Comarch RODO: dowody w postępowaniu sądowym w praktyce prawnej
Współczesny obrót prawny i gospodarczy w coraz większym stopniu opiera się na danych cyfrowych. Przedsiębiorstwa, dążąc do optymalizacji swoich procesów, masowo wdrażają zintegrowane systemy zarządzania zasobami klasy ERP (Enterprise Resource Planning). Jednym z najpopularniejszych i najbardziej cenionych rozwiązań tego typu w Polsce jest oprogramowanie dostarczane przez firmę Comarch. Systemy te przetwarzają gigantyczne wolumeny danych, w tym dane osobowe pracowników, klientów, dostawców oraz partnerów biznesowych. W dobie rygorystycznych wymogów nałożonych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), kluczowym aspektem funkcjonowania każdej organizacji staje się zdolność do wykazania zgodności z przepisami. Gdy dochodzi do sporu prawnego – przed sądem pracy, sądem cywilnym czy też przed organem nadzorczym – dane zgromadzone w modułach Comarch RODO przestają być jedynie elementem wewnętrznej administracji, a stają się kluczowym, często rozstrzygającym dowodem w sprawie. Niniejsza publikacja ma na celu szczegółowe omówienie aspektów praktycznych i procesowych związanych z wykorzystaniem systemów Comarch jako źródła dowodów w postępowaniu sądowym.
1. Rola systemów ERP w kontekście RODO i postępowań sądowych
Zrozumienie roli, jaką systemy ERP odgrywają w architekturze ochrony danych osobowych, wymaga odniesienia się do fundamentalnej zasady RODO – zasady rozliczalności (art. 5 ust. 2 RODO). Nakłada ona na administratora danych osobowych (ADO) obowiązek nie tylko wdrożenia odpowiednich środków technicznych i organizacyjnych, ale również ciągłego posiadania dowodów na to, że procesy przetwarzania są realizowane zgodnie z prawem. W przypadku sporu sądowego lub kontroli, ciężar dowodu zostaje odwrócony – to nie powód czy organ musi udowodnić winę administratora, lecz administrator must wykazać swoją niewinność i pełną zgodność operacji z przepisami. W tym miejscu z pomocą przychodzi moduł Comarch RODO, który działa jak swoista czarna skrzynka przedsiębiorstwa. Rejestruje on wszelkie operacje na danych, przypisując je do konkretnych użytkowników, stacji roboczych oraz punktów w czasie. Z punktu widzenia prawa procesowego, dane te stanowią dowód z dokumentu elektronicznego, o którym mowa w art. 77[3] Kodeksu cywilnego oraz art. 308 Kodeksu postępowania cywilnego (Kpc). Ich rzetelność i trudność w sfałszowaniu sprawiają, że są one znacznie wyżej cenione przez sądy niż zeznania świadków, które z natury są subiektywne i podatne na upływ czasu.
2. Rodzaje dowodów z systemu Comarch RODO w praktyce prawnej
System Comarch ERP oferuje szeroki wachlarz narzędzi dedykowanych ochronie danych osobowych, które generują różnorodne typy danych o charakterze dowodowym. Do najważniejszych z nich należą:
Rejestr Operacji na Danych Osobowych (logi systemowe)
Jest to bez wątpienia najważniejszy element dowodowy. Logi systemowe rejestrują każdą aktywność użytkowników w bazie danych. Każde wyświetlenie kartoteki pracownika, modyfikacja numeru PESEL klienta, eksport listy płac do pliku zewnętrznego czy usunięcie danych z bazy zostaje trwale zapisane. Log ten zawiera unikalny identyfikator operatora (login), znacznik czasu (data, godzina, minuta, sekunda), adres IP stacji roboczej oraz precyzyjny opis wykonanej czynności. W sprawach o naruszenie tajemnicy przedsiębiorstwa lub bezprawne ujawnienie danych osobowych, rejestr ten pozwala na bezsporne ustalenie sprawcy naruszenia.
Rejestr Upoważnień i Zgód
Zgodnie z art. 29 RODO, każda osoba działająca z upoważnienia administratora, która ma dostęp do danych osobowych, musi posiadać stosowne upoważnienie. Moduł Comarch RODO pozwala na elektroniczne zarządzanie tymi uprawnieniami. W przypadku sporu z pracownikiem, który twierdzi, że został zmuszony do pracy na danych bez upoważnienia, lub w sytuacji zarzutu ze strony organu nadzorczego, wyciąg z rejestru upoważnień stanowi bezpośredni dowód na dopełnienie tego obowiązku przez pracodawcę. Podobnie rzecz ma się z rejestrem zgód marketingowych – system pozwala wykazać pełną ścieżkę życia zgody, od jej wyrażenia przez klienta, aż po ewentualne wycofanie.
Eksporty danych i raporty zgodności
Systemy Comarch umożliwiają generowanie ustrukturyzowanych raportów, które mogą być bezpośrednio przedkładane jako załączniki do pism procesowych. Raporty te mogą dotyczyć m.in. realizacji prawa do bycia zapomnianym (art. 17 RODO) czy prawa do przenoszenia danych (art. 20 RODO). Pokazują one krok po kroku, jak administrator zareagował na żądanie osoby, której dane dotyczą, co pozwala na skuteczną obronę przed zarzutami o opieszałość lub ignorowanie praw konsumentów.
3. Jak prawidłowo sformułować wniosek dowodowy?
Aby dowód z systemu Comarch RODO został skutecznie przeprowadzony w postępowaniu sądowym, niezbędne jest jego prawidłowe zgłoszenie w piśmie procesowym. Zgodnie z art. 235[1] Kpc, strona zgłaszająca dowód obowiązana jest oznaczyć go w sposób umożliwiający przeprowadzenie badania, a także wskazać fakty, które mają zostać nim wykazane. W praktyce oznacza to konieczność precyzyjnego sformułowania wniosku dowodowego. Poniżej przedstawiamy wzorcowy sposób sformułowania takiego wniosku w piśmie procesowym:
„Wnoszę o dopuszczenie i przeprowadzenie dowodu z dokumentu elektronicznego w postaci wyciągu z Rejestru Operacji na Danych Osobowych systemu Comarch ERP, wygenerowanego dla bazy danych [nazwa_bazy] za okres od dnia [data] do dnia [data], zapisanego na informatycznym nośniku danych (płyta CD/pendrive) w formacie PDF z podpisem kwalifikowanym, na okoliczność wykazania, że powód w dniu [data] dokonał masowego eksportu danych osobowych klientów pozwanej spółki bez uprzedniego upoważnienia i w celu niezwiązanym z wykonywaniem obowiązków służbowych, co stanowiło ciężkie naruszenie podstawowych obowiązków pracowniczych.”
Tak sformułowany wniosek nie pozostawia wątpliwości co do tożsamości dowodu, jego formy oraz tezy dowodowej, którą strona zamierza udowodnić. Unika się w ten sposób zarzutów o ogólnikowość wniosku, co mogłoby skutkować jego pominięciem przez sąd.
4. Obowiązek udostępnienia danych a tajemnica przedsiębiorstwa
W wielu sprawach kluczowe dowody znajdują się w systemie Comarch należącym do strony przeciwnej. W takich sytuacjach strona może złożyć wniosek o zobowiązanie przeciwnika do przedstawienia dokumentu (art. 248 Kpc). Częstą linią obrony pozwanego przedsiębiorcy jest wówczas twierdzenie, że udostępnienie logów systemowych lub baz danych Comarch naruszy tajemnicę przedsiębiorstwa lub doprowadzi do ujawnienia danych osobowych osób trzecich, co byłoby niezgodne z RODO. Sąd, jako organ orzekający, musi w takiej sytuacji dokonać ważenia interesów stron. RODO nie może być wykorzystywane jako tarcza chroniąca przed odpowiedzialnością za naruszenie prawa. Sąd ma prawo nakazać przedłożenie dowodów, jednakże powinien zastosować odpowiednie środki minimalizujące ryzyko. Może to być nakaz anonimizacji danych osób trzecich (np. zaciemnienie nazwisk klientów niezwiązanych ze sprawą) lub przeprowadzenie dowodu w warunkach wyłączenia jawności posiedzenia. Obowiązek ten ma charakter bezwzględny, a bezpodstawna odmowa przedłożenia dowodu na żądanie sądu może skutkować nałożeniem grzywny oraz uznaniem przez sąd twierdzeń strony wnioskującej za prawdziwe (art. 233 ust. 2 Kpc).
5. Terminy procesowe i prekluzja dowodowa
Niezwykle ważnym aspektem każdego postępowania sądowego jest przestrzeganie terminów. Nowelizacje Kodeksu postępowania cywilnego wprowadziły rygorystyczny system dyscyplinowania stron, znany jako prekluzja dowodowa. Zgodnie z art. 205[12] Kpc, sąd pomija spóźnione twierdzenia i dowody, chyba że strona uprawdopodobni, że ich powołanie nie było możliwe, albo że potrzeba ich powołania wynikła później. Oznacza to, że termin na zgłoszenie dowodów z systemu Comarch RODO mija zasadniczo wraz ze złożeniem pierwszego pisma procesowego – pozwu lub odpowiedzi na pozew. Jeśli pełnomocnik zorientuje się dopiero w połowie procesu, że kluczowe logi znajdują się w systemie Comarch, ich powołanie może okazać się niedopuszczalne. Dodatkowym aspektem jest termin przechowywania logów (retencja danych). Administratorzy często konfigurują systemy tak, aby logi były automatycznie usuwane po określonym czasie (np. po roku lub dwóch latach) w celu oszczędności miejsca na dyskach. Jeśli przedsiębiorca nie zabezpieczy bazy danych odpowiednio wcześnie, dowód ten może bezpowrotnie zaginąć, co w świetle prekluzji dowodowej i upływu terminów przedawnienia roszczeń stawia go w niezwykle trudnej sytuacji procesowej.
6. Rola organu nadzorczego i specyfika postępowań przed Prezesem UODO
Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO) rządzi się swoimi prawami, odmiennymi od procedury cywilnej. Jako organ administracji publicznej, PUODO dysponuje szerokimi uprawnieniami kontrolnymi. W przypadku wpłynięcia skargi na administratora, organ ten wszczyna postępowanie wyjaśniające i wzywa podmiot do przedstawienia dowodów na zgodność przetwarzania z prawem. W takich sprawach termin na udzielenie odpowiedzi jest niezwykle krótki – najczęściej wynosi 7 lub 14 dni. Posiadanie zintegrowanego systemu Comarch RODO pozwala na błyskawiczne wygenerowanie niezbędnych raportów i historii operacji. Przedsiębiorca, który nie posiada takiego systemu, często nie jest w stanie w tak krótkim terminie odtworzyć historii przetwarzania danych sprzed kilku miesięcy czy lat. Brak przedstawienia dowodów w wyznaczonym terminie jest traktowany przez organ jako utrudnianie kontroli lub brak współpracy, co zgodnie z art. 83 ust. 4 RODO może skutkować nałożeniem dotkliwej administracyjnej kary pieniężnej.
7. Praktyczny przykład zastosowania dowodów z systemu Comarch RODO
Aby zilustrować praktyczne znaczenie dowodów z systemu Comarch RODO, warto przeanalizować następujący stan faktyczny. Spółka X (pracodawca) rozwiązała umowę o pracę z panem Tomaszem (dyrektorem handlowym) w trybie dyscyplinarnym (art. 52 Kodeksu pracy). Jako przyczynę wskazano ciężkie naruszenie obowiązków pracowniczych polegające na skopiowaniu bazy danych kluczowych klientów spółki w celu przekazania jej nowemu pracodawcy (konkurencji). Pan Tomasz odwołał się do sądu pracy, twierdząc, że zarzuty są wyssane z palca, a on sam nigdy nie dokonywał żadnych masowych eksportów danych, a jedynie wykonywał swoje codzienne obowiązki. W toku procesu pełnomocnik Spółki X złożył wniosek dowodowy o przeprowadzenie dowodu z wyciągu z bazy danych systemu Comarch ERP XL, a konkretnie z modułu logowania operacji RODO. Przedłożony dokument elektroniczny zawierał precyzyjny zapis: w dniu 14 marca o godzinie 22:15 (poza godzinami pracy) z konta użytkownika „tomasz.kowalski”, przy użyciu adresu IP przypisanego do prywatnego routera pana Tomasza, wykonano operację o nazwie „Eksport bazy kontrahentów do pliku XLSX”. Zapis ten zawierał również sumę kontrolną pliku oraz wykaz 1500 rekordów klientów, które zostały pobrane. Pan Tomasz próbował bronić się twierdzeniem, że ktoś mógł włamać się na jego konto lub że logi zostały sfałszowane przez dział IT pracodawcy. Sąd powołał biegłego sądowego z zakresu informatyki śledczej. Biegły po zbadaniu bazy danych Comarch potwierdził integralność rejestru operacji, wskazując, że system Comarch uniemożliwia modyfikację logów z poziomu zwykłego użytkownika, a wszelkie próby ingerencji w bazę SQL byłyby widoczne w logach transakcyjnych serwera. W oparciu o te niepodważalne dowody cyfrowe, sąd pracy oddalił powództwo pana Tomasza, uznając rozwiązanie umowy bez wypowiedzenia za w pełni uzasadnione. Przykład ten pokazuje, że prawidłowo skonfigurowany system Comarch RODO chroni nie tylko dane osobowe, ale również kluczowe interesy gospodarcze i prawne pracodawcy.
8. Najczęstsze błędy przy zabezpieczaniu i przedkładaniu dowodów cyfrowych
Mimo że dowody z systemów ERP mają ogromną siłę przekonywania, pełnomocnicy procesowi i przedsiębiorcy często popełniają błędy, które uniemożliwiają ich skuteczne wykorzystanie. Do najpoważniejszych uchybień należą:
- Brak weryfikacji integralności: Przedkładanie wydruków z systemu bez zabezpieczenia ich cyfrowej wersji źródłowej. Strona przeciwna może łatwo zarzucić, że wydruk został zmodyfikowany w programie graficznym lub edytorze tekstu.
- Naruszenie zasady minimalizacji: Przedkładanie sądowi pełnych, nieanonimizowanych baz danych zawierających informacje o osobach trzecich niezwiązanych ze sprawą. Może to prowadzić do wtórnego naruszenia RODO i narazić firmę na odpowiedzialność odszkodowawczą lub karę od organu nadzorczego.
- Spóźnione generowanie logów: Zwlekanie z zabezpieczeniem danych do momentu, gdy system automatycznie nadpisze lub usunie starsze logi w ramach procedur retencji.
- Niedokładne sformułowanie tezy dowodowej: Wskazywanie całego systemu Comarch jako dowodu, zamiast precyzyjnego wskazania konkretnego wyciągu, tabeli lub raportu za określony dzień i godzinę.
9. Podsumowanie i rekomendacje dla pełnomocników
Podsumowując, systemy Comarch RODO stanowią potężne i nowoczesne narzędzie dowodowe w praktyce prawnej. W dobie, gdy tradycyjne dokumenty papierowe są wypierane przez zapisy cyfrowe, umiejętność posługiwania się dowodami z systemów ERP staje się kluczową kompetencją każdego skutecznego prawnika i menedżera. Aby w pełni wykorzystać ten potencjał, przedsiębiorstwa muszą dbać o stałą aktualizację oprogramowania, prawidłową konfigurację modułów bezpieczeństwa oraz regularne szkolenia pracowników. Z kolei pełnomocnicy procesowi muszą pamiętać o rygorach procedury cywilnej – precyzyjnym formułowaniu wniosków dowodowych oraz bezwzględnym przestrzeganiu terminów procesowych. Tylko wtedy dane z systemu Comarch staną się niepodważalnym argumentem, który pozwoli wygrać spór przed sądem lub organem nadzorczym.