Były pracownik wynosi dane ze spółki
To drugi artykuł z serii, w której omawiamy obowiązki administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym – wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanymi przez Europejską Radę Ochrony Danych (EROD).
Przykład 2. Eksfiltracja danych biznesowych przez pracownika
W okresie wypowiedzenia pracownik przedsiębiorstwa kopiuje dane biznesowe z bazy danych przedsiębiorstwa. Pracownik jest upoważniony do korzystania z tych danych wyłącznie w celu realizacji swoich zadań służbowych. Kilka miesięcy później, po odejściu z pracy, wykorzystuje uzyskane wówczas dane (podstawowe dane kontaktowe) do zasilenia nowego procesu przetwarzania danych, którego jest administratorem, w celu skontaktowania się z klientami przedsiębiorstwa, aby przyciągnąć ich do swojej nowej działalności (patrz s. 23 Wytycznych).
Ocena ryzyka dla osób dotkniętych naruszeniem
W omawianym przykładzie EROD uznała, że jest bardziej niż mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób, których dane zostały skopiowane przez pracownika. W związku z tym administrator (pracodawca nieuczciwego pracownika) musi poinformować o naruszeniu organ nadzoru oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze. Przy ocenie ryzyka EROD stwierdza m.in., że:
Chociaż jedyny cel byłego pracownika, który w złej wierze skopiował dane, może ograniczać się do zdobycia informacji kontaktowych o klientach przedsiębiorstwa do własnych celów handlowych, administrator nie może uznać ryzyka dla osób, których dane dotyczą, za niskie, ponieważ nie ma żadnej pewności co do intencji pracownika. Tak więc, choć konsekwencje naruszenia mogą być ograniczone do narażenia na niedopuszczalny marketing własny byłego pracownika, nie można wykluczyć dalszych i poważniejszych nadużyć skradzionych danych, w zależności od celu przetwarzania wprowadzonego przez byłego pracownika.
[…]
W sumie, ponieważ dane naruszenie nie spowoduje wysokiego ryzyka naruszenia praw i wolności osób fizycznych, wystarczy zgłoszenie organowi nadzorczemu.
EROD ocenia, że zawiadomienie osób, których dane zostały skopiowane, nie jest wymagane na podstawie RODO (byłoby konieczne w sytuacji, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych). Zauważa jednak, że nic nie stoi na przeszkodzie, aby administrator danych poinformował te osoby o naruszeniu, pomimo braku prawnego obowiązku w tym zakresie. EROD zwraca uwagę, że Zawiadomienie osób, których dane dotyczą, może być jednak korzystne również dla administratora, ponieważ lepiej, by dowiedziały się one o wycieku danych od przedsiębiorstwa, a nie od byłego pracownika, który próbuje się z nimi skontaktować.
Omawiany przykład z perspektywy polskiej
Gdyby takie naruszenie dotyczyło polskiego pracodawcy, powyższy wniosek EROD także byłby uprawniony. Pracodawca byłby zobowiązany poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.
Teoretycznie można by również rozważać, czy w przypadku omawianego naruszenia jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych, a zatem czy w ogóle trzeba zawiadamiać o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych. Potencjalnie można by próbować znaleźć argumenty za brakiem takiego obowiązku, gdyby skopiowane przez pracownika dane nie umożliwiały identyfikacji osób, których dotyczą (np. gdyby były to same służbowe adresy mailowe nieujawniające imion i nazwisk ich posiadaczy). Co ważne, EROD stoi jednak na stanowisku, że jeśli administrator ma wątpliwości, czy dane naruszenie podlega zgłoszeniu czy też nie, powinien zastosować podejście ostrożnościowe i zgłosić naruszenie.
Zakres obowiązków notyfikacyjnych teoretycznie mógłby również w omawianym przypadku być szerszy i obejmować potencjalnie także obowiązek powiadomienia przez administratora osób, których dane dotyczą – np. gdyby okazało się, że nieuczciwy pracownik skopiował szerszy zakres danych niż jedynie dane kontaktowe lub że część takiego szerszego zakresu danych dotyczy osób prowadzących jednoosobową działalność gospodarczą i obejmuje np. dane finansowe, NIP czy PESEL takich osób.
Środki zaradcze
Zdaniem EROD po takim naruszeniu należałoby wdrożyć następujące środki w celu minimalizacji skutków i ryzyka wystąpienia podobnego naruszenia w przyszłości (patrz s. 23 i 24 Wytycznych):
- wdrożyć dobrze przemyślane zasady dostępu pracowników do danych i stałą kontrolę zakresów,
- podjąć natychmiastowe działania prawne, aby zapobiec dalszemu nadużywaniu i rozpowszechnianiu danych przez byłego pracownika,
- wdrożyć odpowiednie środki techniczne, takie jak uniemożliwienie kopiowania lub pobierania danych na urządzenia wymienne,
- opracować systematyczne podejście do zabezpieczenia dostępu do danych z uwzględnieniem różnych okoliczności; na przykład – jeśli to możliwe – odebrać pewne formy dostępu pracownikom, którzy zasygnalizowali zamiar odejścia z pracy, lub wprowadzić dzienniki dostępu, tak aby niepożądany dostęp mógł być rejestrowany i oznaczany,
- zamieścić w umowach z pracownikami klauzule zabraniające takich działań.
Dodatkowo, patrząc na podany przykład z polskiej perspektywy, należałoby również rozważyć, czy jednym ze środków zaradczych, które powinien podjąć pracodawca, z uwagi na polskie przepisy karne, nie powinno być także złożenie przez pracodawcę zawiadomienia o podejrzeniu popełnienia przestępstwa przez byłego pracownika, z uwagi na treść art. 107 § 1 ustawy o ochronie danych osobowych, zgodnie z którym „Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”.
Karolina Romanowska, Łukasz Rutkowski
