Urząd Ochrony Danych Osobowych dostał od policji informację o potencjalnych nieprawidłowościach związanych z przetwarzaniem danych osobowych przez producenta przyczep samochodowych Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. Organ nadzorczy wezwał spółkę  do złożenia wyjaśnień w sprawie. Wówczas wyszło na jaw, że z akt osobowych pracownika spółki zniknęło świadectwo pracy, w którym znajdowały się dane osobowe.

Spółka przyznała, że doszło do tego z winy pracodawcy. Jako administrator danych spółka powinna zgłosić utratę danych do UODO, ale nie zrobiła tego, bo w jej opinii zagubienie dokumentu nie wiązało się z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Spółka oświadczyła, że zawiadomiła pracownika o utracie jego świadectwa pracy, a on sam nie zgłaszał z tego tytułu roszczeń wobec spółki.

Zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych.

Czytaj więcej

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

- Informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe. Oprócz podstawowych danych takich jak: imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego) itd. - wyjaśnia UODO.

Urząd przypomina, że gdy występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu (UODO), niezależnie od tego, czy ktoś nieuprawniony faktycznie zapoznał się z tymi danymi osobowymi. Ważne, że wystąpiło  takiego zdarzenia.  UODO przypomina, że zgłoszenia administrator powinien dokonać bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych.

Czas reakcji administratora jest  bardzo ważny zwłaszcza w przypadku poważnych naruszeń. Jeżeli bowiem okazałoby się, że powinien on powiadomić nie tylko Prezesa UODO, ale także osoby, których dane są przedmiotem naruszenia, a tego wcześniej nie zrobił, wówczas UODO może szybko wskazać mu taką konieczność. To pozwoli osobom, których dane zostały np. ujawnione, skradzione albo w inny sposób dotknięte naruszeniem, podjąć działania, które zabezpieczą je przed zagrożeniami związanymi z incydentem.

W ocenie UODO spółka Esselmann podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu organu nadzorczego, pomimo kierowanych do niej pism wskazujących na możliwość zaistnienia w tej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło zdarzenie. Oznacza to, że spółka nie zrealizowała obowiązku zawiadomienia UODO o zaistniałym naruszeniu.

Organ nadzorczy skorzystał z przysługujących mu uprawnień i nałożył karę pieniężną w wysokości prawie 16 tys. zł (15 994 złotych).

Autopromocja
Subskrybuj nielimitowany dostęp do wiedzy

Unikalna oferta

Tylko 5,90 zł/miesiąc


WYBIERAM

Zagubiony dokument do dnia wydania tej decyzji nie został odnaleziony.