Z naszych nieoficjalnych informacji wynika, że dane osobowe prawie 300 płatników, w tym w znacznej części płatników będących osobami fizycznymi, wyciekły z Zakładu Ubezpieczeń Społecznych. Za wyciek odpowiada pracownik ZUS będący członkiem jednego ze związków zawodowych działających w Zakładzie, który drogą mailową wysłał je na prywatny adres mailowy wiceprzewodniczącego związku zawodowego, który już nie jest pracownikiem ZUS (a wcześniej, gdy pracował jeszcze w ZUS, był przewodniczącym związku na poziomie zakładowym). W ten sposób przekazane zostały dane osób fizycznych – ich imiona, nazwiska, daty i miejsca urodzenia, adresy zamieszkania, numery PESEL, numery dowodu osobistego oraz numery rachunku bankowego.

To, że doszło do takiej sytuacji potwierdził serwisowi Prawo.pl Paweł Żebrowski, rzecznik prasowy ZUS. - System bezpieczeństwa w Zakładzie Ubezpieczeń Społecznych wykrył incydent związany z naruszeniem danych osobowych przez pracownika. Sprawa została zgłoszona m.in. do Prezesa Urzędu Ochrony Danych Osobowych. ZUS złożył również zawiadomienia do prokuratury. Zgodnie z przepisami Zakład poinformuje o incydencie osoby, których ta sprawa dotyczy. Wobec pracownika ZUS zostały wyciągnięte konsekwencje służbowe – przekazał Paweł Żebrowski w odpowiedzi na nasze pytania.

- Mamy informację, że ZUS ma zamiar zwolnienia członkini naszego zakładowego zarządu. ZUS nigdy nie zgłaszał zastrzeżeń do jej pracy, a niedawno otrzymała awans. Wydaje się więc, że chodzi o próbę zastraszenia naszego związku i zamknięcia nam ust - mówi serwisowi Prawo.pl Piotr Szumlewicz, przewodniczący Związku Zawodowego Związkowa Alternatywa. 

Naruszenie bezpieczeństwa danych czy także naruszenie ochrony danych osobowych i ewentualna kara

Zasadą jest, że dostęp do danych mamy w swojej pracy w ściśle określonym celu. Pracownik otrzymuje upoważnienie do ściśle określonych danych w związku z jego stosunkiem pracy, w zakresie jego zadań pracowniczych. Jeżeli zatem dane te wykorzystuje do innej działalności, to tym samym zmienia cel ich przetwarzania. A jeżeli jeszcze udostępnia je osobie trzeciej, czyli komuś, kto nie jest pracownikiem instytucji (w tym przypadku - ZUS) i nie jest upoważniony do dostępu do takich danych, to może istnieć niebezpieczeństwo naruszenia RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ponieważ udostępnione zostały dane osobowe osób fizycznych (ubezpieczonych). I nie ma tu znaczenia, że udostępnienie danych nastąpiło w obrębie związku zawodowego.

Co ważne, jak podkreślają prawnicy, nie można zmienić celu przetwarzania danych osobowych, a w szczególności - sam pracownik nie może zmienić celu służbowego na związkowy.

- Umyślność lub brak umyślności działania związana z naruszeniem przepisów RODO będzie miała znaczenie przy ewentualnym nałożeniu kary pieniężnej na ZUS jako administratora danych osobowych, jest to bowiem jedna z przesłanek wymienionych w art. 83 ust. 2 RODO. Jak podkreśla EROD w swoich wytycznych, będzie to wymagało analizy wiedzy, jak i celowości działania administratora - mówi serwisowi Prawo.pl dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz i Wspólnicy. Jak zaznacza, w toku analizy naruszenia przepisów RODO Prezes Urzędu Ochrony Danych Osobowych uwzględniał będzie również m.in. charakter, wagę i czas trwania naruszenia, sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a także wszelkie inne obciążające lub łagodzące czynniki, co obejmuje wszystkie uzasadnione względy, dotyczące kontekstu społeczno-gospodarczego. - Wszystko to będzie przedmiotem badania w toku postępowania, czyli badane będą okoliczności i przyczyny ujawnienia danych osobom nieuprawnionym - podkreśla dr Lubasz. Jak twierdzi, jeśli okazałoby się, że jest jakieś uzasadnione działanie, które można byłoby tłumaczyć ochroną jakichś interesów, to mogłaby to być przesłanka łagodząca, którą bierze się pod uwagę przy wysokości ewentualnej administracyjnej kary pieniężnej, ale na tym etapie nie można tego ocenić.

Jak tłumaczy, zawsze to pracodawca jako administrator danych osobowych, jest narażony na sankcje w postaci administracyjnej kary pieniężnej wynikającej z przepisów RODO, ale nie ma tu automatu. - Prezes UODO może, ale nie musi nałożyć karę pieniężną, ponieważ, jeśli dopatrzy się naruszenia przepisów rozporządzenia, może podjąć autonomicznie w stosunku do kary inne działanie z art. 58 ust. 2 RODO, czyli wykorzystać przysługujące mu uprawnienia naprawcze np. udzielić upomnienia – wskazuje dr Lubasz.

Czytaj również: Związki zawodowe chcą lepszego dostępu do zakładów, pracodawcy mówią o zagrożeniach>>

Przepisy o związkach zawodowych nie pomogą

- Nie znając szczegółów sprawy, pierwsze pytanie, jakie się pojawia, to dlaczego osoba uzyskała dostęp do takich danych. Stało się tak, bo albo miało to związek z działalnością związkową, albo osoba ta, będąc związkowcem, miała do nich dostęp jako pracownik – mówi Przemysław Ciszek, radca prawny, partner zarządzający w kancelarii C&C Chakowski & Ciszek, wykładowca prawa pracy na Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie. Jak podkreśla, w tego rodzaju sytuacjach odróżnia się, czy w posiadanie danych osoba weszła przy pełnieniu funkcji związkowej, czy przy okazji wykonywania pracy. – Ja rozumiem, że ta osoba pracująca w ZUS i mająca dostęp do systemu Zakładu i danych klientów, przekazała te dane na zewnątrz. Jeśli tak, to dane ubezpieczonych nie są danymi potrzebnymi do działalności związkowej. Zgodnie bowiem z art. 28 ustawy o związkach zawodowych związki mogą żądać informacji niezbędnej do działalności związkowej. Ta informacja nie spełnia tego wymogu, ponieważ to jest informacja poufna dotycząca klientów ZUS. Moim zdaniem, możemy mieć tu do czynienia z naruszeniem zasad. W grę wchodzić będzie nie tylko RODO, ale także tajemnica przedsiębiorstwa. Podejrzewam, że w umowie o pracę też były jakieś ograniczenia dotyczące poufności. Pytanie zatem, dlaczego osoba nie będąca pracownikiem potrzebowała tych danych. W tym przypadku na pewno przepisy związkowe nie będą miały żadnego znaczenia i fakt, że osobą, która udostępniła te dane był związkowiec, nie będzie miało żadnego znaczenia – podkreśla mec. Ciszek. I dodaje: - Nawet jeżeli byłby to przypadek czy niedochowanie staranności, to sprawa wygląda poważnie.

Także zdaniem dra Dominika Lubasza, sam fakt, że ktoś jest związkowcem, nie uzasadnia sam w sobie takiego ujawnienia danych osobowych, zwłaszcza o takim zakresie danych. - Uprawnienia związków zawodowych wynikają z ustawy o związkach zawodowych,  w szczególności art. 26 i 28 w związku z art. 23 ust. 1, ale opisane ujawnienie danych się w nich raczej nie mieści. Nawet jeśli ujawnienie danych miałoby na celu ochronę indywidualnych interesów pracowników w ramach uprawnień kontrolnych związków, to badany musi być zakres takiego ujawnienia. Tym niemniej w kontekście naruszenia przyczyny ujawnienia mogą być relewantne i wpływać zarówno na ocenę czy doszło do naruszenia przepisów RODO, a następnie na decyzję o ewentualnym nałożeniu administracyjnej kary pieniężnej, jak i ustalenie jej wysokości. Zakres danych w tym przypadku jest raczej okolicznością negatywnie wpływającą na ocenę – podkreśla dr Lubasz.

Kodeks pracy. Wynagrodzenia, urlopy i czas pracy. Ochrona zatrudnienia i świadectwa pracy. Organizacje pracodawców, związki zawodowe i spory zbiorowe

Sprawdź  

Szef związku i sam związek też mogli naruszyć RODO

Zdaniem prawników, w tym przypadku możemy mieć do czynienia z naruszeniem z dwóch stron, bo z jednej strony przepisy o ochronie danych osobowych naruszył pracownik, który przekazał dane na zewnątrz i naruszył RODO, ale też szef związku zawodowego, który je przyjął – choćby tylko je przechowywał. Co więcej, można się też zastanawiać nad naruszeniem ze strony samego związku zawodowego, jeśli te dane zostałyby wykorzystane do jakichkolwiek celów związku zawodowego.

Odpowiedzialność pracownika za szkodę i odpowiedzialność karna

Jak podkreśla dr Dominik Lubasz, jeśli okazałoby się, że naruszenie spowodował pracownik, którego działanie było wbrew regułom obowiązującym u pracodawcy i spowodowało nałożenie na pracodawcę kary pieniężnej, to może on ponosić odpowiedzialność za szkodę, jaką poniósł pracodawca na skutek nałożenia kary, o ile wynikało to z zawinionego niewykonania lub nienależytego wykonania przez pracownika obowiązków pracowniczych (art. 114 i następne k.p). - Należy tu jednak pamiętać o ewentualnych ograniczeniach odpowiedzialności pracownika z art. 117 k.p. – zastrzega. I dodaje: - Natomiast jeżeli chodzi o odpowiedzialność odszkodowawczą, to na gruncie przepisów art. 82 RODO, odpowiedzialnym jest administrator danych osobowych, więc ewentualne roszczenia osób, których dane zostały ujawnione, powinny być kierowane do ZUS, o ile u źródeł naruszenia bezpieczeństwa legło ostatecznie naruszenie przepisów RODO.

W ocenie dr Lubasza, można się też zastanowić nad tym, czy nie będzie również wchodził w grę art. 107 ustawy o ochronie danych osobowych, który kształtuje odpowiedzialność karną. I przypomina, że odpowiedzialność karna jest osobista, czyli musi być skierowana do konkretnej osoby. – Tu odpowiedzialność karna obejmować będzie osoby, które przetwarzają dane osobowe, choć do ich przetwarzania nie są uprawnione – wskazuje.

Czytaj też w LEX: Odpowiedzialność karna w świetle ustawy o ochronie danych osobowych >

Czytaj również: TSUE wypowiedział się na temat odszkodowań związanych z naruszeniem RODO>>

Próba zastraszenia związkowców?

- Sytuacja w Zakładzie Ubezpieczeń Społecznych jest bardzo napięta. Nasza liderka w ZUS została zwolniona dyscyplinarnie za działalność związkową i, pomimo zmiany rządu, wciąż nie została przywrócona do pracy. W tle jest też nagłośniona przez nas sprawa osób sprzątających w Zgierzu, które miały warunki zatrudnienia urągające ludzkiej godności. Zamiast przeprosić i przeprowadzić audyt w sprawie warunków pracy personelu sprzątającego, ZUS uparcie przekonuje, że nie ma tu jego winy i na dodatek doszukuje się złej woli z naszej strony. I trzecia sprawa – cały czas trwają dyskusje na temat porozumienia płacowego, które uważamy za niesprawiedliwe. Wydaje się, że groźbą zwolnienia naszej liderki pracodawca mści się za nagłaśnianie patologii i zarazem wywiera presję, abyśmy podpisali porozumienie. To jest kontekst całej sprawy – mówi Piotr Szumlewicz.