Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Czy złośliwe działanie pracownika powoduje odpowiedzialność administratora lub procesora z tytułu braku zgodności z RODO?

05/02/2019

Przetwarzanie Danych, Powierzenie Przetwarzania, Odpowiedziałność Za Naruszenie Rodo,

W niniejszej publikacji omówiony został przypadek, kiedy złośliwe czy bezmyślne działanie pracownika nie powoduje naruszenia ochrony danych.


Stan faktyczny:

 

Klienci sklepu internetowego zgłosili w BOK fakt otrzymania SMS z informacją o anulowaniu/zmianie treści ich zamówień. W wyniku przeprowadzonego wewnętrznego dochodzenia udało się ustalić, że numer telefonu, z którego wysłano SMS, należy do określonego pracownika operatora magazynowego, który fizycznie pakował paczki do podjęcia przez kuriera. Pracownik działał w zamiarze uzyskania korzyści majątkowej.

 

Spółkę – administratora, łączy z operatorem magazynowym stosowna umowa powierzenia, która z kolei przewiduje zgodnie z art. 28 RODO, że podmiot przetwarzający dopuści do przetwarzania danych wyłącznie upoważnione osoby, zobowiązane do zachowania poufności.

 

Biuro Obsługi Klienta sklepu przyjęło zgłoszenia od klientów, w konsekwencji, w porozumieniu z procesorem, ustalono sprawcę, zwolniono go dyscyplinarnie, zadbano o realizację przesyłek zgodnie z zamówieniem, zawiadomiono organy ścigania.

 

 

Wnioski:

 

W takim wypadku nie ma naruszenia norm RODO po stronie spółki-administratora ani też podwykonawcy- procesora, ponieważ incydent powstał ze względu na ciężkie naruszenie obowiązków pracowniczych (52 w zw. z 100 par. 2 pkt 5 KP), a także przepis karny 107 UODO (przekroczenie zakresu upoważnienia). 

 

Sam fakt złośliwego czy bezmyślnego działania pracownika własnego czy dostawcy mieści się w ramach zwykłego ryzyka wykonywania działalności gospodarczej. Jest to tzw. ryzyko rezydualne w procesie przetwarzania, a więc takie, które jest uwzględniane i amortyzowane mechanizmem wykrywania i eliminowania negatywnych skutków. W tym wypadku administrator razem z procesorem wykryli incydent, wyeliminowali negatywne skutki, a także przyczyny poprzez zwolnienie osoby, która nie ma etycznych czy intelektualnych kwalifikacji do przetwarzania danych. 

 

Zaniedbanie po stronie spółki byłoby wyłącznie wtedy, gdyby się okazało, że nie powierzono właściwie danych osobowych klientów do dostawcy usługi – operatora magazynowego, lub nie zweryfikowano zdolności tego podmiotu do realizacji zobowiązań wynikających z umowy powierzenia.

 

Ze strony procesora zaniedbaniem byłoby, gdyby się okazało, że winny pracownik nie miał upoważnienia wraz z pouczeniem i zobowiązaniem do zachowania poufności. Nic nie wskazuje na problem z zakresem dostępu do danych, skoro wszystkie pracownik znał ze względu na zakres obowiązków służbowych. Wdrożono również spójną procedurę notyfikacji niepokojących zdarzeń dla klientów poprzez łatwo dostępny BOK, oraz stworzono sprawny kanał komunikacji i współpracy pomiędzy kooperantami w zakresie notyfikacji i reakcji na incydenty bezpieczeństwa.

 

W tej sytuacji należało zbadać skalę zjawiska, liczbę osób- klientów, których dane mogły być wykorzystane w podobny sposób. O ile byłaby to to znaczna ilość, lub okazałoby się, że doszło do okradania klientów (np. przejmowanie przelewów, podmiana towaru, sprzedaż danych), to zaszłaby konieczność zgłoszenia incydentu do Prezesa UODO. W przeciwnym razie, incydent powinien zostać odnotowany w rejestrze prowadzonym przez Inspektora Ochrony Danych Osobowych.

 

 

Jakub Gosz, radca prawny

 

Przetwarzanie Danych, Powierzenie Przetwarzania, Odpowiedziałność Za Naruszenie Rodo,
Niemiecka Konferencja Ochrony Danych (DSK) wydaje decyzję o ryzyku dostępu krajów trzecich do danych osobowych firm z UE/EOG
Niemiecka Konferencja Ochrony Danych (DSK) wydaje decyzję o ryzyku dostępu krajów trzecich do danych osobowych firm z UE/EOG
Kodeks postępowania dla podmiotów przetwarzających dane przyjęty w Badenii-Wirtemberii
Kodeks postępowania dla podmiotów przetwarzających dane przyjęty w Badenii-Wirtemberii
UODO nakłada karę na Sułkowicki Ośrodek Kultury za brak zawarcia na piśmie umowy powierzenia przetwarzania danych
UODO nakłada karę na Sułkowicki Ośrodek Kultury za brak zawarcia na piśmie umowy powierzenia przetwarzania danych