Utrata dokumentu z danymi osobowymi i niezgłoszenie tego zdarzenia przyczyną ukarania administratora
Organ nadzorczy nałożył administracyjną karę pieniężną w wysokości prawie 16 tys. zł na Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. Powodem takiej decyzji było niezgłoszenie do UODO naruszenia ochrony danych osobowych polegającego na utracie świadectwa pracy pracownika.
Urząd Ochrony Danych Osobowych został powiadomiony przez Komendanta Powiatowego Policji o potencjalnych nieprawidłowościach związanych z przetwarzaniem danych osobowych przez spółkę. Wobec powyższego, organ nadzorczy wezwał spółkę jako administratora danych do złożenia wyjaśnień w sprawie. W toku czynności wyjaśniających prowadzonych przez Urząd Ochrony Danych Osobowych ujawniony został fakt zagubienia dokumentu z akt osobowych pracownika spółki.
Spółka wskazała w wyjaśnieniach skierowanych do organu nadzorczego, że doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników. Jednocześnie spółka wyjaśniła, że nie zgłosiła naruszenia do UODO, ponieważ w jej opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Spółka oświadczyła, że zawiadomiła pracownika o utracie jego świadectwa pracy, a on sam nie zgłaszał z tego tytułu roszczeń wobec spółki.
W świadectwie pracy jest wiele ważnych informacji o osobie
Zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe. Oprócz podstawowych danych ,takich jak: imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego) itd.
Obawa nieuprawnionego wykorzystania danych
Należy mieć na uwadze, że jeżeli występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu.
Nie jest przy tym istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi osoby, której dane znajdują się na zagubionym świadectwie pracy. Istotny jest fakt, że wystąpiło ryzyko takiego zdarzenia, co oznacza że osoba nieuprawniona miała możliwość zapoznania się z tymi danymi. Z uwagi na zakres danych znajdujących się na zagubionym dokumencie, w opinii UODO, wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. W konsekwencji spółka jako administrator danych powinna dokonać zgłoszenia naruszenia do organu nadzorczego, czego nie uczyniła, nie spełniając tym samym obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych (RODO).
Powody nałożenia administracyjnej kary pieniężnej
W ocenie UODO spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu organu nadzorczego, pomimo kierowanych do niej pism wskazujących na możliwość zaistnienia w tej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło zdarzenie. Oznacza to, że spółka nie zrealizowała obowiązku zawiadomienia UODO o zaistniałym naruszeniu.
Należy podkreślić, że zagubiony dokument nie został do dnia wydania decyzji odnaleziony.
Biorąc ww. czynniki pod uwagę, organ nadzorczy skorzystał z przysługujących mu uprawnień i nałożył karę pieniężną w wysokości prawie 16 tys. zł (15 994 złotych).
Ważny jest czas reakcji na zaistniały incydent
Należy przypomnieć, że każdy administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych – zgłasza je organowi nadzorczemu. W przypadku poważnych naruszeń, bardzo ważny jest czas reakcji administratora, bowiem jeżeli okazałoby się , że powinien on powiadomić nie tylko Prezesa UODO, ale także osoby, których dane są przedmiotem naruszenia, a tego wcześniej nie zrobił, wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest, aby osoby, których dane zostały np. ujawnione, skradzione albo w inny sposób dotknięte naruszeniem, mogły po ww. powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed zagrożeniami związanymi z incydentem.