Wprowadzenie RODO, będące próbą ujednolicenia i zharmonizowania europejskich przepisów dotyczących przetwarzania danych osobowych, było niewątpliwie momentem przełomowym, znacząco zwiększającym bezpieczeństwo osób fizycznych w tym zakresie. Aby było to jednak możliwe, konieczne było również dokonanie zmian w kwestii odpowiedzialności osób dopuszczających się naruszeń. Jedną z grup, na które znacząco wpłynęły modyfikacje tych norm są jednostki samorządu terytorialnego i zatrudnieni w nich pracownicy. Jak wobec tego kształtuje się ich odpowiedzialność na mocy aktualnie obowiązujących przepisów?
ODPOWIEDZIALNOŚĆ PORZĄDKOWA I DYSCYPLINARNA:
Przy obecnym stanie prawnym podmioty dokonujące naruszeń muszą zmierzyć się z kilkoma rodzajami konsekwencji. Podstawowymi z nich jest odpowiedzialność porządkowa oraz dyscyplinarna. Ich podstaw w przypadku jednostek samorządu terytorialnego należałoby szukać w Ustawie z dnia 21 listopada 2008 r. o pracownikach samorządowych, która wprost odnosi się do osób zatrudnionych w JST. Nie zawiera ona jednak żadnych przepisów mówiących o jakimkolwiek rodzaju odpowiedzialności urzędników, za to w artykule 43. odsyła, w sprawach nieuregulowanych w ustawie, do przepisów Kodeksu pracy.
W związku z tym, art. 108 k.p. przewiduje karę upomnienia lub karę nagany
za „nieprzestrzeganie przez pracownika ustalonej organizacji i porządku w procesie pracy, przepisów bezpieczeństwa i higieny pracy, przepisów przeciwpożarowych, a także przyjętego sposobu potwierdzania przybycia i obecności w pracy oraz usprawiedliwiania nieobecności
w pracy”, do czego można również zaliczyć nieprzestrzeganie zasad i procedur zawartych
w RODO, zwłaszcza jeśli pracownik wcześniej zobowiązał się do ich stosowania.
W skrajnych przypadkach naruszenie wskazanych wyżej norm będzie mogło zostać uznane
za „ciężkie naruszenie przez pracownika podstawowych obowiązków pracowniczych”
i na mocy art. 52 par. 1 pkt 1 k.p. będzie skutkowało możliwością rozwiązania umowy o pracę bez wypowiedzenia z winy pracownika.
W kwestii odpowiedzialności dyscyplinarnej niezwykle istotna jest również norma zawarta
w artykule 58 Ustawy o Ochronie Danych Osobowych, zgodnie z którą Prezes Urzędu może żądać „wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń, i poinformowania go,
w określonym terminie, o wynikach tego postępowania i podjętych działaniach”, jeżeli
„na podstawie posiadanych informacji uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych”.
ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA:
Zgodnie z zapisami rozporządzenia 2016/679 krajowe organy nadzoru dysponują uprawnieniem do nakładania na podmioty dokonujące naruszeń pieniężnych kar administracyjnych. Kara taka może być nałożona obok albo zamiast środków naprawczych
o charakterze niepieniężnym. Jeśli jednak organ uzna, że bardziej zasadne jest wymierzenie kary pieniężnej, na podstawie przepisów RODO, ma w takiej sytuacji do dyspozycji 2 przedziały stawek: niższy (do 10 mln euro, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) i wyższy (do 20 mln euro,
a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu
z poprzedniego roku obrotowego). Decyzja co do wyboru jednej z kwot uzależniona jest zawsze od konkretnych okoliczności i dokonywana na podstawie indywidualnego przypadku.
W kwestii jednostek sektora finansów publicznych, czyli m.in. gmin i powiatów, sytuacja wygląda jednak nieco inaczej, bowiem krajowa Ustawa o ochronie danych osobowych wprowadziła dla nich odmienną, łagodniejszą karę w wysokości do 100 000 złotych.
Art. 102 ust. 1 pkt 1 OchrDanychU: „Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 ustawy z dnia 27 sierpnia 2009 r.
o finansach publicznych”.
ODPOWIEDZIALNOŚĆ CYWILNOPRAWNA:
Mówiąc o odpowiedzialności nie można również zapomnieć o tej wynikającej z artykułu 82 RODO. Zgodnie z nim „każda osoba, która poniosła szkodę majątkową lub niemajątkową
w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
Art. 82 ust. 6 RODO wskazuje ponadto, że „postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2”.
Warto przy tym wspomnieć, że postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu może być wszczęte niezależnie od tego czy osoba, której dane dotyczą, wykorzystała już inne środki ochrony prawnej, w tym prawo do wniesienia skargi do organu nadzorczego. Charakter tej czynności ma bowiem charakter wyłącznie prywatnoprawny
i dotyczy jedynie relacji administrator/procesor – podmiot danych.
ODPOWIEDZIALNOŚĆ KARNA:
Niewątpliwie najbardziej dolegliwą dla pracowników zatrudnionych w jednostkach samorządu terytorialnego konsekwencją jest zagrożenie odpowiedzialnością karną w przypadku przetwarzania danych niezgodnie z prawem. Tylko na nich bowiem, jako osoby fizyczne, mogą być nałożone kary wymienione w Ustawie o ochronie danych osobowych. Na podstawie
art. 107 ust. 1 OchrDanychU,„kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”.
Co więcej, kara pozbawienia wolności może wzrosnąć do lat trzech, jeśli „czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej”, czyli tzw. „danych wrażliwych”(art. 107 ust. 2 OchrDanychU).
Grzywnie, karze ograniczenia wolności albo pozbawienia wolności podlegają też osoby „udaremniające lub utrudniające kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych”, a także osoby, które „w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej nie dostarczają danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczają dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej” (art. 108 ust. 1 i 2 OchrDanychU).
Trzeba jednak dodać, że we wszystkich wskazanych wyżej przypadkach, do nałożenia kary niezbędne jest udowodnienie pracownikowi umyślności w jego działaniu lub zaniechaniu.
ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA:
Ostatnim rodzajem odpowiedzialności, która potencjalnie czeka pracownika samorządowego naruszającego przepisy Rozporządzenia, jest norma zawarta w artykule 115 Kodeksu pracy przewidująca możliwość poniesienia przez pracownika odpowiedzialności za szkodę wyrządzoną pracodawcy.
Gdyby więc pracodawca, w wyniku naruszenia spowodowanego przez swojego pracownika,
w szczególności w związku z nieprzestrzeganiem norm zawartych w RODO, poniósł szkodę,
np. musiał wypłacić innemu podmiotowi stosowne odszkodowanie, pracownik będzie ponosił odpowiedzialność za szkodę „w granicach rzeczywistej straty poniesionej przez pracodawcę i tylko za normalne następstwa działania lub zaniechania, z którego wynikła szkoda” (art. 115 k.p.).
ŹRÓDŁA:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.)
- Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy. (Dz.U. 1974 nr 24 poz. 141 z późn. zm.)
- Ustawa z dnia 21 listopada 2008 r. o pracownikach samorządowych (Dz.U. 2008 nr 224 poz. 1458 z późn. zm.)
- Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.U. 2009 nr 157 poz. 1240 z późn. zm.)