В случай че сте работодател, чиито служители обработват лични данни, този материал може да Ви бъде полезен. В него ще намерите информация относно често срещаните въпроси:
• Дали Вашите служители могат да понесат имуществена отговорност за произтекли за Вас вреди вследствие на нарушение на GDPR?, и
• Какъв е максималният размер на имуществената отговорност и как същата може да бъде ангажирана?
Общите правила на Кодекса на труда (KT) за имуществената отговорност на служителите могат да бъдат приложени и при вреди за работодателя, настъпили вследствие на нарушение на сигурността на лични данни.
КТ урежда два вида имуществена отговорност на служителите – ограничена и пълна.
При ограничената имуществена отговорност, служителят отговаря за причинените на работодателя вреди вследствие на небрежност в размер до една/три работни заплати в зависимост от това дали е на изпълнителска или ръководна длъжност (напр. служител, който обработва лични данни при изпълнение на служебните си задължения по небрежност и поради грешка изтрие съхранявани от работодателя лични данни, от което за последния произтекат вреди).
При пълната имуществена отговорност, обезщетението, което следва да бъде заплатено от служителя, е в размер на доказаните от работодателя вреди. Тези вреди работодателят следва да докаже пред съд, като предяви искова молба по т. нар. общ исков ред (по реда на Гражданския процесуален кодекс). Предпоставка е служителят да е причинил вредите умишлено, в резултат на престъпление или не при и по повод изпълнение на трудовите задължения (такъв пример относно защитата на лични данни може да имаме в случай че служител умишлено и не по повод работата си предаде обработвани от работодателя лични данни на трето лице с цел лична облага).
При ограничена имуществена отговорност (в случай на оспорване от служителя на заповедта за налагане на ограничена имуществена отговорност в 1-месечен срок от връчването) също може да се стигне до предявяване на иск пред съд срещу служителя, респ. до необходимост от доказване на вредите на работодателя по съдебен ред.
Доказването на размера на вредите от работодателя е по-лесно, в случай че същият е санкциониран по надлежен ред – например чрез наказателно постановление, издадено от Комисията за защита на личните данни (така може да се твърди, че размерът на вредите е равен на наложената имуществена санкция). По-трудно ще бъде доказването на вината на служителя, ако не е издаден акт от компетентен орган за нарушението.
Съдебната практика показва, че работодателите прибягват към дисциплинарна отговорност, като най-често извършените от служителите им нарушения на приложимото законодателство във връзка със защитата на лични данни се открива и преустановява от самия работодател, без да се е стигнало до надлежно наложена имуществена санкция.
До този момент не е налице практика за претендиране на пълна имуществена отговорност от служител за вреди, произтекли от нарушения на защитата на лични данни. Налице са няколко съдебни решения във връзка с претендирана от работодателя ограничена имуществена отговорност.
Такива решения и повече информация по темата ще можете да откриете скоро в нарочен сборник, целящ да улесни работодателите при изпълнение на задълженията им по GDPR, като им предостави практическа информация и синтезиран преглед на съдебната практика.
Междувременно, можете да се запознаете и с част от другите теми, разгледани в сборника:
Задължения на администраторите на лични данни, произхождащи от качеството им на работодател
GDPR и граждански договори – отговорност и мерки за защита на данните
Мониторинг на работещи от вкъщи служители – съвместим ли е с GDPR?
Защита на личните данни при работа от вкъщи — задължения на работодателите
