Urząd Ochrony Danych Osobowych dostał od policji informację o potencjalnych nieprawidłowościach związanych z przetwarzaniem danych osobowych przez producenta przyczep samochodowych Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. Organ nadzorczy wezwał spółkę do złożenia wyjaśnień w sprawie. Wówczas wyszło na jaw, że z akt osobowych pracownika spółki zniknęło świadectwo pracy, w którym znajdowały się dane osobowe.
Spółka przyznała, że doszło do tego z winy pracodawcy. Jako administrator danych spółka powinna zgłosić utratę danych do UODO, ale nie zrobiła tego, bo w jej opinii zagubienie dokumentu nie wiązało się z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Spółka oświadczyła, że zawiadomiła pracownika o utracie jego świadectwa pracy, a on sam nie zgłaszał z tego tytułu roszczeń wobec spółki.
Zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych.
Czytaj więcej
Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.
- Informacje uwzględnione w treści świadectwa pracy stanowią
dane osobowe. Oprócz podstawowych danych takich jak: imię, nazwisko,
miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy
podaje się informacje szczególnie istotne z punktu widzenia praw lub
wolności osoby, której dane dotyczą. W szczególności za takie dane
należy uznać informacje o trybie i podstawie prawnej rozwiązania lub
podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym
zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni
lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej
problemach natury prawnej oraz statusie majątkowym (np. informacja
o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego) itd. - wyjaśnia UODO.
Urząd przypomina, że gdy występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu (UODO), niezależnie od tego, czy ktoś nieuprawniony faktycznie zapoznał się z tymi danymi osobowymi. Ważne, że wystąpiło takiego zdarzenia. UODO przypomina, że zgłoszenia administrator powinien dokonać bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych.
Czas reakcji administratora jest bardzo ważny zwłaszcza w przypadku poważnych naruszeń. Jeżeli bowiem okazałoby się, że powinien on powiadomić nie tylko Prezesa UODO, ale także osoby, których dane są przedmiotem naruszenia, a tego wcześniej nie zrobił, wówczas UODO może szybko wskazać mu taką konieczność. To pozwoli osobom, których dane zostały np. ujawnione, skradzione albo w inny sposób dotknięte naruszeniem, podjąć działania, które zabezpieczą je przed zagrożeniami związanymi z incydentem.
W ocenie UODO spółka Esselmann podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu organu nadzorczego, pomimo kierowanych do niej pism wskazujących na możliwość zaistnienia w tej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło zdarzenie. Oznacza to, że spółka nie zrealizowała obowiązku zawiadomienia UODO o zaistniałym naruszeniu.
Organ nadzorczy skorzystał z przysługujących mu uprawnień i nałożył karę pieniężną w wysokości prawie 16 tys. zł (15 994 złotych).
Zagubiony dokument do dnia wydania tej decyzji nie został odnaleziony.
