photo
07.06.2022

Utrata dokumentu z danymi osobowymi i niezgłoszenie tego zdarzenia przyczyną ukarania administratora

Organ nadzorczy nałożył administracyjną karę pieniężną w wysokości prawie 16 tys. zł na Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. Powodem takiej decyzji było niezgłoszenie do UODO naruszenia ochrony danych osobowych polegającego na utracie świadectwa pracy pracownika.

Urząd Ochrony Danych Osobowych został powiadomiony przez Komendanta Powiatowego Policji o potencjalnych nieprawidłowościach związanych z przetwarzaniem danych osobowych przez spółkę. Wobec powyższego, organ nadzorczy wezwał spółkę jako administratora danych do złożenia wyjaśnień w sprawie. W toku czynności wyjaśniających prowadzonych przez Urząd Ochrony Danych Osobowych ujawniony został fakt  zagubienia dokumentu z akt osobowych pracownika spółki.

Spółka wskazała w wyjaśnieniach skierowanych do organu nadzorczego, że doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników. Jednocześnie spółka wyjaśniła, że nie zgłosiła naruszenia do UODO, ponieważ w jej opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Spółka oświadczyła, że zawiadomiła pracownika o utracie jego świadectwa pracy, a on sam nie zgłaszał z tego tytułu roszczeń wobec spółki.

W świadectwie pracy jest wiele ważnych informacji o osobie

Zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe. Oprócz podstawowych danych ,takich jak: imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego) itd.

Obawa nieuprawnionego wykorzystania danych

Należy mieć na uwadze, że jeżeli występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu.

Nie jest przy tym istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi osoby, której dane znajdują się na zagubionym świadectwie pracy. Istotny jest fakt, że wystąpiło ryzyko takiego zdarzenia, co oznacza że osoba nieuprawniona miała możliwość zapoznania się z tymi danymi. Z uwagi na zakres danych znajdujących się na zagubionym dokumencie, w opinii UODO, wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. W konsekwencji spółka jako administrator danych powinna dokonać zgłoszenia naruszenia do organu nadzorczego, czego nie uczyniła, nie spełniając tym samym obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych  (RODO).

Powody nałożenia administracyjnej kary pieniężnej

W ocenie UODO spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu organu nadzorczego, pomimo kierowanych do niej pism wskazujących na możliwość zaistnienia w tej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło zdarzenie. Oznacza to, że spółka nie zrealizowała obowiązku zawiadomienia UODO o zaistniałym naruszeniu.

Należy podkreślić, że zagubiony dokument nie został do dnia wydania decyzji odnaleziony.

Biorąc ww. czynniki pod uwagę, organ nadzorczy skorzystał z przysługujących mu uprawnień i nałożył karę pieniężną w wysokości prawie 16 tys. zł (15 994 złotych).

Ważny jest czas reakcji na zaistniały incydent

Należy przypomnieć, że każdy administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych – zgłasza je organowi nadzorczemu. W przypadku poważnych naruszeń, bardzo ważny jest czas reakcji administratora,  bowiem jeżeli okazałoby się , że powinien on powiadomić nie tylko Prezesa UODO, ale także osoby, których dane są przedmiotem naruszenia, a tego wcześniej nie zrobił, wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest, aby osoby, których dane zostały np. ujawnione, skradzione albo w inny sposób dotknięte naruszeniem, mogły po ww. powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed zagrożeniami związanymi z incydentem.

 

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Adam Sanocki
date 2022-06-07
Wprowadził informację:
user Edyta Madziar
date 2022-06-06 09:06:25
Ostatnio modyfikował:
user Edyta Madziar
date 2022-12-23 10:11:01