Udostępnienie danych pracownikowi, nieupoważnionemu do ich przetwarzania – jak ocenić ryzyko naruszenia?

Wpis jest efektem wielu przemyśleń oraz doświadczeń moich i znajomych IOD, wynikających ze zgłaszania naruszeń do Prezesa UODO. Zacznę od najprostszego – tak jest to naruszenie ochrony danych. Wynika to bezpośrednio z definicji z art. 4 RODO. Pracownik, który nie jest upoważniony do przetwarzania określonych danych, staje się nieuprawnionym odbiorcą danych, w momencie ich udostępnienia. Zatem rozważania skupię na ocenie tego, jak wysokie ryzyko dla osób fizycznych, generuje takie naruszenie. Na ile ma znaczenie, że nieuprawnionym (zazwyczaj przypadkowym) odbiorcą danych jest pracownik?

Fakty: administrator zapewnia przeszkolenie swojego personelu z ochrony danych osobowych. Ponadto powinien zobligować pracowników do zachowania poufności. Poza tym często dochodzą dodatkowe okoliczności: znajomość zachowań pracownika, wieloletnia współpraca i zaufanie. Czy pracownik będzie w takim wypadku „zaufanym odbiorcą”?

W przepisach RODO nie ma definicji zaufanego odbiorcy. Takie określenie pojawia się w aplikacjach bankowych, w odniesieniu do osób lub podmiotów, do których klietn chce wykonywać przelewy bez konieczności podawania dodatkowych poświadczeń. To klient, a nie bank określa, kto jest zaufany, a kto nie. O zaufanym odbiorcy wspomniała także EROD w wytycznych 1/2021, dotyczących naruszeń. Pojęcie to pojawia się w przykładzie naruszenia, polegającego na udostępnieniu danych osobowych agentowi ubezpieczeniowemu. Co istotne, agent został uznany za zaufanego odbiorcę ze względu na fakt ustawowego zobligowania do zachowania w poufności danych przetwarzanych w związku z wykonywaniem zawodu (mail z danymi od klienta, więc zaliczał się do tej kwalifikacji), sam zgłosił naruszenie i pracował z klientem na tyle długo, że jest etyka nie wzbudzała wątpliwości. Logiczne? Raczej problematyczne, bo okazuje się, że jest to uznanowia definicja, gdzie administrator może mieć odmienne zdanie od organu nadzorczego.

Jak jest w praktyce?

Były pracownik zawsze będzie uznany za niezaufanego odbiorcę. Potwierdza to przykład naruszenia w banku Santander (DKN.5131.33.2021): „Bank uznał byłego pracownika, który miał dostęp do danych osobowych na platformie PUE ZUS, jako odbiorcę „zaufanego”, tzn. Bank zaufał odbiorcy, z uwagi na złożone przez niego w trakcie zatrudnienia w Banku oświadczenia, że ten nie podejmie żadnych dalszych działań w kwestii tych danych. (…) Analizując zasadność przedstawionej argumentacji należy wziąć pod uwagę fakt, iż regulacje prawne, w tym obowiązki związane z zachowaniem tajemnicy (upoważnienie do przetwarzania danych osobowych w imieniu Banku, oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności), nie gwarantują osobie, której dane dotyczą, stuprocentowej pewności oraz ochrony przed zmaterializowaniem się negatywnych skutków, bowiem kluczowym czynnikiem są stosunki, w jakich pozostają podmioty. Relację tę definiuje Grupa Robocza Art. 29 w ww. Wytycznych, w których to zawarte zostało pojęcie „zaufanego odbiorcy”. Co zaś najistotniejsze – osoba, która posiadała nieuprawniony dostęp do danych osobowych pracowników Banku, aktualnie nie jest związana z Administratorem stosunkiem pracy, nie łączą ich też jakiekolwiek inne relacje np. biznesowe, zatem przedstawione powyżej okoliczności nie mają na gruncie przedmiotowej sprawy żadnego znaczenia.” Zatem w ocenie organu, były pracownik, to nieuprawniony odbiorca. Skutkiem takiej oceny jest konieczność nie tylko zgłoszenia takiego naruszenia (np. pozostawienie dostępu po zakończeniu współpracy do systemu z danymi osobowymi, omyłkowe wysłanie danych), ale także zawiadomienie osób, których dotyczy naruszenie.

A czy aktualnie zatrudniony pracownik jest zaufanym odbiorcą? Przyznaję, że właśnie tak oceniałam tę relację. W końcu występuje tu relacja pracodawca – pracownik. Jest władztwo pracodawcy, jest zobligowanie do poufności. W dużych organizacjach pomyłki się zdarzają – szczególnie omyłkowe wysłanie maila. Czy jeśli taki pracownik zgłosi fakt, otrzymania danych, do których przetwarzania nie jest uprawniony lub nadmiarowego dostępu do danych w systemie, nie będzie można ocenić go jako „zaufanego odbiorcy”?

Natomiast praktyka pokazuje, że niekoniecznie tak jest i organ nadzorczy, zwraca uwagę przede wszystkim na zakres danych.

W przypadku „naruszenia poufności danych, w szczególności danych w zakresie imienia, nazwiska, adresu zamieszkania lub pobytu, nr PESEL, danych dotyczących zarobków i/lub posiadanego majątku oraz adresu e-mail, powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych”. Taka informacja pojawia się w decyzjach oraz pismach z PUODO, gdzie dla organu nie ma znaczenia, kto był nieuprawnionym odbiorcą.

Wniosek: pracownik będzie zaufanym odbiorcą, ale tylko w przypadku, gdy zakres danych nie będzie „wrażliwy”. W przeciwnym wypadku należy dokonać zawiadomienia z art. 34 RODO. I w tym miejscu pojawia się trudna kwestia, wskazania możliwych konsekwencji dla osoby, której dotyczy naruszenie. Prezes UODO w swoich wytycznych (słynna tabelka przesyłana administratorom, ale także liczne wypowiedzi), wskazuje że w przypadku naruszenia poufności PESEL-u należy wskazać możliwość wzięcia pożyczki na szkodę tej osoby, przez nieuprawnionego odbiorcę. Tym odbiorcą jest pracownik administratora. Zatem przekazanie takiej informacji, z perspektywy tego pracownika jest bardzo krzywdzące. Tym bardziej, jeśli sam zgłosił pracodawcy uzyskanie nieuprawnionego dostępu. Kolejna kwestia: coraz częściej dochodzi do oszustw z wykorzystaniem danych osobowych. Jeżeli takie oszustwo zbiegnie się w czasie z zawiadomieniem o naruszeniu, osoba której dotyczy naruszenie, uzna zapewne, że to pracownik administratora, dokonał oszustwa. Cała sytuacja może także negatywnie wpływać na atmosferę w zespole – poprzez zawiadomienie domniemywa się złej woli pracownika oraz traktuje jako potencjalnego przestępcę.

W tym miejscu muszę wskazać, że jest jeden aspekt, który przekonuje mnie do zawiadomienia – dyskryminacja lub gorsze traktowanie. O ile uważam, że obawy dotyczące wykorzystania PESEL-u są mocno przesadzone, o tyle sama wysokość zarobków w wielu firmach nie jest jawna. I pracownik chciałby wiedzieć, że jego koledzy lub koleżanki zapoznali się z tą informacją. Podobnie gdyby informacje udostępnione z danymi osobowymi, np. dotyczące zgłoszenia naruszenia prawa, gorszego traktowania, itp. mogły mieć negatywny wpływ na tę osobę. Warto podkreślić, że dotychaczasowe doświadczenia wskazują na to, że działania podjęte po fakcie, jak zobligowanie do poufności, czy przeszkolenie nieuprawnionego odbiorcy, nie są uznawane za minimalizujące ryzyko naruszenia.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie