P racodawca – pozyskuje i przetwarza nasze dane osobowe w określonych celach np. do procesu rekrutacyjnego, należytego wykonania swoich obowiązków względem pracownika tj. wypłaty wynagrodzenia, naliczenia urlopu czy uzyskania przez pracownika innych uprawnień. Nasze dane osobowe są przez niego przetwarzane przez cały czas trwania stosunku pracy. W takim wypadku pracodawca uzyskuje funkcję Administratora danych osobowych.

Dane osobowe – to wszelkie dane dotyczące i pozwalające zidentyfikować osobę np. jej imię, nazwisko, pseudonim, wiek, PESEL, miejsca zamieszkania, adres korespondencyjny, adres e-mail, czy też nawet adres IP i dane dotyczące zatrudnienia takie jak nazwa i adres pracodawcy, przebieg zatrudnienia, otrzymywanych poleceń itp.

Naruszenie poufności danych osobowych–  przypadkowe, niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie lub ujawnienie,  a także m.in. udzielenie nieuprawnionego dostępu do takich danych.

Często zdarza się, tym bardziej w dobie popularności pracy zdalnej, że pracodawca komunikuje się z nami za pośrednictwem wiadomości e-mail. Wysłanie takiej wiadomości pod niewłaściwy adres email, a wiec de facto do zupełnie innej osoby, powoduje naruszenie przez pracodawcę poufności naszych danych osobowych.

Jeżeli dojdzie do takiej sytuacji, pracodawca ma obowiązek zawiadomić osobę, której dane dotyczą o naruszeniu ochrony jej danych osobowych (art. 34 RODO) oraz zgłosić naruszenie ochrony tych danych do Prezesa Urzędu Ochrony Danych Osobowych.

Ponadto, Prezes Urzędu Ochrony Danych Osobowych, rekomenduje aby pracodawca dopuszczający się naruszenia pokrył roczny abonament dotyczący raportu i alertów BIK na temat osoby, której te dane dotyczą.

Ale to nie wszystko. Jeżeli dostaniemy od pracodawcy zawiadomienie o naruszeniu naszych danych osobowych lub po prostu dowiemy się inną drogą o takim naruszeniu, to na podstawie art. 82 ust. 1 RODO „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”. Z kolei podmiotem odpowiedzialnym za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie jest administrator lub podmiot przetwarzający (art. 82 ust. 2 RODO).

Przekładając powyższe unormowania na polski porządek prawny, należy wskazać, iż przepisy kodeksu cywilnego przewidują rozwiązania dotyczące

• szkody majątkowej (nazywanej szkodą, art. 361 k.c.)

oraz

• szkody niemajątkowej (nazywanej krzywdą, np. art. 445 k.c.).

Szkoda majątkowa – na gruncie art. 361 k.c. wskazuje się, że szkodą są straty, które poszkodowany poniósł oraz korzyści, które mógłby osiągnąć, gdyby szkody mu nie wyrządzono.

Szkoda niemajątkowa – dotyczy sfery psychicznej człowieka. W ten sposób, zadośćuczynienia czyli rekompensaty za krzywdę, nie da się w sposób jednoznaczny wycenić. Zgodnie z poglądami prezentowanymi przez orzecznictwo i doktrynę prawa przy określeniu wysokości zadośćuczynienia należy wziąć pod uwagę wszelkie okoliczności indywidualne, związane z pokrzywdzonym, które mają wpływ na rozmiar doznanej przez niego krzywdy. Krzywdą będzie np. stres wywołany możliwością użycia naszych danych osobowych.

W związku z powyższym, uzyskujemy uprawnienie do żądania od pracodawcy zapłaty odszkodowania lub zadośćuczynienia z tytułu naruszenia ochrony poufności naszych danych osobowych.

Sądy rozpatrujące tego typu sprawy, dotychczas z reguły zasądzały kwotę zadośćuczynienia rzędu 1.000 – 1.500 zł

(zob. m.in. wyrok Sądu Okręgowego w Warszawie z dnia 7 lutego 2023 roku, sygnatura akt III C 280/22, wyrok Sądu Okręgowego Warszawa -Praga w Warszawie z dnia 17 marca 2022 roku, sygnatura akt II C 1228/19, wyrok Sądu Okręgowego Warszawa – Praga w Warszawie z dnia 17 grudnia 2021 roku, sygnatura akt III C 169/19).

Możliwe jest również zgłoszenie naruszenia ochrony danych osobowych do PUODO, który może nałożyć karę pieniężną, na podmiot dopuszczający się takich naruszeń.

Oczywiście, do naruszenia poufności naszych danych osobowych może dość nie tylko w trakcie zatrudnienia, ale również we wszystkich innych dziedzinach życia, w których przekazujemy wyspecjalizowanemu podmiotowi nasze dane osobowe.

Z tych względów zawsze warto rozpocząć negocjacje z administratorem danych osobowych, który dopuścił się naruszenia – a w których przeprowadzeniu z pewnością pomoże wykwalifikowana kancelaria prawna.

radca prawny
Marta Kreft-Kopicka