Administrator danych osobowych mający status pracodawcy realizuje czynności przetwarzania danych osobowych przez właściwie upoważnionych pracowników. Nie można wykluczyć, że w wyniku naruszenia przepisów regulujących przetwarzanie danych osobowych zostanie wyrządzona szkoda osobie trzeciej. Zobowiązanym do jej naprawienia będzie wówczas pracodawca jako administrator danych. W takim przypadku wobec pracodawcy – administratora, pracownik będzie ponosił odpowiedzialność na podstawie przepisów pracowniczej odpowiedzialności materialnej, uregulowanej w Kodeksie pracy. Sprawdź, w jakich okolicznościach i w jaki sposób możesz pociągnąć pracownika do odpowiedzialności odszkodowawczej.
Przetwarzanie danych w imieniu pracodawcy obowiązkiem pracownika
W sytuacji gdy administrator danych osobowych zatrudnia przynajmniej jednego pracownika w rozumieniu przepisu art. 3 Kodeksu pracy, staje się pracodawcą ze wszystkimi wynikającymi z tego konsekwencjami w zakresie wzajemnych praw i obowiązków regulowanych przepisami prawa pracy. Pracownicza forma zatrudnienia opiera się na konstrukcji stosunku pracy, którego definicja uregulowana została w art. 22 Kodeksu pracy. Zgodnie z przywołanym przepisem przez nawiązanie stosunku pracy pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę, a pracodawca − do zatrudniania pracownika za wynagrodzeniem.
Obowiązki, które pracownik ma do zrealizowania w ramach stosunku pracy, można podzielić na obowiązki wspólne dla wszystkich pracowników oraz te o charakterze zindywidualizowanym, które wynikają ze specyfiki zatrudnienia na danym stanowisku pracy. Każdy pracownik ma obowiązek przestrzegania czasu pracy ustalonego w zakładzie, regulaminu pracy, przepisów bhp, dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę, jak również przestrzegać tajemnicy określonej w odrębnych przepisach. Inne będą natomiast obowiązki o charakterze szczegółowym − przykładowo pracownika zatrudnionego bezpośrednio przy produkcji na stanowisku robotniczym a pracownika służby bhp czy pracownika wykonującego w imieniu pracodawcy czynności z zakresu prawa pracy zatrudnionego w dziale personalnym.
W sytuacji gdy administratorem danych jest pracodawca, dochodzi do częstego przenikania się reżimów prawnych − prawa pracy, w tym zasad dotyczących prawidłowego organizowania procesu pracy oraz przepisów nakazujących prawidłowe przetwarzanie danych osobowych. Nie można wykluczyć, że problematyka ochrony danych osobowych zostanie podniesiona do rangi przepisów organizacyjno-porządkowych obowiązujących u danego administratora − pracodawcy. Nie ma przepisów, które zakazywałyby administratorowi – pracodawcy, uznanie zasad ochrony danych osobowych w kategoriach zasad regulujących prawidłową organizację pracy – w zakresie przetwarzania danych osobowych, w tym w kwestii zachowania w poufności danych, których ujawnienie mogłoby narazić pracodawcę – administratora na szkodę.
Odszkodowanie na podstawie RODO
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów rozporządzenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Ta zasada ma jak najbardziej zastosowanie, w przypadku gdy administrator lub podmiot przetwarzający mają status pracodawców w rozumieniu prawa pracy.
Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie unijne, natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłącznie gdy nie dopełnił obowiązków, które to rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator lub podmiot przetwarzający będą zwolnieni z odpowiedzialności za szkodę, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
- dojdzie do zawinionego naruszenia przez administratora danych lub podmiot przetwarzający przepisów regulujących przetwarzanie danych osobowych (wyciek danych, zbieranie danych wykraczających poza dopuszczalny zakres (naruszenie zasady minimalizmu danych),
- osoba fizyczna poniesie szkodę w wyniku naruszenia przepisów regulujących ochronę danych − w szerokim rozumieniu, czyli zarówno majątkową, jak i niemajątkową,
- istnieje związek przyczynowy pomiędzy naruszeniem przepisów regulujących ochronę danych osobowych a poniesioną szkodą.
Warto zauważyć, że przepisy rozporządzenia RODO nie definiują w sposób bezpośredni pojęcia „szkody”. Przyjmuje się, że ten termin należy interpretować w sposób szeroki i odzwierciedlający w pełni cele rozporządzenia RODO. Trzeba uznać, że o przetwarzaniu dokonywanym z naruszeniem rozporządzenia RODO uzasadniającym odpowiedzialność odszkodowawczą można mówić również wówczas, gdy narusza ono akty wykonawcze rozporządzenia, jak również przepisy państw członkowskich, które zawierają regulację doprecyzowujące RODO.
O odpowiedzialności odszkodowawczej za wyrządzoną szkodę można będzie mówić w sytuacji, gdy szkoda ma charakter rzeczywisty i pewny w sposób obiektywny − tym samym szkoda nie powinna mieć charakteru hipotetycznego (ewentualnego) i pozostawać wyłącznie w sferze domysłów, wyobrażeń czy subiektywnej oceny osoby, której wydaje się że poniosła szkodę.
Uwzględniwszy dotychczasowe rozważania, należy uznać, że za wyrządzenie szkody w związku z naruszeniem przepisów w sprawie ochrony danych osobowych bezpośrednio odpowiedzialny jest administrator danych osobowych lub podmiot przetwarzający.
Przepisy RODO nie odnoszą się do kwestii odpowiedzialności odszkodowawczej pracowników administratora danych lub podmiotu przetwarzającego w związku z wyrządzeniem przez nich szkody osobie trzeciej. W żadnym razie nie można jednak uznać, że administrator danych lub podmiot przetwarzający nie będą mieli stosownych roszczeń wobec swoich pracowników. W takim jednak zakresie należy odwołać się do przepisów działu 5 Kodeksu pracy „odpowiedzialność materialna pracowników”, a ściślej mówiąc: do zasad odpowiedzialności pracownika za szkodę wyrządzoną pracodawcy.
Na czym polega odpowiedzialność pracownicza za wyrządzenie szkody osobie trzeciej
Jak już wcześniej wskazano, w wyniku niewłaściwego przetwarzania danych osobowych przez pracownika administratora – pracodawcy, istnieje możliwość wyrządzenia szkody osobie trzeciej. Generalna zasada, zgodnie z którą odpowiedzialność odszkodowawczą w takim przypadku ponosi nie bezpośrednio pracownik, ale pracodawca, czyli administrator, opiera się na konstrukcji wynikającej z art 117 § 2 Kodeksu pracy, zgodnie z którym pracownik nie ponosi ryzyka związanego z działalnością pracodawcy, w szczególności nie odpowiada za szkodę wynikłą w związku z działaniem w granicach dopuszczalnego ryzyka. Uwzględniwszy nierówność stron stosunku pracy, ustawodawca wprowadził instrumenty ograniczające do minimum odpowiedzialność pracownika z tytułu wyrządzenia szkody wyrządzonej osobie trzeciej przy wykonywaniu obowiązków pracowniczych − w tym w związku z przetwarzaniem danych osobowych, co jak wcześniej zasygnalizowano, wpisuje się w obowiązek prawidłowego wykonywania pracy.
Zarówno orzecznictwo sądów, jak i doktryna prawa pracy uznaje, że art 120 § 1 Kodeksu pracy nie ma zastosowania w sytuacji, gdy szkoda została wyrządzona przy okazji bądź sposobności wykonywania obowiązków pracowniczych. Warto w tym miejscu przywołać wyrok Sądu Najwyższego z 5 maja 1998 r., I CKU 110/97, w którym sąd wyraźnie podzielił pogląd doktryny, z którego wynika, że obowiązek naprawienia szkody wyrządzonej przez pracownika osobie trzeciej nie obciąża zakładu pracy, gdy wyrządzenie tej szkody nastąpiło jedynie przy sposobności zatrudnienia w zakładzie pracy − czyli nie przy wykonywaniu powierzonych pracownikowi zadań w ramach stosunku pracy (zobacz przykład 1).
Przykład 1
Pracownik, w którego zakresie obowiązków mieści się przetwarzanie danych osobowych, ma prawo wykorzystywać za wiedzą i zgodą pracodawcy służbowy laptop poza czasem pracy poza miejscem pracy. Podwładny obok swojego zatrudnienia u pracodawcy − administratora danych prowadzi dodatkową działalność w czasie wolnym od pracy. W wyniku pomyłki pracownika podczas używania komputera służbowego w czasie wolnym od pracy, doszło do wycieku danych osobowych. W tym przypadku należy przyjąć, że administrator danych, czyli pracodawca, nie będzie ponosił odpowiedzialności na zewnątrz i nie będzie miał obowiązku naprawienia szkody wyrządzonej przez pracownika osobom trzecim w związku z wyciekiem danych osobowych.
Odnosząc się do kwestii odpowiedzialności odszkodowawczej pracownika, który przekroczył zakres swoich obowiązków, oraz odpowiedzialności pracodawcy względem osoby trzeciej warto przywołać wyrok Sądu Najwyższego z 19 lutego 1976 r., III PR 21/76, w którym sąd uznał, że w świetle art 120 § 1 Kodeksu pracy pracodawca nie ponosi odpowiedzialności za szkodę wyrządzoną na terenie zakładu pracy przez osobę pozostającą z nim w stosunku pracy, jeżeli sprawca szkody wyrządził ją innej osobie w czasie przeznaczonym na wykonywanie przez niego pracy, przez czynności wykraczające poza zakres jego obowiązków pracowniczych i poza zakres działalności zakładu pracy. Sprawca takiej szkody, wyrządzając ją jedynie przy sposobności zatrudnienia w zakładzie pracy, nie występuje w charakterze pracownika, nie działa bowiem w zamiarze osiągnięcia celów objętych działalnością zakładu pracy.
Ponad wszelką wątpliwość między działaniem pracownika w związku z nieprawidłowym przetwarzaniem danych osobowych a wyrządzoną szkodą osobie trzeciej musi wystąpić związek przyczynowy. Problematyka tego związku nie jest przedmiotem szczególnej regulacji rozporządzenia RODO, jak również przepisów krajowego prawa pracy regulującego odpowiedzialność pracowniczą, niemniej jednak należy uznać, że pracownik wyrządza szkodę, wykonując obowiązki pracownicze − w tym przetwarzając dane osobowe w sytuacji, gdy szkoda ta pozostaje w normalnym związku z obowiązkami pracowniczymi, wynikającymi ze stosunku pracy, realizowanymi z zamiarem osiągnięcia celów zakładu pracy.
3 przesłanki odpowiedzialności pracownika
Stroną oficjalnie odpowiedzialną za naprawienie szkody, jaką doznała osoba trzecia w związku z naruszeniem zasad przetwarzania danych osobowych, jest administrator danych − czyli pracodawca zatrudniający pracownika, który dopuścił się naruszenia zasad ochrony danych. Naprawienie szkody przez administratora nie oznacza jednak, że jego pracownik nie będzie ponosił odpowiedzialności względem swojego pracodawcy.
Omawiając kwestie odpowiedzialności pracownika za szkodę wyrządzoną osobie trzeciej w związku z naruszeniem przepisów regulujących przetwarzanie danych osobowych – czyli podstawowych obowiązków pracowniczych, należy odwołać się do art. 114 Kodeksu pracy, który stanowi, że pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną. Z tej regulacji wynika, że odpowiedzialność pracownika wobec pracodawcy, który naprawił szkodę w związku z naruszeniem przez pracownika przepisów o ochronie danych osobowych, zaistnieje, gdy wystąpią następujące przesłanki:
- niewykonanie lub nienależyte wykonanie obowiązków związanych z przetwarzaniem danych osobowych,
- wina pracownika,
- wyrządzenie szkody pracodawcy.
Kwestia niewykonania lub nienależytego wykonania obowiązków pracowniczych związanych z przetwarzaniem danych osobowych wiąże się zupełnym zaniechaniem przestrzegania przepisów RODO, w tym przykładowo przepisów wykonawczych na szczeblu krajowym, jak również z częściowym (wybiórczym) nierealizowaniem przepisów regulujących ochronę danych osobowych. Warto bowiem pamiętać, że osoba trzecia może ponieść szkodę zarówno w związku z zupełnym ignorowaniem przez pracownika administratora przepisów o ochronie danych osobowych, jak i w odniesieniu do naruszenia wyłącznie wybranych zasad prawidłowego przetwarzania danych.
Odpowiedzialność materialna pracownika względem pracodawcy − administratora danych będzie miała zastosowanie w sytuacji, gdy niewykonanie lub nienależyte wykonanie obowiązków ma związek z winą pracownika. Pojęcie „winy” nie ma charakteru jednolitego − można wyróżnić winę nieumyślną, jak również winę umyślną. W relacjach między pracownikiem administratora danych a administratorem, czyli pracodawcą, w przeważającej części przypadków wina będzie miała charakter nieumyślny, która zazwyczaj związana jest z brakiem należytej staranności pracownika w ramach wykonywania obowiązków pracowniczych − w omawianym przypadku związanych z prawidłowym wypełnieniem przepisów regulujących przetwarzanie danych osobowych.
Przepisy Kodeksu pracy regulujące odpowiedzialność pracownika za szkodę wyrządzoną pracodawcy, odwołując się do pojęcia „szkody”, nie zawierają jej legalnej definicji. Na gruncie przepisów regulujących odpowiedzialność odszkodowawczą względem pracodawcy − administratora danych przyjmuje się, że chodzi o szkodę rzeczywistą.
Przepisy nie definiują bezpośrednio pojęcia „rzeczywistej straty” poniesionej przez pracodawcę. Można przyjąć, że rzeczywista szkoda jest uszczerbkiem poniesionym przez pracodawcę w jego mieniu − w mieniu przed wyrządzeniem szkody. Inaczej mówiąc, szkoda stanowi uszczerbek w majątku pracodawcy i jest możliwa do wykazania jako różnica między aktualnym stanem majątkowym pracodawcy a tym, który był przed wyrządzeniem szkody i jej naprawieniem przez pracodawcę względem osoby trzeciej.
Pracodawca jako administrator danych jest obowiązany wykazać okoliczności uzasadniające odpowiedzialność pracownika oraz wysokość powstałej szkody.Tym samym na zatrudniającym ciąży obowiązek wykazania pracownikowi, że naruszył przepisy regulujące ochronę danych osobowych, co spowodowało wyrządzenie szkody. Pracodawca musi również wykazać konkretną wysokość poniesionej szkody.
Pracodawca może przyczynić się do powstania szkody
Prawo pracy uwzględniając nierówność stron stosunku pracy, zawiera sporo przepisów chroniących pracownika. Jednym z nich jest zasada, zgodnie z którą pracownik nie ponosi odpowiedzialności za szkodę w takim zakresie, w jakim pracodawca lub inna osoba przyczyniły się do jej powstania lub zwiększenia, co jednoznacznie wynika z art. 117 Kodeksu pracy. Uwzględniwszy to,, jeżeli zatem administrator danych nie zapewni odpowiedniego bezpieczeństwa danych, w tym należnych środków ochronnych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, wówczas odpowiedzialność pracownika przetwarzającego dane osobowe może być w znacznym stopniu ograniczona lub nawet wyłączona (zobacz przykład 2).
Pracodawca rozpoczynający działalność zatrudnił pracownika dział kadr, który ma wykonywać w imieniu pracodawcy czynności z zakresu prawa pracy − w szczególności dotyczące przeprowadzania procesu rekrutacji, zatrudniania pracowników oraz z oczywistych względów czynności związane z przetwarzaniem danych osobowych − osób ubiegających się o zatrudnienie oraz pracowników. Pracodawca nie zapewnił właściwych środków technicznych i organizacyjnych mających na celu zabezpieczenie zarówno dokumentów wykorzystywanych w procesach rekrutacji, jak i założonych i prowadzonych pracowniczych akt osobowych − mimo wielokrotnych próśb pracownika działu kadr, który wskazywał, że obecne warunki uniemożliwiają przetwarzanie danych osobowych zgodnie z prawem i grożą wyciekiem danych.
W tej sytuacji pracownik nie będzie ponosił odpowiedzialności za szkodę w przypadku wycieku danych osobowych osób trzecich − uczestniczący w procesach rekrutacyjnych w takim zakresie, w jakim pracodawca przyczynił się do jej powstania lub zwiększenia. To pracodawca jest organizatorem procesu pracy i jako administrator danych osobowych ma obowiązek takiego zorganizowania stanowiska pracy pracownikowi działu kadr, aby przetwarzanie danych osobowych, w tym przechowywanie dokumentacji, zapewniało właściwy poziom bezpieczeństwa − w tym przed utratą lub zniszczeniem dokumentacji zawierającej dane osobowe.
Limit odszkodowania w przypadku winy nieumyślnej
W sytuacji gdy szkoda powstała z winy nieumyślnej, odszkodowanie należne pracodawcy od pracownika będzie kształtowało się w wysokości wypłacanego przez pracodawcę odszkodowania. Nie będzie ono jednak mogło być wyższe niż kwota 3-miesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody. Znacznie dotkliwsza dla pracownika z punktu widzenia finansowego będzie sytuacja, w której dopuścił się wyrządzenia szkody umyślnie. W takim wypadku pracownik będzie obowiązany do zwrotu pracodawcy pełnej wysokości odszkodowania, które zostało wypłacone osobie trzeciej.
Jak ubiegać się o odszkodowanie w 6 krokach
Aby wyegzekwować odszkodowanie od pracownika, konieczne będzie prawdopodobnie skierowanie sprawy na drogę sądową. Warto jednak najpierw spróbować drogi polubownej. To, jakie kroki powinien podjąć pracodawca, obrazuje tabela.
Lp. | Krok | Objaśnienie |
1. | Ustalenie osoby odpowiedzialnej i wysokości odszkodowania | Pracodawca musi podjąć decyzję, przeciwko komu roszczenia powinny być skierowane i jakiej kwoty żądać. Należy ocenić, który z pracowników nie wykonał lub nienależycie wykonał obowiązki wynikające ze stosunku pracy, a następnie ustalić, czy istnieje adekwatny związek przyczynowy pomiędzy zachowaniem pracownika a szkodą. Następnie trzeba zbadać, do jakiej wysokości pracownik ponosi odpowiedzialność odszkodowawczą (ma tu znaczenie stopień winy pracownika). Istotna z tego punktu widzenia jest też kwestia ewentualnego przyczynienia się pracodawcy lub innej osoby do powstania szkody. |
2. | Zgromadzenie dowodów | W celu dochodzenia roszczeń odszkodowawczych przeciwko pracownikowi przed sądem należy zwrócić uwagę, czy pracodawca dysponuje odpowiednimi dowodami pozwalającymi wykazać okoliczności przesądzające o jego odpowiedzialności (zwłaszcza dokumentami np. z wyników kontroli UODO, potencjalnymi świadkami). W razie braku dowodów potwierdzających okoliczności świadczące o odpowiedzialności pracownika kierowanie sprawy na drogę postępowania sądowego będzie bezcelowe. |
3. | Podjęcie próby ugodowego rozpoznania sporu | Należy skierować do pracownika wezwanie do zapłaty, w którym wskazana zostanie kwota odszkodowania, termin zapłaty, a także forma zapłaty (najczęściej rachunek bankowy szkoły). Trzeba też pokrótce opisać, z jakiego tytułu szkoła domaga się odszkodowania. Skierowanie do pracownika wezwania do zapłaty jest konieczne w celu tzw. postawienia roszczenia szkoły w stan wymagalności.
Ewentualnie warto zaproponować pracownikowi potrącenie należności szkodowej z jego wynagrodzenia miesięcznego. Takie potrącenie na tym etapie sprawy jest dopuszczalne wyłącznie za zgodą pracownika wyrażoną na piśmie. Poza tym dokonując potrącenia, pracownikowi należy pozostawić kwotę równą ustawowemu minimalnemu wynagrodzeniu za pracę przysługującego pracownikom zatrudnionym w pełnym wymiarze czasu pracy, po odliczeniu składek na ubezpieczenia społeczne oraz zaliczki na podatek dochodowy od osób fizycznych (art. 91 Kodeksu pracy). |
4. | Wytoczenie powództwa i udział w postępowaniu sądowym | Pozew jest jednym z najważniejszych pism procesowych, dlatego należy przygotować go bardzo starannie. Starannie przygotowany pozew może sprawić, że zasadność roszczenia szkoły nie będzie budziła wątpliwości, natomiast nieprawidłowe sporządzenie pozwu niekiedy spowoduje kłopoty, nawet w przypadku gdy odpowiedzialność odszkodowawcza pracownika będzie wydawała się oczywista.
Uwaga! Przed wytoczeniem powództwa należy upewnić się, czy roszczenie o odszkodowanie nie jest przedawnione. Co do zasady roszczenia pracodawcy o naprawienie szkody, wyrządzonej przez pracownika wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych, ulegają przedawnieniu w bardzo krótkim terminie − z upływem 1 roku od dnia, w którym pracodawca powziął wiadomość o wyrządzeniu przez pracownika szkody, nie później jednak niż z upływem 3 lat od jej wyrządzenia. Wyjątkiem jest sytuacja, w której pracownik wyrządza pracodawcy szkodę w sposób umyślny. W takim przypadku roszczenie odszkodowawcze pracodawcy ulega przedawnieniu z upływem lat trzech od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia. Jednakże termin ten nie może być dłuższy niż dziesięć lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę (art. 291 Kodeksu pracy). Następnie należy brać aktywny udział w posiedzeniu sądowym. Ewentualne niepomyślne orzeczenie sądu I instancji nie zamyka sprawy. Od wyroku przysługuje bowiem apelacja do sądu wyższej instancji (w przypadku sądu rejonowego – do sądu okręgowego, a w odniesieniu do sądu okręgowego – do sądu apelacyjnego), którą składa się do sądu, który wydał wyrok w terminie 14 dni od dnia otrzymania uzasadnienia wyroku albo w terminie 21 dni od dnia wydania wyroku. |
5. | Złożenie wniosku o nadanie klauzuli wykonalności | Jeżeli po uprawomocnieniu wyroku pracownik nie zapłaci niezwłocznie zasądzonego na rzecz pracodawcy odszkodowania, należy podjąć kroki zmierzające do wyegzekwowania należności w drodze egzekucji komorniczej. Wydanie prawomocnego wyroku nie oznacza jednak, że tego samego dnia można udać się do komornika i złożyć wniosek egzekucyjny. Prawomocny wyrok sądowy stanowi, co prawda, tzw. tytuł egzekucyjny, jednak sam fakt wydania wyroku czy legitymowanie się przez pracodawcę pisemnym odpisem wyroku nie jest jeszcze wystarczające do wszczęcia egzekucji. Po wydaniu prawomocnego wyroku pracodawca powinien wystąpić o nadaniu mu przez sąd tzw. klauzuli wykonalności. |
6. | Złożenie wniosku egzekucyjnego do komornika | Po otrzymaniu wyroku zaopatrzonego w klauzulę wykonalności możliwe jest skierowanie do komornika wniosku egzekucyjnego. Do wniosku egzekucyjnego należy załączyć tytuł wykonawczy. Musi on zostać załączony do wniosku w oryginale. |
Reasumując…
Odpowiedzialność pracownika przetwarzającego dane osobowe względem administratora danych – pracodawcy, który pokrył szkodę osobie trzeciej, opiera się na przepisach Kodeksu pracy regulujących odpowiedzialność materialną pracowników. Nie można oczywiście zabronić pracodawcy jako administratorowi danych stworzenia wewnętrznej regulacji odnoszącej się bezpośrednio do odpowiedzialności osób upoważnionych do przetwarzania danych osobowych normującej kwestie odpowiedzialności odszkodowawczej wobec pracodawcy, który pokrył szkodę wyrządzoną osobie trzeciej. Należy mieć na względzie, że procedura taka musi korespondować z przepisami kodeksowymi zarówno w zakresie przesłanek odpowiedzialności odszkodowawczej wobec pracodawcy, jak i dopuszczalnej wysokości odszkodowania, jakie będzie należało się od pracownika − z uwzględnieniem rodzaju winy oraz okoliczności towarzyszących. Wszelkie zasady określone w wewnętrznym regulaminie normującym odpowiedzialność odszkodowawczą, które naruszałyby przepisy powszechnie obowiązujące, nie będą mogły być na poziomie administratora danych (pracodawcy) respektowane. W ich miejsce będą miały zastosowanie przepisy Kodeksu pracy regulujące pracowniczą odpowiedzialność materialną.
Warto zauważyć, że pracodawca jako administrator danych nie ma bezpośredniego obowiązku prawnego opracowywania wewnętrznej procedury regulującej wzajemne prawa i obowiązki dotyczące kwestii odszkodowawczych w przypadku wyrządzenia przez pracownika szkody osobie trzeciej w związku z naruszeniem obowiązków pracowniczych − w tym zasad przetwarzania danych osobowych. Chcąc opracować taką procedurę, należy mieć na względzie, że będzie ona podlegała czynnościom kontrolno-nadzorczym realizowanym przez inspektorów Państwowej Inspekcji Pracy. Wewnętrzne zasady regulujące wzajemne prawa i obowiązki w zakresie odszkodowania za szkodę poniesioną w związku z wykonywaniem obowiązków pracowniczych − w tym obowiązków związanych z przetwarzaniem danych osobowych − opierają się bowiem na wspomnianych wcześniej zasadach wynikających z Kodeksu pracy, którego przestrzeganie przez pracodawców, w tym administratorów danych, jest weryfikowane przez inspektorów pracy w pierwszej kolejności. Tym samym każdy pracodawca jako administrator danych powinien rozważyć, czy zasadnym będzie tworzenie dodatkowej wewnętrznej regulacji, która będzie podlegała ewentualnej kontroli ze strony organów zewnętrznych, czy może wystarczające będzie przestrzeganie przepisów uregulowanych w Kodeksie pracy, normujących pracowniczą odpowiedzialność odszkodowawczą.
- Ustawa z 26 czerwca 1974 r. – Kodeks pracy (tekst jedn.: Dz.U. z 2019 r. poz. 1040) – art. 91, art. 114−127, art. 291.
źródło Wiedza i Praktyka