.
Udzieliliśmy ponad 128,9 tys. porad prawnych i mamy 14 592 opinii Klientów
Zadaj pytanie » Zadaj pytanie »

Odpowiedzialność pracownika za wyciek danych osobowych w świetle RODO i Kodeksu pracy

• Data: 18-08-2024 • Autor: Marcelina Mazurkiewicz

Pracuję w rejestracji przychodni medycznej. Na żądanie pacjenta przesłałam mailowo jego skan skierowania do specjalisty (bez zabezpieczenia hasłem). Adres e-mail okazał się niepoprawny. Pacjent oskarżył mnie o wyciek jego danych osobowych (PESEL, imię, nazwisko, adres). Nie było to działanie celowe, tylko nieumyślne. Czy pracodawca może mnie zwolnić dyscyplinarnie? Zaznaczę, że w firmie do tej pory nie wysyłało się zaszyfrowanych wiadomości. Dopiero po tej sytuacji wprowadzono tego rodzaju zabezpieczenie.


Masz podobny problem? Kliknij tutaj i zadaj pytanie. Pomagamy w podobnych sprawach.

Odpowiedzialność pracownika za wyciek danych osobowych w świetle RODO i Kodeksu pracy

Wyciek danych osobowych

Przedstawię po kolei zagadnienia prawne, które należy przeanalizować, aby odpowiedzieć na pytanie, czy sytuacja, która się zdarzyła, może pociągnąć za sobą konsekwencje dla Pani. Przede wszystkim należy się odwołać do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawy.

 

Przede wszystkim, odwołując się do przepisów, zgodnie z art. 4 ust. 1 RODO, „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

 

Tak więc mamy do czynienia z danymi osobowymi w połączeniu z danymi medycznymi, gdyż skierowanie sugerowało, jakie problemy medyczne ma pacjent. 

 

Wyciek danych zaś oznacza, że dane osobowe zostały upublicznione. Wiąże się to z ryzykiem, że osoby nieuprawnione mogły wejść w ich posiadanie. Tutaj sytuacja nie jest do końca jasna. Często wysłana wiadomość e-mail pod niepoprawnie wpisany adres „wraca” do osoby wysyłającej z adnotacją, że adres nie jest właściwy. Nie wiadomo więc, czy do wycieku faktycznie doszło, czy ktoś miał szansę zapoznać się z danymi. Pacjent oskarżył przychodnię o wyciek danych, ale nie wiadomo, czy zgłosił wyciek do odpowiednich organów.

 

Wedle przepisów RODO „każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę” (art. 82 ust. 1). Nie widzę także podstaw, aby pacjent domagał się odszkodowania w związku z wyciekiem, bo nie odniósł na jego skutek żadnej szkody.

 

Podsumowując ten punkt, nie wiadomo, czy do rzeczywistego wycieku faktycznie doszło.

Masz problem prawny? Kliknij tutaj i zapytaj prawnika ›

Konieczność szyfrowania przesyłanych plików

Artykuł 32 rozporządzenia RODO:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

 

Przede wszystkim należy zaznaczyć, iż powyższy przepis nie nakłada obowiązku szyfrowania, a jedynie zaznacza, że to administrator oraz podmiot przetwarzający są odpowiedzialni za podjęcie decyzji, w jaki sposób będą chronić dane. Kolejna kwestia jest taka, że ustawa tą odpowiedzialnością obciąża administratora danych oraz podmiot przetwarzający. Zgodnie z przyjętą praktyką administratorem lub podmiotem przetwarzającym jest prawdopodobnie Pani pracodawca. Pani jako pracownik jest osobą przetwarzającą dane z ich upoważnienia. Z Pani wiadomości wynika, iż szyfrowanie danych nie jest w Pani miejscu pracy wprowadzone, co oznacza, że podmioty odpowiedzialne nie podjęły decyzji, aby w ten sposób chronić dane. Trudno, aby Pani samodzielnie podjęła decyzję o szyfrowaniu danych, skoro pracodawca, a więc podmiot odpowiedzialny, tego nie wymaga.

 

Podsumowując ten punkt, nie poniesie Pani konsekwencji na gruncie przepisów o RODO. Nie jest Pani podmiotem, na którym ciążył obowiązek ochrony danych. To pracodawca powinien wdrożyć odpowiednie praktyki.

Potrzebujesz pomocy prawnika? Kliknij tutaj i opisz swój problem ›

Zwolnienie dyscyplinarne na gruncie prawa pracy

Ostatnia kwestia wymagająca analizy to możliwość zwolnienia dyscyplinarnego. Należy się odwołać do art. 52 Kodeksu pracy:

„§ 1. Pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie:

1) ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych;

2) popełnienia przez pracownika w czasie trwania umowy o pracę przestępstwa, które uniemożliwia dalsze zatrudnianie go na zajmowanym stanowisku, jeżeli przestępstwo jest oczywiste lub zostało stwierdzone prawomocnym wyrokiem;

3) zawinionej przez pracownika utraty uprawnień koniecznych do wykonywania pracy na zajmowanym stanowisku”.

 

W mojej ocenie nie ma możliwości do wdrożenia wobec Pani takiego trybu zwolnienia. Nie doszło tutaj do ciężkiego naruszenia obowiązków pracowniczych, ponadto, jak już zostało ustalone, szyfrowanie danych nie było Pani obowiązkiem.

 

Nie wiem, jak pracodawca zareaguje na tę sytuację, ale nie widzę większych powodów do obaw. Jeśli doszłoby do tego, iż pracodawca wypowiedziałby Pani umowę, musiałby wskazać powód, co powinno zostać przez Panią skonsultowane z prawnikiem. W świetle przepisów nie popełniła Pani błędu dającego możliwość zwolnienia Pani.

Kliknij tutaj i zapytaj prawnika online ›

Przykłady

Niewłaściwy odbiorca i skarga pacjenta

Pracownica rejestracji przychodni medycznej, chcąc szybko pomóc pacjentowi, wysłała jego skierowanie do specjalisty na podany przez niego adres e-mail. Niestety, w wyniku literówki wiadomość trafiła do innej osoby. Pacjent, zauważając błąd, złożył skargę do przychodni, domagając się wyjaśnień i zabezpieczenia swoich danych. Przychodnia musiała wyjaśnić sytuację pacjentowi oraz zgłosić incydent do administratora danych, aby sprawdzić, czy faktycznie doszło do wycieku danych.

 
Konsekwencje błędu w adresie e-mail

W innej sytuacji, podczas wysyłania skierowania na badania diagnostyczne, pracownik laboratorium popełnił błąd, wpisując niewłaściwy adres e-mail. Wiadomość nie wróciła jako niedostarczona, a pacjent nie otrzymał potrzebnego dokumentu na czas. Dopiero po kilku dniach pacjent zgłosił się do laboratorium z prośbą o ponowne wysłanie skierowania, co spowodowało niepotrzebne opóźnienie w rozpoczęciu leczenia. Incydent wymagał wyjaśnienia oraz podjęcia działań naprawczych, w tym wprowadzenia procedury weryfikacji adresów e-mail przed wysyłką w przyszłości.

 
Błąd w adresie e-mail a obowiązek szyfrowania

Podczas wysyłania skierowania do specjalisty, pracownik rejestracji przychodni wpisał błędny adres e-mail pacjenta, przez co dokument trafił do osoby trzeciej. Skierowanie zawierało dane osobowe pacjenta, w tym jego numer PESEL oraz informacje medyczne. W związku z tym, pacjent złożył skargę do Urzędu Ochrony Danych Osobowych, a przychodnia została zobligowana do zgłoszenia incydentu jako potencjalnego wycieku danych. Przychodnia musiała wdrożyć dodatkowe procedury, w tym obowiązkowe szyfrowanie wiadomości e-mail, aby zapobiec podobnym sytuacjom w przyszłości.

 

Podsumowanie

Przypadkowe wysłanie skierowania medycznego na niewłaściwy adres e-mail może prowadzić do poważnych konsekwencji, w tym ryzyka wycieku danych osobowych oraz skarg pacjentów. Choć obowiązek zabezpieczenia danych spoczywa na administratorze, pracownicy również powinni zachować szczególną ostrożność, by unikać takich sytuacji. Wdrożenie procedur, takich jak weryfikacja adresów i szyfrowanie wiadomości, jest kluczowe dla ochrony danych pacjentów.

Oferta porad prawnych

Skorzystaj z naszych usług porad prawnych online oraz profesjonalnego sporządzania pism, aby szybko i skutecznie rozwiązać swoje problemy prawne bez wychodzenia z domu. Zapewniamy rzetelną pomoc dostosowaną do Twoich potrzeb. Aby skorzystać z naszych usług, opisz swój problem w formularzu pod artykułem.

Źródła:

1. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych - Dz.U. 2018 poz. 1000

 

Nie znalazłeś odpowiedzi na swoje pytania? Opisz nam swoją sprawę, wypełniając  formularz poniżej  ▼▼▼. Zadanie pytania do niczego nie zobowiązuje.

Zapytaj prawnika - porady prawne online

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny

O autorze: Marcelina Mazurkiewicz




.
Porad przez Internet udzielają
prawnicy z dużym doświadczeniem.

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
Szukamy ambitnego prawnika »

spadek.info

prawo-budowlane.info

odpowiedziprawne.pl

Paragraf jako alternatywne logo serwisu