Przetwarzanie przez pracownika danych osobowych klientów poza zakresem upoważnienia udzielonego przez administratora

Pracownik, który przetwarza dane osobowe poza zakresem upoważnienia udzielonego przez administratora, dopuszcza się ciężkiego naruszenia podstawowych obowiązków pracowniczych, nawet gdy zachowuje poufność danych (art. 52 § 1 pkt 1 k.p. w związku z art. 37 ustawy o ochronie danych osobowych).

Nie ulega wątpliwości, że dokonując operacji polegającej na pobraniu ze zbioru danych osobowych Zakładu Ubezpieczeń Społecznych informacji z konta płatnika składek P.W. J., E.D. uczyniła to niezgodnie z celem, dla jakiego zbiór ten stworzono (bo nie w ramach realizacji ustawowych zadań Zakładu, lecz dla wykonania umowy zlecenia łączącej powódkę z płatnikiem składek) i z przekroczeniem zakresu udzielonego jej przez administratora danych upoważnienia do przetwarzania danych osobowych. Należy odróżnić sytuację, gdy płatnik składek P.W. J. jako administrator danych osobowych swoich pracowników – ubezpieczonych upoważnia powódkę do przetwarzania tych danych w ramach umowy zlecenia na usługę sporządzenia dokumentacji rozliczeniowej do Zakładu Ubezpieczeń Społecznych, od sytuacji, gdy E.D. będąc pracownikiem Zakładu Ubezpieczeń Społecznych dokonuje operacji na danych osobowych wspomnianego płatnika składek i jego pracowników zgromadzonych w zbiorze administrowanym przez Zakład i czyni to sprzecznie z ustawowym celem, dla jakiego zbiór ten utworzono oraz z naruszeniem zasad wynikających z powołanych art. 23 i art. 27 ustawy o o.d.o., a zarazem z przekroczeniem udzielonego przez administratora upoważnienia do przetwarzania danych osobowych, gdyż upoważnienie to nie dotyczyło wykonywania operacji na danych osobowych płatnika i ubezpieczonych w celu realizacji łączącej powódkę z owym płatnikiem umowy zlecenia, o której zawarciu przez strony Zakład nie został nawet poinformowany.

Nie można zasadnie twierdzić, że spełniona została ta przesłanka dopuszczalności przetwarzania danych osobowych z art. 23 ustawy o o.d.o., jaką jest niezbędność owego przetworzenia do realizacji umowy, której stroną jest osoba, której dane dotyczą. Administratora danych, tj. Zakładu Ubezpieczeń Społecznych i podmiotów, których dane osobowe przetworzono (czyli płatnika składek P.W. J. i jego pracowników) nie łączyła żadna umowa, dla wykonania której powódka dokonała przetworzenia owych danych. Nie sposób też zgodzić się z tezą o przeprowadzeniu przez powódkę opisanych operacji na danych osobowych płatnika i jego pracowników za zgodą podmiotu, którego dane dotyczą, o jakiej to zgodzie mowa w powołanym przepisie. Zgoda taka, będąca oświadczeniem woli, powinna byćzłożona administratorowi danych i jemu też należałoby udzielić zgody na udostępnienie tychże danych kolejnym podmiotom.

Wyrok SN z dnia 4 kwietnia 2017 r., II PK 37/16

Standard: 62344 (pełna treść orzeczenia)