Tak orzekł Sąd Najwyższy w wyroku II PK 37/16 z 4 kwietnia 2017 r.
E.D. była zatrudniona w Oddziale Zakładu Ubezpieczeń Społecznych w B. (ZUS) na podstawie umowy o pracę na stanowisku kierowniczym. Równocześnie na podstawie umowy zlecenia świadczyła usługi dla R.W. który prowadził firmę P.W.J.M. Zakres zlecenia obejmował m.in. sporządzanie dokumentacji rozliczeniowej składek ZUS.
W ramach obowiązków służbowych w ZUS E.D. posiadała kartę magnetyczną z dostępem do systemu informatycznego, służącego przetwarzaniu danych osobowych. E.D. nadano upoważnienie do przetwarzania danych np. ubezpieczonych i świadczeniobiorców, w celach wynikających ze stosunku pracy. Własnoręcznym podpisem potwierdziła znajomość odpowiednich przepisów m.in.: kodeksu pracy, ustawy o ochronie danych osobowych, instrukcji zarządzania systemami informatycznymi.
16 października 2014 r. ZUS rozwiązał z E.D. umowę o pracę bez wypowiedzenia. Przyczyną było sprawdzenie i pobranie przez E.D. w systemie informatycznym ZUS dokumentacji rozliczeniowej składek na ubezpieczenie społeczne, przygotowanej i złożonej przez nią w imieniu płatnika - zleceniodawcy. Uznano, że E.D. w sposób nieuzasadniony wykorzystuje zasoby zgromadzone w ZUS, co zostało zakwalifikowane jako ciężkie naruszenie podstawowych obowiązków pracownika.
E.D. wniosła przeciwko ZUS pozew o zapłatę kwoty 20.091,60 zł z ustawowymi odsetkami tytułem odszkodowania za rozwiązanie umowy o pracę bez wypowiedzenia z naruszeniem przepisów. Sąd rejonowy oddalił powództwo oraz uznał, że wskazana okoliczność może stanowić podstawę do rozwiązania umowy o pracę bez wypowiedzenia.
Powódka złożyła apelację, na skutek której sąd okręgowy zasądził na jej rzecz kwotę 20.091,60 zł z ustawowymi odsetkami. Sąd stwierdził, że powódka mogła zalogować się do systemów informatycznych, uzyskując dostęp do danych zleceniodawcy, dla którego świadczyła usługi jako księgowa, oraz że zachowanie powódki nie wiązało się z umyślnością albo rażącym niedbalstwem. Nie wywołało także ryzyka ujawnienia danych płatnika i jego pracowników. Powódce można przypisywać jednorazowe, krótkotrwałe wykonywanie czynności na rzecz innej osoby z wykorzystaniem sprzętu pozwanego, co nie stanowiło ciężkiego naruszenia podstawowych obowiązków pracowniczych.
ZUS zaskarżył wyrok skargą kasacyjną.
Sąd Najwyższy podkreślił, że na pracodawcy spoczywa obowiązek wskazania przyczyny rozwiązania stosunku pracy. Przyczyna ta powinna być prawdziwa, konkretna i zrozumiała. Istotny pozostaje przede wszystkim fakt, z którego pracodawca wywodzi skutki prawne. Obiektywnej ocenie podlega, czy pracownik naruszył swoje podstawowe obowiązki. Decydujące znaczenie ma, czy dany obowiązek jest podstawowy, a jego naruszenie ma charakter ciężki. Określenie „ciężkie naruszenie" należy tłumaczyć z uwzględnieniem stopnia winy pracownika i zagrożenia dla interesów pracodawcy powstałego wskutek tego działania (zaniechania).
Jednocześnie, Sąd Najwyższy podkreślił, iż administratorem danych nie jest każdy dysponent danych osobowych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania. Osoba upoważniona powinna dokonywać operacji tylko w zakresie wyznaczonym przez administratora, który jest obowiązany dołożyć szczególnej staranności w doborze osób upoważnionych do przetwarzania danych.
Pobierając informację ze zbioru danych osobowych ZUS, E.D. uczyniła to niezgodnie z celem, dla jakiego zbiór ten stworzono i z przekroczeniem zakresu udzielonego jej upoważnienia. Zakres upoważnienia dla E.D. nie uwzględniał operacji na danych osobowych w celu realizacji łączącej powódkę z płatnikiem umowy zlecenia. E.D. znała zakres udzielonego jej upoważnienia. Podpisując oświadczenie o znajomości przepisów o ochronie danych, miała świadomość, jakie znaczenie przypisuje tej ochronie ustawodawca i ZUS. Rację ma pozwany zauważając, że samo wyposażenie w kartę magnetyczną do zalogowania się do systemu informatycznego nie oznaczało uprawnienia do nieograniczonego korzystania ze zgromadzonych tam danych osobowych. Dlatego, zachowanie powódki stanowiło w ocenie Sądu Najwyższego naruszenie podstawowych obowiązków pracowniczych. ?
—Przemysław Rogiński
starszy prawnik w gdańskim biurze Rödl & Partner
Komentowany wyrok został wydany na kanwie nieobowiązującej już ustawy o ochronie danych osobowych. Nie znaczy to, że rozważania sądu można zupełnie pominąć. Nowa ustawa o ochronie danych osobowych nie wspomina o upoważnieniu dla osoby przetwarzającej dane osobowe, a Ogólne Rozporządzenie o ochronie danych (RODO) bardzo lakonicznie odwołuje się do tej instytucji w art. 29.
Warto zaznaczyć, że RODO nie nakłada obowiązku wydania pisemnego upoważnienia, ale kładzie nacisk na możliwość przetwarzania przez upoważnionego danych osobowych wyłącznie na polecenie administratora. W związku z tym kluczowe będzie działanie upoważnionego na podstawie polecenia administratora. Zarówno wobec upoważnienia jak i polecenia, nie została zastrzeżona konkretna forma (przez co możliwa jest forma ustna).
Zgodnie z poprzednio obowiązującą ustawą, na administratorze ciążył obowiązek szczególnej staranności przy doborze osób upoważnionych. Obowiązek ten się nie zdezaktualizował, mimo że nie jest nigdzie wskazany wprost. Wręcz przeciwnie, teraz administrator lub procesor tym bardziej powinien dokładnie przemyśleć, kto będzie upoważniony. Szczególnie, że RODO nakłada obowiązek zapewnienia, że podjęte zostały takie działania, by osoby upoważnione przetwarzały dane osobowe wyłącznie na polecenie administratora. Ponadto, w przypadku powierzenia danych osobowych procesorowi, powinien on zapewnić, by osoby przez niego upoważnione zobowiązały się do zachowania tajemnicy.
Wobec wymagań, jakie stawia RODO (zasada rozliczalności), najrozsądniej będzie przyjąć co najmniej formę dokumentową dla upoważnienia i polecenia oraz wskazać zakres danych objętych upoważnieniem, wraz z informacją dla jakich celów zostało ono nadane. Jednocześnie upoważniony powinien zostać poinformowany o zasadach przetwarzania danych, włączając w to obowiązek zachowania tajemnicy.
Pamiętając o tym, jak ważne jest prawidłowe przetwarzanie danych osobowych, za słuszne należy ocenić ich przetwarzanie przez osoby upo- ważnione jako ich podstawowy obowiązek pracow- niczy. Naruszenie zakresu upoważnienia wywołać może skutki nie tylko wobec upoważnionego (rozwiązanie umowy o pracę bez wypowiedzenia), ale też wobec udzielającego upoważnienia. ?