodowanie daje zwykle lepszy efekt procesowy niż wybór tylko jednej ścieżki. Organ nadzorczy może ustalić naruszenie i ukarać administratora, a sąd cywilny może następnie ocenić konsekwencje dla konkretnej osoby. Taka strategia bywa szczególnie skuteczna w sprawach, w których pracodawca publicznie ujawnił dane albo próbował usprawiedliwić ich publikację „interesem firmy” bez realnej podstawy prawnej.
Warto również pamiętać, że administrator musi wykazać zgodność przetwarzania z RODO, co wynika z zasady rozliczalności z art. 5 ust. 2 RODO oraz z art. 24 ust. 1 RODO. W praktyce ciężar argumentacyjny w takich sprawach przesuwa się więc bardzo mocno na stronę pracodawcy.
8. Pomoc prawna w sprawach RODO
Spory dotyczące ujawnienia danych pracownika wymagają nie tylko znajomości przepisów RODO, ale też umiejętności połączenia prawa ochrony danych z prawem pracy i praktyką dowodową. W takich sprawach liczy się precyzja, dobór podstawy prawnej i właściwe opisanie szkody.
Kancelaria Karsten może pomóc w przygotowaniu skargi do Prezesa UODO, ocenie zasadności roszczenia oraz reprezentacji w postępowaniu o odszkodowanie przeciwko pracodawcy.
9. FAQ – pytania zadawane w związku z RODO
Czy każde ujawnienie danych pracownika narusza RODO?
Nie każde, ale ujawnienie danych bez podstawy prawnej, poza celem ich zebrania albo w szerszym zakresie niż konieczny może stanowić naruszenie RODO. Kluczowe znaczenie ma zawsze konkretna sytuacja, rodzaj danych i podstawa ich przetwarzania.
Czy pracownik może dostać odszkodowanie za naruszenie RODO?
Tak, jeżeli wykaże, że w wyniku naruszenia poniósł szkodę majątkową lub niemajątkową, ma prawo domagać się odszkodowania na podstawie art. 82 RODO. Odszkodowanie ma charakter kompensacyjny.
Czy trzeba najpierw wygrać sprawę przed UODO?
Nie, postępowanie przed UODO i sprawa cywilna są niezależne. W praktyce decyzja UODO może jednak znacząco pomóc w procesie cywilnym.
Czy ujawnienie danych o zdrowiu pracownika jest szczególnie poważne?
Tak, bo są to dane szczególnej kategorii, o których mowa w art. 9 ust. 1 RODO, a ich przetwarzanie jest co do zasady zakazane. Ich ujawnienie bez podstawy prawnej jest więc oceniane szczególnie rygorystycznie.
Jakie dowody są ważne w sprawie o naruszenie RODO?
Najważniejsze są dokumenty pokazujące treść i zakres ujawnionych danych, datę publikacji, sposób ich rozpowszechnienia oraz skutki dla pracownika. W sprawie odszkodowawczej przydatna może być też dokumentacja pokazująca stres lub inne konsekwencje niemajątkowe.
Czy samo usunięcie danych przez pracodawcę usuwa naruszenie?
Nie, usunięcie danych po incydencie może ograniczyć skutki naruszenia, ale nie cofa faktu, że do ujawnienia doszło. W decyzjach UODO takie działania naprawcze są brane pod uwagę, lecz nie eliminują automatycznie odpowiedzialności.
10. Pomoc prawna w sprawach RODO
Jeżeli podejrzewasz, że pracodawca bezprawnie ujawnił Twoje dane osobowe, nie warto zwlekać z działaniem. W sprawach o naruszenie RODO kluczowe znaczenie mają dowody, właściwa kwalifikacja prawna zdarzenia oraz szybkie podjęcie kroków procesowych.
Kancelaria Adwokacka dr Kingi Karsten pomaga w ocenie naruszenia, przygotowaniu skargi do Prezesa UODO oraz w dochodzeniu odszkodowania od pracodawcy.
Autor artykułu
adw. dr Kinga Karsten
Adwokat, doktor nauk prawnych i doktor teologii, licencjat prawa kanonicznego.
Właścicielka Kancelarii Karsten w Nowym Targu i Krakowie. Od ponad 13 lat specjalizuje się
w prawie rodzinnym, kanonicznym i administracyjnym.
Wykładowca Uniwersytetu Papieskiego Jana Pawła II w Krakowie.
Artykuł ma charakter wyłącznie informacyjny i edukacyjny. Nie stanowi porady prawnej.
W sprawach wymagających pomocy prawnej zapraszam do kontaktu z Kancelarią.