Urząd Ochrony Danych Osobowych (dalej: UODO) został powiadomiony przez Komendanta Powiatowego Policji o potencjalnych nieprawidłowościach związanych z przetwarzaniem danych osobowych przez spółkę. Organ nadzorczy wezwał więc spółkę jako administratora danych do złożenia wyjaśnień w sprawie. Jak podał urząd w komunikacie, w toku czynności wyjaśniających prowadzonych przez UODO ujawniony został fakt  zagubienia dokumentu z akt osobowych pracownika spółki.

Czytaj też: Świadectwo pracy – roszczenia pracownika z tytułu błędnego wystawienia >>>

Spółka wskazała w wyjaśnieniach skierowanych do organu nadzorczego, że doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników. Jednocześnie spółka wyjaśniła, że nie zgłosiła naruszenia do UODO, ponieważ w jej opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Spółka oświadczyła, że zawiadomiła pracownika o utracie jego świadectwa pracy, a on sam nie zgłaszał z tego tytułu roszczeń wobec spółki.

Czytaj również: Firma ukarana za brak współpracy z UODO>>
Czytaj też: Świadectwo pracy - zasady wypełniania na przykładach >>>

W świadectwie pracy jest wiele ważnych informacji o osobie

Zdaniem UODO, uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych nie miało podstaw faktycznych ani prawnych. Informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe. Oprócz podstawowych danych, takich jak imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego) itd.

Czytaj też: Charakter dowodowy świadectwa pracy >>>

 

Cena promocyjna: 99.6 zł

|

Cena regularna: 249 zł

|

Najniższa cena w ostatnich 30 dniach: 249 zł


Obawa nieuprawnionego wykorzystania danych

Zdaniem UODO należy mieć na uwadze, że jeżeli występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu.

Nie jest przy tym istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi osoby, której dane znajdują się na zagubionym świadectwie pracy. Istotny jest fakt, że wystąpiło ryzyko takiego zdarzenia, co oznacza że osoba nieuprawniona miała możliwość zapoznania się z tymi danymi. Z uwagi na zakres danych znajdujących się na zagubionym dokumencie, w opinii UODO, wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. W konsekwencji spółka jako administrator danych powinna dokonać zgłoszenia naruszenia do organu nadzorczego, czego nie uczyniła, nie spełniając tym samym obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Czytaj też: Czy pracodawca, w związku z ustawą o RODO, ma obowiązek umieszczenia informacji w świadectwie pracy o zajęciu komorniczym? >>>

 


Powody nałożenia administracyjnej kary pieniężnej

W ocenie UODO, spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu organu nadzorczego, pomimo kierowanych do niej pism wskazujących na możliwość zaistnienia w tej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło zdarzenie. Oznacza to, że spółka nie zrealizowała obowiązku zawiadomienia UODO o zaistniałym naruszeniu. Jak podkreśla urząd, że zagubiony dokument nie został do dnia wydania decyzji odnaleziony.

Biorąc ww. czynniki pod uwagę, organ nadzorczy skorzystał z przysługujących mu uprawnień i nałożył karę pieniężną w wysokości prawie 16 tys. zł (15 994 złotych).

Wydana przez UODO decyzja nie jest prawomocna, a spółka złożyła skargę na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, nie zgadzając się z nałożoną karą, tak co do zasady, jak i co do wysokości.
 

 

 

Ważny jest czas reakcji na zaistniały incydent

UODO przypomina, że każdy administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych – zgłasza je organowi nadzorczemu. W przypadku poważnych naruszeń, bardzo ważny jest czas reakcji administratora, bowiem jeżeli okazałoby się , że powinien on powiadomić nie tylko Prezesa UODO, ale także osoby, których dane są przedmiotem naruszenia, a tego wcześniej nie zrobił, wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest, aby osoby, których dane zostały np. ujawnione, skradzione albo w inny sposób dotknięte naruszeniem, mogły po ww. powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed zagrożeniami związanymi z incydentem.