Odpowiedzialność pracodawcy za naruszenie dóbr osobistych przez podmiot zewnętrzny, prowadzący postępowanie antymobbingowe (art. 94[3] § 1 k.p.)

Pracodawca, który zlecił prowadzenie postępowania antymobbingowego podmiotowi zewnętrznemu (art. 94[3] § 1 k.p.), ponosi jako administrator danych osobowych odpowiedzialność za naruszenie dóbr osobistych pracownika, którego dane osobowe (w tym dotyczące zdrowia) zostały przekazane temu podmiotowi z naruszeniem przepisów o ochronie danych osobowych.

Zgodnie z art. 31 ust. 1, 2, 4 i 4 ustawy o o.d.o., administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych, może przetwarzać je wyłącznie w zakresie i celu przewidzianym w umowie, przy czym przed rozpoczęcie przetwarzania danych obowiązany jest podjąć przewidziane przepisami ustawy środki zabezpieczające zbiór danych, ponosząc w tym zakresie odpowiedzialność jak administrator danych. W razie umownego powierzenia przetwarzania danych odpowiedzialność za przestrzeganie przepisów ustawy spoczywa nadal na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z umową.

Przepis art. 37 ustawy o o.d.o. ustanawia zakaz dopuszczania osób innych, niż mająca upoważnienie nadane przez administratora danych, do przetwarzania danych osobowych. Oznacza to, że do przetwarzania danych nie jest wystarczające upoważnienie wynikające ze stosunku prawnego łączącego daną osobę z administratorem danych, na przykład w związku z zawarciem umowy o pracę czy umowy zlecenia albo innej umowy o świadczenie usług, do której stosuje się odpowiednio przepisy o zleceniu. Ustawa o o.d.o. nie określa wymagań kwalifikacyjnych, jakie powinna spełniać osoba upoważniona do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania danych osobowych dowolnym podmiotom. Zgodnie bowiem z art. 26 ust. 1 ustawy o o.d.o., administrator danych jest obowiązany dołożyć szczególnej staranności w doborze osób upoważnionych do przetwarzania danych osobowych. Z kolei upoważnienie administratora danych do przetwarzania danych osobowych zgromadzonych w zbiorze nie czyni upoważnionego administratorem danych, nie wyposaża go w przypisaną tylko administratorowi kompetencję samodzielnego decydowania o celach i środkach przetwarzania danych osobowych. Osoba upoważniona dokonuje operacji na danych osobowych tylko w zakresie wyznaczonym przez administratora. Nie można na taką osobę scedować funkcji administratora danych, którym pozostaje podmiot wymieniony w art. 3 ust. 1 ustawy o o.d.o. Zgodnie zaś z art. 37 i art. 39 ustawy o o.d.o., pracodawca jako administrator danych, wystawiając konkretnej osobie upoważnienie do przetwarzania danych osobowych, powinien określić, do jakich danych osobowych będzie miała dostęp, by prawidłowo wykonywać swoje obowiązki. Powinien też czuwać, aby osoby upoważnione do przetwarzania danych faktyczne miały dostęp do danych osobowych tylko w zakresie udzielonych upoważnień i nie miały wglądu w dane, do których nie są uprawnione. 

Wyrok SN z dnia 4 lutego 2021 r., II PSKP 7/21

Standard: 59579 (pełna treść orzeczenia)