Utrata świadectwa pracy i niezgłoszenie tego zdarzenia przyczyną ukarania administratora.

Utrata świadectwa pracy i niezgłoszenie tego zdarzenia przyczyną ukarania administratora.

Zagubienie świadectwa pracy i niezgłoszenie tego zdarzenia powodem nałożenia kary na administratora (dalej: Spółka) w wysokości prawie 16 tys. zł. Jak postępować, by uniknąć takich kar?

Jakie przepisy zostały naruszone?

Przepis art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Jaka kara została nałożona?

Administracyjna kara pieniężna w wysokości 15 994 złotych (co stanowi równowartość 3500 EUR).

Na czym polegało naruszenie?

Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) został powiadomiony przez Komendanta Powiatowego Policji w J. o potencjalnych nieprawidłowościach w Spółce. W związku 
z tym powiadomieniem, Prezes UODO zwrócił się do Spółki z wezwaniem do złożenia wyjaśnień 
w sprawie.
Zgodnie z wyjaśnieniami Spółki, przedmiotowy incydent (zagubienie dokumentu, a dokładnie świadectwa pracy) nie został zgłoszony Prezesowi UODO z uwagi na brak ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
Spółka wyjaśniła, że osoba, której naruszenie danych dotyczyło, została poinformowana o naruszeniu zgodnie z treścią art. 34 ust. 1 i 2 rozporządzenia 2016/679, niezwłocznie po jego stwierdzeniu. Spółka nie przedstawiła, na poparcie powyższego oświadczenia innych dowodów, np. w postaci treści informacji skierowanej do osoby, której naruszenie dotyczyło ani dowodu doręczenia informacji, itp.
Prezes UODO skierował do Spółki zawiadomienie o wszczęciu postępowania administracyjnego 
w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, zgodnie z art. 34 ust. 1 i 2 rozporządzenia 2016/679. Spółka po otrzymaniu zawiadomienia o wszczęciu postępowania nie złożyła dodatkowych wyjaśnień w sprawie.

Dlaczego Prezes UODO uznał, że zagubienie świadectwa pracy narusza prawa i wolności osoby?

„Informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe, szczególnie, że występują łącznie z imieniem i nazwiskiem, określeniem pracodawcy oraz informacją o dacie urodzenia osoby, której dane dotyczą. Niektóre z tych danych są szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a w przypadku rozwiązania umowy o pracę za wypowiedzeniem – stronie stosunku pracy, która dokonała wypowiedzenia oraz o zajęciu wynagrodzenia za pracę w myśl przepisów o postępowaniu egzekucyjnym. Informacje te, z uwagi na ich charakter, w przypadku ich udostępnienia osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dane dotyczą. Powyższe dane mogą bowiem bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której dane dotyczą, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego), itd.”

Okoliczności sprawy wpływające obciążająco na wymiar nałożonej kary pieniężnej

  1. Czas trwania naruszenia.
  2. Umyślny charakter naruszenia.
  3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
  4. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu.

Okoliczności łagodzące

  1. Liczba poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody.
  2. Nie stwierdzono wcześniejszych, popełnionych przez administratora naruszeń.

Pozostałe informacje i nasze rekomendacje

  1. W dobie cyfryzacji i postępującej pracy w formie elektronicznej, nie zapominajmy
    również o odpowiednim zabezpieczaniu danych osobowych w formie papierowej, zwłaszcza jeżeli w dokumencie znajduje się ich szeroki zakres (np. świadectwo pracy). Częstym powodem jest pomylenie adresata koperty dlatego szczególnie należy zwrócić uwagę czy adresat na kopercie zgadza się z zawartością koperty.
  2. W przypadku jakichkolwiek wątpliwości przy ocenie naruszenia, administrator danych powinien zgłosić naruszenie do Prezesa UODO, nawet jeżeli taka ostrożność mogłaby się okazać nadmierna. Nie powinniśmy w takich sytuacjach kierować się sympatiami czy wieloletnimi znajomościami (co często nie jest łatwe, ale konieczne). Zgłaszanie naruszenia organowi nadzorczemu to narzędzie przyczyniające się do realnej poprawy bezpieczeństwa danych osobowych co pozwala organowi właściwie zareagować i ograniczyć skutki takiego zdarzenia (również w analogicznych przypadkach w przyszłości).
  3. Ocenę ryzyka naruszenia należy przeprowadzać możliwie szeroko uwzględniając
    m. in. wszystkie istotne okoliczności, skalę, ryzyko (nawet potencjalne, nie musi się ono zmaterializować), łatwość identyfikacji osoby dotkniętej naruszeniem, liczba osób, które mogą zapoznać się np. z utraconym dokumentem.
  4. Należy zauważyć, że za naruszenie nie można obarczać odpowiedzialnością wyłącznie osoby, która brała udział w tym naruszeniu. To administrator danych ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych.
  5. Należy pamiętać, że naruszenie należy zgłosić Prezesowi UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. To wymaga dobrej organizacji i znajomości przez pracowników procedury postępowania z naruszeniami ochrony danych w Organizacji.
  6. Nie bagatelizujmy oceny ryzyka naruszenia i współpracujmy z Prezesem UODO. Do takich działań zaangażujmy przede wszystkim wyznaczonego w organizacji Inspektora ochrony danych.

Na prośbę przedstawiciela Spółki, informujemy, że decyzja nie jest prawomocna, a Spółka złożyła skargę na decyzję do WSA w Warszawie nie zgadzając się z nałożoną karą, tak co do zasady, jak i co do wysokości.

Lepsza jest profilaktyka niż leczenie, dlatego zadbaj o bezpieczeństwo Twoich danych osobowych i  skontaktuj się z nami, a pomożemy uniknąć Ci takich sytuacji np. poprzez audyty, szkolenia i doskonalenie procesów.

Autor: Patryk Makowski, Starszy Kierownik Projektu w CompNet Sp. z o.o.