Gdy pracodawca zapewnia pracownikom sprzęt służbowy, ma on w praktyce większą kontrolę nad sposobem przetwarzania danych. Sprzęt należy wówczas formalnie do pracodawcy, a pracownik może z niego korzystać w zakresie związanym z realizacją obowiązków pracowniczych. Pracodawca określa zasady korzystania z powierzonego pracownikowi sprzętu, jak również sposoby zabezpieczeń danych. Sprzęt i poziomy stosowanych zabezpieczeń mogą zostać w każdej chwili sprawdzone przez pracodawcę, a w razie nieprawidłowości, pracodawca ma możliwość zdyscyplinowania pracownika. Zdarza się jednak, że pracownik z własnej inicjatywy używa swoich prywatnych danych kontaktowych lub prywatnych urządzeń do przetwarzania danych służbowych. To scenariusz, który niesie za sobą poważne konsekwencje w świetle Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: RODO), zarówno dla pracodawcy, jak i samego pracownika. W tym przypadku istotne jest, że to pracodawca nadal pozostaje administratorem danych osobowych przetwarzanych w związku z działalnością jednostki. Oznacza to, że to na pracodawcy spoczywa główna odpowiedzialność za zapewnienie zgodności z RODO.
Konsekwencjami dla pracodawcy z tytułu wykorzystywania przez pracownika prywatnych danych kontaktowych lub prywatnego sprzętu do celów służbowych mogą być:
- brak kontroli i ryzyko naruszenia: Pracodawca traci kontrolę nad danymi, które opuściły kontrolowane środowisko firmowe. Jeśli pracownik zapisuje dane klientów na swoim prywatnym telefonie lub jakimkolwiek prywatnym urządzeniu bez wiedzy i zgody pracodawcy a ten sprzęt zostanie zgubiony lub zhakowany, to pracodawca odpowiada za wyciek danych. Będzie musiał zgłosić naruszenie do UODO i prawdopodobnie do osób, których dane dotyczą.
- brak podstawy prawnej: Pracodawca nie posiada odpowiedniej podstawy prawnej do przetwarzania danych służbowych na prywatnym nośniku pracownika, jeśli nie ma na to odpowiedniej polityki i zgody lub uzasadnionego interesu. Zwykła “inicjatywa pracownika” to za mało.
- trudności w egzekwowaniu praw osób, których dane dotyczą: Jeśli klient zażąda usunięcia swoich danych, a te znajdują się na prywatnym urządzeniu pracownika, pracodawca może mieć trudności z wyegzekwowaniem tego prawa.
- brak odpowiednich zabezpieczeń: Prywatny sprzęt pracownika często nie są zabezpieczone w żaden sposób przez pracodawcę (bo pracodawca nie ma do nich dostępu i nie zarządza prywatnymi urządzeniami). Pracodawca nie ma możliwości wdrożenia standardowych zabezpieczeń (szyfrowanie, antywirus, firewall, kontrola aktualizacji, polityki haseł), co znacznie zwiększa ryzyko naruszeń.
- trudności w usunięciu danych: Po zakończeniu współpracy z pracownikiem, pracodawca nie ma prawnej ani technicznej możliwości zagwarantowania, że wszystkie dane służbowe zostały usunięte z prywatnego urządzenia.
- kwestie prawne monitoringu: Monitoring prywatnego urządzenia pracownika jest prawnie bardzo problematyczny i praktycznie niemożliwy do przeprowadzenia w sposób zgodny z RODO i prawem pracy bez naruszania prywatności pracownika.
Również pracownik, który bez zgody i wiedzy pracodawcy wykorzystuje swoje prywatne dane do celów służbowych lub przetwarza dane służbowe na prywatnym sprzęcie naraża się na szereg konsekwencji, którymi mogą być:
- naruszenie obowiązków pracowniczych: Zgodnie z Kodeksem Pracy (art. 100), pracownik ma obowiązek dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę. Przetwarzanie danych służbowych poza wyznaczonymi kanałami firmowymi może być uznane za naruszenie tych obowiązków.
- odpowiedzialność porządkowa: Pracodawca może nałożyć na pracownika kary porządkowe (upomnienie, nagana, a w skrajnych przypadkach nawet kara pieniężna) za nieprzestrzeganie regulaminu pracy lub zasad ochrony danych.
- odpowiedzialność dyscyplinarna: W przypadku poważnego naruszenia obowiązków, zwłaszcza jeśli doszło do wycieku danych lub znaczącej szkody dla firmy, pracownik może zostać zwolniony dyscyplinarnie (rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika).
- odpowiedzialność odszkodowawcza: Jeśli działanie pracownika doprowadzi do szkody dla pracodawcy (np. nałożenia kary finansowej przez Urząd Ochrony Danych Osobowych, utraty klienta, strat wizerunkowych), pracodawca może dochodzić od niego odszkodowania na zasadach ogólnych kodeksu cywilnego, a w stosunkach pracy – na zasadach odpowiedzialności materialnej pracownika (do wysokości trzymiesięcznego wynagrodzenia, chyba że szkoda powstała umyślnie, wtedy odpowiedzialność jest nieograniczona).
- odpowiedzialność karna: W skrajnych przypadkach, jeśli pracownik umyślnie przetwarzał dane osobowe bez uprawnienia, może ponieść odpowiedzialność karną na podstawie ustawy o ochronie danych osobowych (art. 107), co grozi grzywną, karą ograniczenia wolności lub pozbawienia wolności.
- ryzyko utraty lub wycieku danych: To pracownik jest bezpośrednio narażony na konsekwencje utraty urządzenia lub jego zhakowania, a tym samym na konsekwencje wycieku danych, które mogą być bardzo dotkliwe dla firmy i dla niego samego.
- brak wsparcia technicznego: Pracownik nie może liczyć na wsparcie IT firmy w przypadku problemów z prywatnym sprzętem, nawet jeśli dotyczą one danych służbowych.
Podsumowując, choć pracownik może działać w dobrej wierze, chcąc ułatwić sobie pracę, samowolne wykorzystywanie prywatnych danych kontaktowych i urządzeń do celów służbowych jest poważnym naruszeniem zasad RODO i wewnętrznych regulacji firmowych. Naraża to nie tylko samego pracownika na kary i konsekwencje dyscyplinarne, ale przede wszystkim stawia pracodawcę w bardzo trudnej sytuacji, obciążając go odpowiedzialnością za potencjalne naruszenia danych osobowych, na które nie miał wpływu.