Текстът по-долу ще ви помогне да разберете повече за дисциплинарната отговорност, която може да бъде понесена от служител при неспазване на законовите и вътрешни изисквания за обработка на лични данни. В частност:
• Може ли да уволним служител при неспазване на задълженията му във връзка със защита на личните данни?
• Какви са предпоставките и законовите основания за това и за какво трябва да внимаваме?
• Необходимо ли е нарушението да е довело до иницииране на административнонаказателно производство срещу работодателя и налагане на санкции?
• Можем ли наред с дисциплинарната отговорност да реализираме и имуществена отговорност на служителя?
I. Възможно ли е налагане на дисциплинарна отговорност за неизпълнение на задължения във връзка с обработване на лични данни?
В случай че действията по обработка на лични данни са включени в служебните задължения на служителя, при нарушение на законовите изисквания и/или вътрешните правила за законосъобразност на обработката, работодателят може да му наложи дисциплинарно наказание по реда на Кодекса на труда (КТ).
Това е така, тъй като виновното неизпълнение на трудови задължения представлява нарушение на трудовата дисциплина и може да бъде предпоставка за дисциплинарно наказание (съгласно чл. 190, ал. 1, т. 3 от КТ).
Наред с това, съгласно съдебната практика нарушение, касаещо администрираните от работодателя лични данни, може да се разглежда и като "злоупотреба с доверието на работодателя и разгласяване на поверителни за него сведения" по смисъла на чл. 190, ал. 1, т. 4 от КТ. Това от своя страна също обуславя възможност за налагане на дисциплинарно наказание – уволнение.
Предвид това, при извършване на сериозно нарушение при обработка на администрирани от работодателя лични данни, може да се стигне до уволнение на служителя по дисциплинарен ред. Практиката показва, че за нарушения във връзка с обработка на лични данни, заповедите за уволнение се основават най-често кумулативно на чл.190, ал. 1, т. 3, т. 4 и т. 7 ("други нарушения") от КТ.
Преценката дали срещу служителя да бъде инициирано дисциплинарно производство, както и какво наказание да бъде наложено (забележка, предупреждение или уволнение), е на работодателя.
Нарушенията във връзка със сигурността на лични данни по естеството си са тежки и могат да доведат до значителни санкции за работодателя и вреди на трети лица. Това обуславя възможността работодателят да наложи директно най-тежкото дисциплинарно наказание – уволнение.
Въпреки това е препоръчително работодателят във вътрешен акт (напр. Правилника за вътрешен трудов ред) или в Трудовия договор да дефинира "тежко нарушение" и да посочи като такова всяко нарушение във връзка с обработка на лични данни. Така наказанието "уволнение" ще може да бъде наложено и при по-немащабно нарушение при обработка на лични данни, като работодателят ще бъде улеснен в случай на евентуални твърдения на служителя, че вида на наказанието не съответства на тежестта на нарушението.
II. Предпоставки за дисциплинарното уволнение
Предпоставките за налагане на дисциплинарно уволнение за неспазване на задължения във връзка с обработването на лични данни са:
• В длъжностната характеристика на служителя да са уредени задължения във връзка с обработка на лични данни, както и естеството му на работа да предполага достъп до лични данни и задължения във връзка с тяхната обработка.
• Служителят да е бил инструктиран и обучен от работодателя за законовите изисквания и задълженията му във връзка с обработването на лични данни. Изисквания във връзка с обработката на лични данни следва да бъдат включени в правилника за вътрешния трудов ред и/или в отделни вътрешни актове на разположение на служителя (политики за поверителност и др.).
• Служителят следва да е извършил нарушение на законовите изисквания и/или вътрешните правила на работодателя за защита на лични данни при изпълнение на служебните си задължения.
• Нарушението може да представлява нарушение на вътрешните правила на работодателя във връзка със защита на личните данни, така и нарушение на законодателството в този смисъл (като най-често двете съвпадат).
Така съгласно Решение № 400926 от 04.05.2018 г. по гр.д. № 88037/2017 г. по описа на РС София: "съдът счита, че щом използването, съхранението и разпространяването на лични данни е строго регламентирана от законодателя дейност, то всяко обработване на такива данни следва да е само по повод и за целите на изпълнението на своите служебните задължения и то под контрола на администратора на лични данни, какъвто е Банката. Самоволното изпращане на ЕГН-та до служители на други банки, без знанието или указанията на администратора или обработващия лични данни безспорно е нарушение не само на приетите от Банката правила, но и на Закона за защита на личните данни, според чл. 24, ал. 6 на който обработващият лични данни, както и всяко лице, което има достъп до лични данни, може да ги обработва само по указания на администратора".
• Работодателят следва да спази всички изисквания на КT за налагане на дисциплинарно наказание.
• Изключително важно е изчерпателното мотивиране на заповедта за налагане на наказанието. Така например при нарушение във връзка с обработка на лични данни следва да е посочено кои точно лични данни и на каква група субекти (клиенти, други служители) са предмет на нарушението, както и в какво точно се състои нарушението – напр. изтриване, разпространение, подмяна на личните данни и др.
Съгласно съдебната практика, посочване в мотивите единствено на "установени нарушения на Общия регламент за защита на личните данни посредством умишлена подмяна и изтриване на лични данни на крайни потребители без тяхно съгласие", или друга обща формулировка без допълнителна конкретизация води до нарушение на правото на защита на служителя, респ. на незаконосъобразност на уволнението.
• Обясненията следва да са изискани от служителя за същото нарушение, посочено в мотивите на заповедта, както и от поканата за обяснения да е напълно ясно за какво нарушение се касае. Следва да се спази посоченото по-горе изискване за детайлност и яснота в какво се изразява нарушението и по отношение на кои лични данни е извършено.
Така, съгласно съдебната практика, "[л]ипсата на конкретизация за подмяна на кои именно лични данни се иска обяснение, поставя служителя в невъзможност да упражни ефективно правото си на защита" (съгласно Решение № 345 от 28.01.2019 г. по гр.д. № 10360/2018 г. по описа на РС Пловдив).
В Решение № 351 от 28.01.2019 г. по гр.д. № 9960/2018 г. по описа на РС Пловдив е прието, че: "[в] искането на обяснения е посочено, че е налице подмяна на лични данни, а от писмените и гласни доказателства се установи, че служителите са боравели с редица лични данни - имена, имейл адрес, телефонни номера, адрес на местоживеене, пощенски код, информация за банкови сметки и плащания и т.н. Липсата на конкретизация за подмяна на кои именно лични данни се иска обяснение, поставя служителя в невъзможност да упражни ефективно правото си на защита. Едва в заповедта за налагане на наказание работодателят е уточнил, че като нарушение на служителя се вменява промяна на основен номер за контакт на крайни потребители, за каквото нарушение преди това не е изискал обяснения".
• Извършеното нарушение във връзка с обработка на лични данни следва да е безспорно установено и да са налице доказателства за извършването му.
Не е необходимо нарушението на служителя да е довело до иницииране на административнонаказателно производство срещу работодателя и налагането на санкции.
Дисциплинарната отговорност не изключва възможността отделно на служителя да бъде наложена имуществена, административнонаказателна или наказателна отговорност, в случай на наличие на законовите предпоставки.
Ако имате допълнителни въпроси, то можете да се свържете с нас на office@kdbmlaw.com.
Настоящият материал е съставен за Ваше улеснение и не представлява правен съвет.
