Ochrona danych osobowych klientów przedsiębiorstwa przez pracownika

Dane osobowe klientów banku/domu maklerskiego są prawnie chronione przepisami ustawy o ochronie danych osobowych. Za dane osobowe uważa się - według art. 6 ust 1 tej ustawy - „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Przepis art. 6 ust. 2 ustawy o ochronie danych osobowych wyjaśnia, że osobą możliwą do zidentyfikowania jest taka osoba, której tożsamość da się określić bądź bezpośrednio, bądź pośrednio, w szczególności odwołując się do numeru identyfikacyjnego albo do jednego lub wielu specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 ustawy). Zatem informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się powiązać z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, należy zaliczyć do kategorii danych osobowych.

Wzmocnieniem tej ochrony - przez jej uszczegółowienie na poziomie branżowym - są przepisy dotyczące tajemnicy zawodowej. W art. 147 ustawy o obrocie instrumentami wskazano, że tajemnicę zawodową stanowi informacja zawierająca dane osobowe strony umowy lub innej czynności prawnej; treść umowy lub przedmiot czynności prawnej; dane o sytuacji majątkowej strony umowy, w tym oznaczenie rachunku papierów wartościowych, innego rachunku, na którym zapisywane są instrumenty finansowe niebędące papierami wartościowymi, lub rachunku pieniężnego służącego do obsługi tych rachunków, liczbę i oznaczenie instrumentów finansowych oraz wartość środków zgromadzonych na tych rachunkach

Ochrona danych osobowych (stanowiących zarazem tajemnicę zawodową maklera) polega między innymi na należytym ich zabezpieczeniu w taki sposób, aby osoba nieuprawniona nie mogła uzyskać do nich dostępu. Taką zaś możliwość może stwarzać np. transferowanie tych danych poza chronioną sieć informatyczną banku do systemu niespełniającego wymogów bezpieczeństwa stawianych przed instytucjami finansowymi. W takim też kontekście ocenić należy podstawowy obowiązek pracowniczy w postaci obowiązku zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (art. 100 § 1 pkt 4 k.p.).

Ujawnienie informacji stanowiącej tak rozumianą tajemnicę zawodową zagrożone jest nie tylko sankcją karną z art. 179 ustawy o obrocie instrumentami finansowymi, z art. 51 ust. 1 ustawy o ochronie danych osobowych, ale też może rodzić cywilnoprawną odpowiedzialność banku wobec osoby, której dobra zostały naruszone.

Zatem stworzenie przez pracownika stanu, w którym istnieje potencjalna możliwość dostępu osób trzecich do podlegających ochronie danych osobowych, stanowi zagrożenie interesów pracodawcy.

Jak przyjmuje się w orzecznictwie Sądu Najwyższego, uzasadnioną przyczyną rozwiązania z pracownikiem umowy o pracę w trybie art. 52 § 1 pkt 1 k.p. może być także zawinione działanie pracownika powodujące samo zagrożenie interesów pracodawcy (por. wyrok SN: z dnia 27 października 2010 r., III PK 21/10; z dnia 24 lutego 2012 r., II PK 143/11; z dnia 6 lipca 2011 r., II PK 13/11).

Uznanie, że zachowanie pracownika nie wypełnia znamion czynu niedozwolonego z art. 179 ustawy o obrocie instrumentami finansowymi czy z art. 51 ust. 1 ustawy o ochronie danych osobowych, nie przekreśla zakwalifikowania go jako ciężkie naruszenie podstawowych obowiązków pracowniczych.

Wyrok SN z dnia 10 maja 2018 r., II PK 76/17

Standard: 63585 (pełna treść orzeczenia)