Jaką odpowiedzialność ponosi pracodawca za niezgodne z prawem administrowanie danymi osobowymi pracownika

Odpowiadając na powyższe pytanie, przede wszystkim należy rozgraniczyć dwie kwestie. Otóż inne są zasady udostępniania danych osobowych pracowników, tzw. danych służbowych, a inne dotyczą pozostałych danych, np. danych odnoszących się do sfery życia prywatnego. Co do tych pierwszych, nie ma wątpliwości, że pracodawca ma pełne prawo w swobodnym ich dysponowaniu. Potwierdza to nie tylko stanowisko Głównego Inspektora Ochrony Danych Osobowych, ale również orzecznictwo Sądu Najwyższego.

Natomiast jeżeli pracodawca, który z reguły jest jednocześnie administratorem danych osobowych, przetwarza (przez co należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, w tym np. ich udostępnianie) te dane w sposób niezgodny z prawem, np. sprzedaje dane prywatnej firmie, podlega trzem rodzajom odpowiedzialności: karnej, administracyjnej, wynikających z ustawy o ochronie danych osobowych oraz cywilnej, tj. na podstawie kodeksu cywilnego.

Przepisy ustawy przewidują kilka rodzajów naruszeń, których może się dopuścić pracodawca administrujący danymi osobowymi swoich pracowników. Przykładowo może to być administrowanie zbiorem danych w sposób umożliwiający dostęp do nich osobom nieupoważnionym czy brak ich zabezpieczenia. Grożą za to trzy różne rodzaje sankcji karnych, od grzywny, przez karę ograniczenia wolności, aż po pozbawienie wolności sięgające nawet trzech lat.

Ustawa wprowadza także reżim odpowiedzialności administracyjnej. W pewne środki bezpośredniego oddziaływania na administratora ochrony danych osobowych został bowiem wyposażony także Główny Inspektor Ochrony Danych Osobowych, który w drodze decyzji administracyjnej może nakazać przywrócenie stanu zgodnego z prawem, a w szczególności:

usunięcie uchybień,

uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

zastosowanie dodatkowych środków zabezpieczających dane osobowe,

zabezpieczenie danych lub przekazanie ich innym podmiotom,

usunięcie danych osobowych.

Ponadto niejednokrotnie naruszenie gwarancji zapewniających zgodne z prawem przetwarzanie danych wynikających z ustawy o ochronie danych osobowych może stanowić jednocześnie naruszenie przepisów o ochronie dóbr osobistych pracowników. Wówczas pracodawca musi liczyć się z dodatkowymi roszczeniami cywilnymi o charakterze niemajątkowym, np. prawo żądania od osoby, która dopuściła się tego naruszenia, podjęcia czynności potrzebnych do usunięcia jego skutków, a w szczególności złożenia w odpowiedniej formie stosownego oświadczenia, i majątkowym np. zadośćuczynienie pieniężne lub zapłata określonej kwoty na cel społeczny, jeżeli wskutek naruszenia dobra osobistego wyrządzono danej osobie szkodę. Co więcej, żądania te nie uchybiają uprawnieniom wynikającym z przepisów art. 445 i art. 448 k.c.

Kodeks cywilny przewiduje także jeszcze jedno dodatkowe, choć znacznie rzadziej stosowane narzędzie. Chodzi mianowicie o możliwość pociągnięcia do odpowiedzialności pracodawcy i żądania odszkodowania na mocy art. 415 k.c.