Pracodawca jako ponoszący odpowiedzialność administrator danych osobowych uczestników postępowania wyjaśniającego

Bieżące doradztwo prawne i podatkowe  /   13 czerwca 2022

dane osobowe

4 lutego 2021 r. Sąd Najwyższy wydał wyrok1, oceniany jako jedno z najważniejszych orzeczeń z zakresu prawa pracy i zarządzania zasobami ludzkimi  w 2021 r. W analizowanym orzeczeniu Sąd Najwyższy rozstrzygnął, że pracodawca, który zlecił prowadzenie postępowania antymobbingowego podmiotowi zewnętrznemu (art. 943 § 1 k.p.), jako administrator danych osobowych ponosi odpowiedzialność za naruszenie dóbr osobistych pracownika, gdy jego dane osobowe (w tym dotyczące zdrowia) zostały przekazane temu podmiotowi z naruszeniem przepisów o ochronie danych osobowych.

Stan faktyczny

Przedmiotem sprawy stanowiącym podstawę do wydania przez Sąd Najwyższy wyroku z 4 lutego 2021 r. było żądanie przez powódkę – pracownicę banku – kwoty 10 000 zł tytułem zadośćuczynienia za naruszenie przez pracodawcę jej dóbr osobistych, tj. czci, dobrego imienia, poczucia bezpieczeństwa oraz prawa do ochrony danych osobowych, przez bezprawne udzielenie osobie trzeciej określonych informacji zawartych w zbiorach administrowanych przez pozwaną. Pozwany bank, broniąc się przed zarzutem naruszenia dóbr osobistych wskutek ujawnienia osobom nieupoważnionym danych osobowych powódki, zawartych w zgłoszeniu przez nią praktyk mobbingowych, twierdził, że działał w granicach prawa, a ściślej – przepisów o ochronie danych osobowych oraz Kodeksu pracy i zakładowych przepisów antymobbingowych.

Zgodnie z ustalonym przez sądy stanem faktycznym powódka była zatrudniona w banku,  w którym obowiązywała procedura „Prawo alertu etycznego/whistleblowing”. Powódka w ramach tej procedury przesłała drogą listowną, w kopercie zaadresowanej do rąk własnych z dopiskiem „poufne” pismo, w którym opisała swoje zastrzeżenia co do pracy. W skardze opisała w szczególności stosowane względem niej praktyki o charakterze mobbingowym oraz wpływ tych działań na stan jej zdrowia. Pozwany bank zawarł z podmiotem zewnętrznym umowę dotyczącą świadczenia usług doradczych, a następnie przekazał do wglądu pismo powódki ze skargą. Firma zewnętrzna miała wesprzeć pracodawcę w komunikowaniu się z powódką, a następnie przekazać raport wraz z podsumowaniem i rekomendacjami. Co istotne, powódka nie składała pracodawcy oświadczenia o upoważnieniu osoby trzeciej do zapoznania się ze skargą.

Zakres pojęcia mobbingu

Zgodnie z art. 943 k.p. pracodawca ma obowiązek przeciwdziałania mobbingowi. Sąd Najwyższy przypomniał, że obowiązek przeciwdziałania mobbingowi można rozpatrywać na trzech poziomach: po pierwsze, chodzi o zakaz mobbingu bezpośrednio ze strony pracodawcy (osób podejmujących w imieniu pracodawcy czynności z zakresu prawa pracy), po drugie, o obowiązek pracodawcy eliminowania mobbingu w przypadku jego wystąpienia, po trzecie, o obowiązek zapobiegania mobbingowi, czyli stosowania „prewencji antymobbingowej”. Skutkiem niedopełnienia obowiązku przeciwdziałania mobbingowi jest odpowiedzialność odszkodowawcza pracodawcy określona w art. 943 § 3–4 k.p.

W przedmiotowej sprawie pozwany bank, realizując swoje obowiązki wynikające z powyższych unormowań, ustanowił procedurę „Prawo alertu etycznego/whistleblowing”, zgodnie z którą do zapoznania się ze skargą, w tym z tożsamością osoby zgłaszającej, był uprawniony wyłącznie dyrektor. Poufność tożsamości zgłaszającego mogła być uchylona tylko za jego zgodą, a dane zgłaszającego nie mogły być ujawnione, z wyłączeniem sytuacji opisanych w samej procedurze oraz wynikających z przepisów prawa.

Wynikającego z przepisów prawa obowiązku ochrony danych osobowych i niemożności ich ujawniania bez zgody pracownika (w razie danych wrażliwych – pisemnej zgody) nie mogły  uchylić wewnątrzzakładowe przepisy należące do źródeł prawa pracy w rozumieniu art. 9  k.p. Ujawnienie danych wrażliwych bez zgody zainteresowanego mogło nastąpić tylko na mocy przepisu szczególnego rangi ustawy. Tymczasem przepisy Kodeksu pracy regulujące problematykę mobbingu nie zawierają takich unormowań. W przedmiotowej sprawie skarżąca nigdy nie wyraziła zgody na ujawnienie innym osobom – poza dyrektorem – jej danych osobowych oraz wrażliwych informacji zawartych w piśmie sygnalizującym praktyki mobbingowe w miejscu pracy. W świetle postanowień procedury dopuszczalne było wprawdzie scedowanie przez dyrektora przeprowadzenia postępowania wyjaśniającego i sporządzenia projektu raportu w sprawie zgłoszenia na inne osoby, w tym na podmioty zewnętrzne trudniące się zawodowo problematyką antymobbingową. Jak wskazał Sąd Najwyższy, Trzeba jednak zadać pytanie, jakie czynności podlegały owemu scedowaniu. O tym przesądza zaś cel postępowania antymobbingowego, jakim tak w kontekście art. 943 k.p., jak i samej procedury było ujawnienie zachowań mobbingowych w miejscu pracy i ich sprawców oraz wyeliminowanie tego rodzaju praktyk i zapobieganie im na przyszłość. Przedmiotem zainteresowania osób prowadzących postępowanie powinny być zatem powyższe okoliczności. Uwaga prowadzących postępowanie winna skupiać się na stwierdzeniu faktu mobbingu i zdemaskowaniu jego sprawców, a nie na osobie poszkodowanej. Tymczasem z poczynionych przez sądy ustaleń wynikało, że firma zewnętrzna nie kontaktowała się ze wskazanymi w skardze powódki osobami mającymi potwierdzić stawiane przez nią zarzuty dotyczące mobbingu ze strony przełożonych, natomiast głównym obiektem jej zainteresowania stała się sama skarżąca, którą zamierzała poddać badaniu psychologicznemu do zdiagnozowania depresji i wypalenia zawodowego.

Uwagi do sposobu przetwarzania danych

W ocenie Sądu Najwyższego w powyższych okolicznościach udostępnienie danych osobowych powódki nie tylko naruszało jej prywatność, ale także jej cześć zewnętrzną i wewnętrzną (również pracowniczą), gdyż godziło w dobre imię skarżącej w środowisku pracy oraz mogło obniżać jej poczucie wartości jako pracownika.

Co kluczowe, Sąd Najwyższy zwrócił uwagę na nieprawidłowości w samym powierzeniu przetwarzania danych osobowych pracowników podmiotowi zewnętrznemu. Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, a podmiot, któremu powierzono przetwarzanie danych, może przetwarzać je wyłącznie w zakresie i celu przewidzianym w umowie. Brak odpowiednich postanowień umownych aktualizuje odpowiedzialność pracodawcy jako administratora danych osobowych za naruszenie dóbr osobistych przez ujawnienie danych osobowych z naruszeniem przepisów o ochronie danych osobowych (w tym danych wrażliwych) innemu podmiotowi.

Podsumowując, zdaniem Sądu Najwyższego prawo do ochrony danych osobowych wynika z godności człowieka i prawa do prywatności. W przypadku nieprawidłowości w dokonaniu powierzenia przetwarzania danych odpowiedzialność za przestrzeganie przepisów nadal spoczywa na administratorze danych.

Ochrona danych osobowych w stosunkach pracy jest wielowątkową i złożoną dyscypliną i w związku z tym wymaga podejmowania przez pracodawcę przemyślanych i ostrożnych działań. Pracodawcy nie powinni bez wyraźnej podstawy oraz prawidłowej dokumentacji powierzać przetwarzania danych osobowych, zwłaszcza tych szczególnie chronionych, podmiotom zewnętrznym.

Żeby zweryfikować posiadane rozwiązania, a także stworzyć zgodne z prawem procedury umożliwiające bezpieczne przetwarzanie danych osobowych pracowników, warto zasięgnąć opinii ekspertów.


Wyrok Sądu Najwyższego z 4 lutego 2021 r., sygn. II PSKP 7/21.

Autor wpisu

Ines Borkowska

Radca prawny

Zagadnienia związane z szeroko rozumianym prawem pracy zaczęłam zgłębiać jeszcze na studiach prawniczych na Uniwersytecie Rzeszowskim, a prawo pracy stało się wówczas moją ulubioną...

Zobacz moje wpisy

Podziel się

Powiązane wpisy

sprawozdania
Bieżące doradztwo prawne i podatkowe
Obowiązki rachunkowe i podatkowe fundacji rodzinnych

Obowiązki rachunkowe i podatkowe fundacji rodzinnych

Obowiązki rachunkowe i podatkowe fundacji rodzinnych

Pod kątem ukrytych zysków uwzględnia się art. 11c ust. 4 ustawy o CIT

Pod kątem ukrytych zysków uwzględnia się art. 11c ust. 4 ustawy o CIT
Bieżące doradztwo prawne i podatkowe
Menedżer na B2B – czy warto

Menedżer na B2B – czy warto

Menedżer na B2B – czy warto
Bieżące doradztwo prawne i podatkowe
Progi zwalniające też mają swoje ograniczenia

Progi zwalniające też mają swoje ograniczenia

Progi zwalniające też mają swoje ograniczenia

Obawiasz się,
że ominą Cię
najważniejsze zmiany
w prawie?

Zaprenumeruj newsletter