Przegląd decyzji i kar z tytułu naruszenia RODO

Przegląd decyzji i kar z tytułu naruszenia RODO

Cykl artykułów dotyczących ochrony danych osobowych w zatrudnieniu chciałabym zakończyć tematem, który podczas szkoleń wywołuje największe emocje – decyzje i kary Prezesa Urzędu Ochrony Danych Osobowych. Dzięki błędom i potknięciem innych możemy przeanalizować i poprawić wewnętrzne procedury i procesy dotyczące przetwarzania danych w obszarze zatrudnienia. 

Zarówno ustawa o ochronie danych osobowych z 1997 roku jak i obowiązująca ustawa o ochronie danych osobowych z 2018 roku przewidują szereg przepisów dotyczących przetwarzania danych osobowych, których naruszenie przewiduje następujące rodzaje kar: pieniężną, ograniczenia wolności, pozbawienia wolności. Przyjrzyjmy się kilku dotychczas wydanym decyzjom.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z marca 2019 r. mówi o prawie pracownika dostępu do danych osobowych. Zgodnie z artykułem 15 ust. 3 RODO nakłada się na administratora obowiązek dostarczenia osobie, której dane dotyczą kopii danych osobowych podlegających przetwarzaniu. Najczęściej mówimy tutaj o danych, które znajdują się w aktach osobowych pracownika, które zgodnie z art. 94 pkt 9a KP pracodawca ma obowiązek prowadzić i przechowywać dokumentację w sprawach związanych ze stosunkiem pracy oraz akta osobowe pracownika. Najczęstszym błędem w przypadku realizacji tego prawa jest przesyłanie osobie, której dane dotyczą wykazu dokumentów, które znajdują się w aktach osobowych owego pracownika. Wyżej już wspomniany art. 15 ust. 3 RODO mówi o dostarczeniu kopii danych osobowych podlegających przetwarzaniu. Aby zrealizować ten obowiązek administrator danych osobowych:

  1. może sporządzić kopię albo odpis dokumentu, 
  2. może również poprzestać na podanie uprawnionemu samej z treści jego danych osobowych pomijając informacje, które nie są danymi osobowymi, a znajdują się na nośniku,
  3. nie ma konieczności udostępniania każdego z posiadanych dokumentów, jeżeli zakres danych, który jest w nim w nich zawarty jest taki sam. (Decyzja 22.03.2019 ZSZZS.44.660.2018).

Jedną z ciekawszych kar dotyczącą przetwarzania danych osobowych w zatrudnieniu jest kara nałożona na podmiot za niezgłoszenie naruszenia ochrony danych osobowych w postaci zagubienia świadectwa pracy pracownika. O tej nieprawidłowości Prezes Urzędu Ochrony Danych Osobowych dowiedział się od Komendanta Powiatowego Policji w wyniku czego urząd wezwał spółkę do wyjaśnień. W toku postępowania wyjaśniono, że co prawda doszło do zgubienia świadectwa pracy jednak uznano, że jeżeli osoba, której dane dotyczą nie zgłaszała uwag ani roszczeń z tego tytułu, nie ma potrzeby zgłaszać naruszenia do PUODO. Zdaniem Prezesa nie ma znaczenia czy osoba zgłasza roszczenie z tego tytułu, należy przeanalizować, czy w wyniku ujawnienia danych na świadectwie pracy tj. imię i nazwisko, nr PESEL, adres zamieszkania, imiona rodziców, informacje o przebywaniu na zwolnieniach lekarskich czy o zajęciu wynagrodzenia przez komornika, istnieje wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą. Jak Państwo myślą? (szerzej o całej sprawie można przeczytać Patryka Makowskiego: https://www.comp-net.pl/2022/06/22/zagubienie-dokumentu-pracowniczego-z-danymi-osobowymi-i-niezgloszenie-tego-zdarzenia-powodem-nalozenia-kary-na-firme-esselmann-technika-pojazdowa-sp-z-o-o-sp-k-w-wysokosci-prawie-16-tys-zl-jak-p/ ) 

Ostatnia z decyzji nie dotyczy zagubienia dokumentu czy nieudostępniania danych w związku z realizacją praw osób. Jest to kara za brak współpracy z Urzędem Ochrony Danych Osobowych. Brak takiej współpracy w postaci niepodejmowania korespondencji z urzędu stanowi naruszenie podstawowych obowiązków administratora. Nieudzielenie odpowiedzi na zawarte w pismach czy wezwaniach pytania organu nadzorczego wskazują na brak woli do współpracy w celu ustalenia faktycznego obrotu sprawy i na prawidłowymi rozstrzygnięciu. Takie lekceważenie obowiązków związanych właśnie współpracą z Urzędem Ochrony Danych Osobowych zostało potraktowane jako naruszenie o dużej wadze i również podlega sankcjom finansowym.

Decyzje i konsekwencje, które mogą spotkać administratorów ze strony Prezesa Urzędu Ochrony Danych Osobowych możemy potraktować jako szansę na poprawę poziomu przetwarzania danych osobowych w naszych organizacjach. Zawarte wytyczne w decyzjach możemy porównać z tym, co aktualnie funkcjonuje organizacji. Trzeba pamiętać, że dane przetwarzane w sektorze zatrudnienia to bardzo szeroka i obszerna część życia każdego pracownika. Jako administrator pamiętajmy, aby dołożyć wszelkich starań, aby dane te przetwarzane były w sposób zgodny z prawem, bezpieczny, a przede wszystkim udostępniane tylko i wyłącznie w sytuacjach, gdy jest do tego podstawa. Nie zawsze jesteśmy zobowiązani do udostępnienia informacji o wynagrodzeniu, stanie zdrowia pracownika czy powodach z jakich jest on nieobecny. Jeżeli nie jesteście Państwo pewni, czy takie dane udostępniać skontaktujcie się z Inspektorem Ochrony Danych w waszych organizacjach lub inną osobą wyznaczoną u pracodawcy jako punkt kontaktowy w zakresie przetwarzania danych osobowych. 

Autor: Monika Jędro– Kierownik Projektu w CompNet Sp. z o.o.