Utrata dokumentu z danymi osobowymi i niezgłoszenie tego zdarzenia przyczyną ukarania administratora

Urząd Ochrony Danych Osobowych został powiadomiony przez Komendanta Powiatowego Policji o potencjalnych nieprawidłowościach związanych z przetwarzaniem danych osobowych przez spółkę. Wobec powyższego, organ nadzorczy wezwał spółkę jako administratora danych do złożenia wyjaśnień w sprawie. W toku czynności wyjaśniających prowadzonych przez Urząd Ochrony Danych Osobowych ujawniony został fakt zagubienia dokumentu z akt osobowych pracownika spółki.

Spółka wskazała w wyjaśnieniach skierowanych do organu nadzorczego, że doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników. Jednocześnie spółka wyjaśniła, że nie zgłosiła naruszenia do UODO, ponieważ w jej opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Spółka oświadczyła, że zawiadomiła pracownika o utracie jego świadectwa pracy, a on sam nie zgłaszał z tego tytułu roszczeń wobec spółki.

W świadectwie pracy jest wiele ważnych informacji o osobie

Zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe. Oprócz podstawowych danych ,takich jak: imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego) itd.

Obawa nieuprawnionego wykorzystania danych

Należy mieć na uwadze, że jeżeli występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu.

Nie jest przy tym istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi osoby, której dane znajdują się na zagubionym świadectwie pracy. Istotny jest fakt, że wystąpiło ryzyko takiego zdarzenia, co oznacza że osoba nieuprawniona miała możliwość zapoznania się z tymi danymi. Z uwagi na zakres danych znajdujących się na zagubionym dokumencie, w opinii UODO, wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. W konsekwencji spółka jako administrator danych powinna dokonać zgłoszenia naruszenia do organu nadzorczego, czego nie uczyniła, nie spełniając tym samym obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Powody nałożenia administracyjnej kary pieniężnej

W ocenie UODO spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu organu nadzorczego, pomimo kierowanych do niej pism wskazujących na możliwość zaistnienia w tej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło zdarzenie. Oznacza to, że spółka nie zrealizowała obowiązku zawiadomienia UODO o zaistniałym naruszeniu.

Należy podkreślić, że zagubiony dokument nie został do dnia wydania decyzji odnaleziony.

Biorąc ww. czynniki pod uwagę, organ nadzorczy skorzystał z przysługujących mu uprawnień i nałożył karę pieniężną w wysokości prawie 16 tys. zł (15 994 złotych).

Ważny jest czas reakcji na zaistniały incydent

Należy przypomnieć, że każdy administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych – zgłasza je organowi nadzorczemu. W przypadku poważnych naruszeń, bardzo ważny jest czas reakcji administratora, bowiem jeżeli okazałoby się , że powinien on powiadomić nie tylko Prezesa UODO, ale także osoby, których dane są przedmiotem naruszenia, a tego wcześniej nie zrobił, wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest, aby osoby, których dane zostały np. ujawnione, skradzione albo w inny sposób dotknięte naruszeniem, mogły po ww. powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed zagrożeniami związanymi z incydentem.

Źródło: https://uodo.gov.pl/pl/138/2393




 

Wypróbuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Uzyskaj dostęp

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: [email protected]
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności