RODO reguluje zasady odpowiedzialności za naruszenie przepisów z zakresu ochrony danych osobowych oraz określa sankcje, jakie mogą zostać nałożone z tego tytułu. W praktyce często pojawia się pytanie, czy pracownik, który dopuścił się naruszenia ochrony danych osobowych, w tym doprowadził do wycieku danych, w ramach wykonywania obowiązków pracowniczych, może zostać z tego tytułu pociągnięty do odpowiedzialności, a jeżeli tak, to przez kogo i na jakich zasadach.
Ogólne zasady odpowiedzialności za wyciek danych osobowych
Zgodnie z RODO odpowiedzialność za naruszenie ochrony danych osobowych ponosi administrator danych osobowych lub podmiot przetwarzający. W ramach przedmiotowej odpowiedzialności, na administratora i podmiot przetwarzający, może zostać nałożona administracyjna kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Administrator i podmiot przetwarzający podlegają również odpowiedzialności za szkodę wyrządzoną osobom trzecim z tytułu naruszenia RODO. Na podstawie RODO, każda osoba, która poniosła szkodę w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Administratorem danych osobowych i podmiotem przetwarzającym jest zawsze pracodawca, nigdy pracownik. Zatem niezależnie od tego, kto ponosi winę za wyciek danych lub inne naruszenie ochrony danych osobowych RODO, odpowiedzialność w pierwszej kolejności poniesie pracodawca.
Odpowiedzialność pracownika
W przypadku jednak, gdy do wycieku danych lub innego naruszenia przepisów dotyczących danych osobowych RODO dojdzie z winy pracownika i na skutek tego naruszenia, pracodawca będzie zobowiązany do zapłaty kary pieniężnej lub odszkodowania, może on pociągnąć pracownika do odpowiedzialności materialnej, zgodnie z zasadami określonymi w kodeksie pracy. Górna granica odpowiedzialności materialnej pracownika wobec pracodawcy to 3-krotność wynagrodzenia pracownika. Zatem jeśli do wycieku danych osobowych RODO dojdzie na skutek niedbalstwa lub lekkomyślności pracownika, jego odpowiedzialność będzie znacząco ograniczona. Jedynie w razie szkody wyrządzonej z winy umyślnej, pracownik ma obowiązek naprawienia szkody w pełnej wysokości. Analogicznie, w przypadku, gdy pracownik przy wykonywaniu obowiązków pracowniczych wyrządzi szkodę osobie trzeciej, zgodnie z kodeksem pracy, do naprawienia szkody zobowiązany będzie pracodawca. Pracownik odpowie następczo przed pracodawcą do wysokości 3-krotności wynagrodzenia. Doprowadzenie do wycieku danych osobowych może także stanowić podstawę wypowiedzenia umowy o pracę. Jeżeli w związku z takim incydentem pracownikowi można zarzucić ciężkie naruszenie podstawowych obowiązków pracowniczych, jest to również podstawa do zwolnienia dyscyplinarnego.
Odpowiedzialność karna
Przepisy z zakresu ochrony danych osobowych przewidują także możliwość odpowiedzialności karnej pracownika. Ustawa o ochronie danych osobowych przewiduje dwa rodzaje przestępstw związanych z ochroną danych. Po pierwsze, jest to przestępstwo nielegalnego przetwarzania danych osobowych RODO, czyli przetwarzania w sytuacji, gdy nie jest to dopuszczalne albo gdy przetwarzający nie jest do tego uprawniony. Po drugie, ustawa przeanalizuje zachowanie polegające na udaremnianiu lub utrudnianiu kontroli przestrzegania RODO. Oba opisane przestępstwa podlegają zagrożeniu karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. Cechą odpowiedzialności karnej jest jej osobisty charakter. Zatem w sytuacji, gdy pracownik dopuści się jednego z ww. przestępstw, poniesie on z tego tytułu odpowiedzialność karną. Przy czym warto zauważyć, że wymienione przestępstwa dotyczą innych naruszeń niż doprowadzenie do wycieku danych osobowych.
Komentarz Capital Legal
Pracodawca, jako administrator danych osobowych lub podmiot przetwarzający, ponosi odpowiedzialność, za wyciek danych, którego dopuścili się podlegli mu pracownicy. Pracownik zasadniczo odpowiada względem pracodawcy jedynie na zasadach określonych w kodeksie pracy, czyli do wysokości 3-krotności wynagrodzenia. Mając na uwadze, że na pracodawcę może zostać nałożona kara w wysokości nawet 20 000 000 euro lub 4% obrotu, zaś osoby pokrzywdzone wyciekiem danych osobowych mogą dochodzić znacznych odszkodowań. Stopień zrekompensowania tej szkody przez pracownika będzie wyłącznie symboliczny.