RODO bardzo szybko zagościło w świadomości przedsiębiorców, między innymi przez wysokie kary administracyjne które mogą być nałożone za niewłaściwe przetwarzanie danych osobowych. Mniej powszechna jest jednak wiedza jaka odpowiedzialność i potencjalne konsekwencje grożą pracownikom za nieprzestrzeganie zasad ochrony danych.
RODO kary dla pracownika
Właściwie wdrożone procedury RODO w przedsiębiorstwie muszą zawierać również postanowienia dotyczące odpowiedzialności pracowników za prawidłowe przetwarzanie danych osobowych. Konsekwencje nieprzestrzegania procedur ochrony danych osobowych przez pracownika wynikają z kodeksu pracy. Artykuł 108 kodeksu określa możliwe środki dyscyplinarne, które można zastosować wobec pracownika.
Naruszenie RODO przez pracownika
Samo rozporządzenie nie przewiduje wprost kar za naruszenie RODO przez pracownika. Niemożliwe jest ukaranie pracownika na podstawie samego rozporządzenia. Polska ustawa o ochronie danych osobowych przewiduje kary za nieuprawnione przetwarzanie danych osobowych jednak trudno zastosować je w praktyce do pracowników, szczególnie w wypadku zwykłych, nieumyślnych naruszeń występujących czasami w codziennej pracy przedsiębiorstwa. Trudno wyobrazić sobie bowiem karę ograniczenia wolności za błędne ustawienia w programie pocztowym i nieuprawnione ujawnienie adresów mailowych kilkunastu osób zewnętrznemu odbiorcy. Takie naruszenie wymaga jednak działania ze strony administratora.
Kodeks pracy umożliwia w tym zakresie zastosowanie kar porządkowych w postaci upomnienia lub nagany. Warto w tym miejscu zaznaczyć, że kary dyscyplinarne ograniczone są czasowo przez artykuł 109 kodeksu pracy. Mając jednak na uwadze dynamikę naruszeń ochrony danych osobowych, zakres terminów zdaje się być niewielkim problemem. Pracodawca ma bowiem dwa tygodnie na ukaranie pracownika – liczone od momentu, w którym dowiedział się o naruszeniu, jednak nie później niż trzy miesiące od samego naruszenia dyscypliny. Mając na uwadze termin zgłoszenia naruszenia przewidziany przez RODO, czyli 72 godziny konsekwencje nieprzestrzegania procedur ochrony danych osobowych przez pracownika tym samym zostaną wykryte co do zasady szybciej, niż termin kodeksowy. Należy również pamiętać o konieczności wcześniejszego wysłuchania pracownika i mieć na uwadze fakt, że może on decyzje o karze dyscyplinarnej zaskarżyć do sądu.
Sprawdź jak wdrożyć RODO w twojej organizacji
Konsekwencje nieprzestrzegania procedur ochrony danych osobowych przez pracownika
Informacje o karach dyscyplinarnych składa się do akt personalnych pracownika, po upływie roku od nałożenia kary należy usunąć je z akt. Wcześniejsze usunięcie informacji o karze może nastąpić z inicjatywy pracodawcy lub na wniosek pracownika. Warto pamiętać o tej możliwość, pozwala ona zachować odpowiedni balans między odpowiedzialnością dyscyplinarną pracownika, będącą częścią odpowiednich procedur ochrony danych osobowych, a relacją między pracodawcą i pracownikami.
Istniej też możliwość ukarania pracownika karą finansową, jednak ze względu na jej uciążliwość oraz siłę oddziaływania na relację w zakładzie pracy błędem jest nawet wspominanie o takim rodzaju odpowiedzialności bez konsultacji z kancelarią prawną. Szczególnie ciężko nałożyć taki rodzaj kary porządkowej w firmie, która nie ma wdrożonych procedur ochrony danych osobowych i nie przeprowadzono w niej audytu. Nie zmienia to faktu, że pracownik powinien w odpowiednim stopniu i zgodnie z wewnętrznymi procedurami dbać o bezpieczeństwo danych osobowych w swoim miejscu pracy.
Przeczytaj również: bezpieczeństwo danych w firmie