Sąd Okręgowy w Elblągu Wydział IV Pracy i Ubezpieczeń Społecznych w dniu 24 marca 2021 wydał wyrok (Sygn. akt IV Pa 10/21) oddalający apelację byłej pracownicy Zakładu Ubezpieczeń Społecznych z Elbląga, która została dyscyplinarnie zwolniona za nieuprawnione przeglądanie danych osobowych i danych poufnych m.in. sprawdzała w bazach danych ZUS swojego męża, kilku pracowników szpitala, który podlegał pod inny oddział ZUS, 6 pracowników starostwa powiatowego, a także konto starostwa jako płatnika składek. ZUS powiadomił też prokuraturę o możliwości popełnienia przez nią przestępstwa z art. 107 RODO oraz 267 kodeksu karnego. Zakład o wycieku danych powiadomił też Urząd Ochrony Danych Osobowych.
Wyciek danych osobowych z ZUS? Nic nowego. Lepiej sprawdzić czy przez przestępcze działanie pracowników ZUS ktoś nie wziął na Twoje dane osobowe chwilówki.
Nie jest to pierwszy przypadek wycieku danych osobowych z Zakładu Ubezpieczeń Społecznych jaki miał ostatnio miejsce. Redakcja CzasFinansow.pl alarmowała szeroko rozumianą opinię publiczną o wcześniejszych przypadkach łamania RODO i możliwych przestępstw pracowników ZUS w zakresie przestrzegania RODO.
Pracownicy Zakładu Ubezpieczeń Społecznych w sposób urągający dobrym obyczajom i działając na szkodę interesu publicznego oraz interesów prywatnych pokrzywdzonych przez ZUS osób wysyłali na fałszywe lub nieaktualne adresy pisma, w których zawarte były dane osobowe osób trzecich.
Dane z pism ZUS były wystarczające do wyłudzania na te osoby pożyczek, kredytów, czy chwilówek. ZUS nie był w stanie nawet wyjaśnić Prezesowi Urzędu Ochrony Danych Osobowych jak dużą ilość osób skrzywdził swoim nieprofesjonalnym i amatorskim przetwarzaniem danych osobowych.
Czytelnicy CzasFinansów.pl informowali nas, że takie przypadku “omyłkowo” wysyłanych pism z danymi osobowymi przez ZUS dzieją się często we wrocławskim ZUS. Do UODO natomiast wpływały skargi z całej Polski na te przestępczą praktykę pracowników Zakładu Ubezpieczeń Społecznych.
O sprawie szerzej pisaliśmy tutaj:
O sprawie wycieku danych osobowych z ZUS, przez który Zakład naraził niewinne osoby na wyłudzanie na ich dane osobowe chwilówek pisaliśmy 13 marca 2021. Jak się okazuje ZUS już wtedy wiedział, że ten skandaliczny i podważający zaufanie do bezpieczeństwa przetwarzania danych osobowych przez ZUS uporczywy czyn nie był jedynym. Już 26 marca 2020 roku ZUS wypowiedział umowę w trybie dyscyplinarnym swojej pracownicy, która dokonała wycieku danych osobowych w ZUS i złamania RODO. Potwierdzają to akta sprawy Sądu Rejonowego w Ostródzie o sygnaturze IV P 58/20.
Jak broniła się pracownica ZUS łamiąca RODO?
W uzasadnieniu pozwu zwolniona pracownica ZUS wskazała, że rozwiązanie umowy o pracę w trybie dyscyplinarnym jest dla niej niesprawiedliwe i krzywdzące, bowiem w pozwanym zakładzie pracy przepracowała niemal całe swoje życie zawodowe, była nagradzana za swoją pracę, a kilka lat temu otrzymała wyróżnienie i nagrodę pieniężną. Zdaniem powódki, nie wyrządziła ona nikomu krzywdy ani szkody, a sankcja zastosowana przez pracodawcę jest nieproporcjonalna.
Powódka zaznaczyła, że operowała systemem informatycznym w ramach zwykłych czynności pracowniczych, a nie w celu zaspokojenia swojej ciekawości, naruszenia czyjejś prywatności czy też wyrządzenia komukolwiek szkody.
Powódka przytoczyła poglądy wyrażone w orzecznictwie na temat stopnia winy pracownika koniecznego do przypisania ciężkiego naruszenia podstawowych obowiązków pracowniczych i stwierdziła, że nie uczyniła niczego, co można by zakwalifikować jako winę umyślną albo rażące niedbalstwo.
Jak zwolnienie pracownicy ZUS łąmiącej RODO uzasadniał Zakład?
Pozwany Zakład w odpowiedzi na pozew wniósł o oddalenie powództwa oraz zasądzenie kosztów procesu, w tym kosztów zastępstwa prawnego według norm przepisanych. W uzasadnieniu odpowiedzi na pozew pozwany wskazał, że dokonane rozwiązanie umowy o pracę z powódką było uzasadnione i pozbawione jakichkolwiek wad.
Pozwany wskazał, że przestrzeganie ustawy o ochronie danych osobowych i prawidłowe korzystanie z zasobu danych pozwanego stanowi w przypadku wszystkich pracowników Zakładu obowiązek podstawowy, a świadome naruszenie przepisów ustawy o ochronie danych osobowych jest ciężkim naruszeniem podstawowych obowiązków pracowniczych. Ponadto, naruszenie zasad dostępu do danych osobowych zgromadzonych w systemie Zakładu naruszyło m.in. obowiązek zachowania w tajemnicy informacji o klientach pracodawcy (art. 100 § 2 pkt 4-5 kp).
Powódka, dokonując operacji polegających na pobraniu ze zbioru danych osobowych ZUS informacji z konta ubezpieczonych i płatników składek, uczyniła to niezgodnie z celem, dla którego zbiór ten stworzono i z przekroczeniem zakresu udzielonego jej przez administratora danych upoważnienia do przetwarzania danych osobowych.
Ustalenia Sądu w zakresie złamania RODO przez ZUS
Sąd Rejonowy w Ostródzie (I Instancja, proces toczył się pod sygnaturą IV P 58/20) wskazał, że o stwierdzonych naruszeniach ochrony danych osobowych został zawiadomiony Urząd Ochrony Danych Osobowych oraz wszystkie osoby, których dane osobowe zostały naruszone, zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) (…) z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. z 2016r. Nr 119, str. 1 z późn. zm.).
Sąd Rejonowy podał, że strona pozwana wykazała, że powódka dopuściła się naruszenia podstawowych obowiązków pracowniczych, polegającego na uzyskaniu bezprawnego dostępu do danych osobowych klientów ZUS, co nie miało żadnego związku z wykonywaniem przez nią obowiązków pracowniczych.
Zatem zdaniem Sądu I instancji działania powódki jednoznacznie wskazują, że było to działanie świadome i celowe, a jednocześnie naruszające przepisy wewnątrzzakładowe, mianowicie „Politykę bezpieczeństwa informacji w Zakładzie Ubezpieczeń Społecznych” i „Regulamin pracy Zakładu Ubezpieczeń Społecznych”
Sąd Okręgowy, oceniając jako prawidłowe ustalenia faktyczne i rozważania prawne dokonane przez Sąd Rejonowy, uznał je za własne, co oznacza, iż zbędnym jest ich szczegółowe powtarzanie w uzasadnieniu wyroku Sądu odwoławczego (por. wyrok Sądu Najwyższego z dnia 5 listopada 1998r., sygn. akt I PKN 339/98 , OSNAPiUS z 1999r. z.24, poz. 776).
Powódka wskazała, że nawet jeżeli doszło do naruszenia obowiązków pracowniczych, to takie naruszenie w żadnej mierze nie skutkowało negatywnymi i realnymi konsekwencjami dla pracodawcy, np. odpowiedzialnością odszkodowawczą. Ewentualne naruszenie miało charakter abstrakcyjny i nie przekładało się na realne funkcjonowanie placówki lub negatywną ocenę przez jej klientów. Sąd Okręgowy nie podziela stanowiska apelantki.
W pierwszej kolejności należy zaznaczyć, że zgodnie z art. 52 § 1 pkt 1 kp pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych. Ocena, czy naruszenie obowiązku jest ciężkie, powinna uwzględniać stopień winy oraz zagrożenie lub naruszenie interesów pracodawcy.
W użytym w powołanym przepisie pojęciu „ciężkie naruszenie podstawowych obowiązków pracowniczych” mieszczą się trzy elementy. Są to: bezprawność zachowania pracownika (naruszenie podstawowego obowiązku pracowniczego); naruszenie albo zagrożenie interesów pracodawcy; zawinienie obejmujące zarówno winę umyślną, jak i rażące niedbalstwo (postanowienie Sądu Najwyższego z dnia 17 listopada 2020 r, sygn. akt III PK 212/19, Lex nr 3144403). Nie chodzi zatem o jakiekolwiek naruszenie obowiązków pracowniczych, lecz o naruszenie kwalifikowane.
ZUS powiadamia prokuraturę
Jak wynika z akt sądowych tej sprawy Zakład Ubezpieczeń Społecznych sam powiadomił prokuraturę o przestępcy z ZUS, która miała się dopuścić w ramach umowy o pracę przestępstwa z art 107 RODO oraz 267 kodeksu karnego. O jakich przestępstwach mamy zatem do czynienia wobec kolejnego pracownika ZUS, który okazuje się być przestępcą?
Art. 267. [Bezprawne uzyskanie informacji]
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
§ 5.
Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Art. 107. [Nielegalne przetwarzanie danych osobowych]
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Przestępców z ZUS nie brakuje. Kolejne miesiące ujawniają kolejnych pracowników Zakładu Ubezpieczeń Społecznych, którzy dopuszczają się czynów zakazanych
Do sprawy będziemy wracać!
