Niezgłoszone zagubienie świadectwa pracy podstawą do nałożenia kary administracyjnej – decyzja Prezesa Urzędu Ochrony Danych Osobowych

20.06.2022, 08:00

Dzisiaj chciałbym pochylić się nad tematem, który może zainteresować wszystkie kluby i związki sportowe, zatrudniające pracowników. Punktem wyjścia jest opublikowana przez Prezesa Urzędu Ochrony Danych Osobowych decyzja nr DKN.5110.12.2021 z dnia 6 czerwca 2022 r., a odnosząca się do należytej ochrony świadectw pracy pracowników i konieczności notyfikowania o naruszeniach na  podstawie 33 ust. 1 RODO[1].

Stan faktyczny

Od marca 2021 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) prowadził postępowanie administracyjne w przedmiocie weryfikacji przestrzegania przez spółkę z ograniczoną odpowiedzialnością z siedzibą w Poznaniu przepisów dotyczących ochrony danych osobowych.

Postępowanie zostało wszczęte w związku z wnioskiem złożonym przez Policję, spowodowanym powzięciem informacji o zagubieniu dokumentów dotyczących pracowników. W toku postępowania PUODO ustalił, że w interesującym organ okresie dostęp do danych osobowych pracowników (akt pracowników) miała jedna osoba pracująca w biurze spółki. Osoba ta otrzymała polecenie skompletowania, opisania i wpięcia dokumentów w teczki personalne pracowników. Dokumenty do akt były zbierane od pracowników osobiście. Po wykonaniu zadania okazało się, że w aktach osobowych pracowników nie ma świadectwa pracy jednego z nich. Ów pracownik został poproszony przez Spółkę o doniesienie ww. dokumentu, oświadczył jednak, że dokument ten został już przekazany osobie pracującej w biurze.

Spółka nie zgłosiła do PUODO zagubienia świadectwa pracy, gdyż w jej ocenie nie zachodziło ryzyko naruszenia praw i wolności pracownika, którego świadectwo dotyczyło. Jako osobę odpowiedzialną za definitywne zagubienie świadectwa pracy spółka wskazała osobę zatrudnioną w biurze.

Spółka w pismach do PUODO wyjaśniała również, że pracownik został poinformowany o zaistniałym naruszeniu zgodnie z treścią art. 34 ust. 1 i 2 RODO, niezwłocznie po jego stwierdzeniu, jednakże nie przedstawiła na poparcie powyższego oświadczenia innych dowodów, np. w postaci treści informacji skierowanej do pracownika, dowodu doręczenia informacji, itp.

Analiza prawna incydentu

W pierwszej kolejności PUODO odniósł się do definicji legalnej pojęcia „naruszenie ochrony danych osobowych” (art. 4 pkt 12 RODO).

Oznacza ono naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Bezpośrednio z naruszeniem ochrony danych osobowych korespondują przepisy art. 33 ust. 1 i 3 RODO, które przewidują skonkretyzowane obowiązki po stronie Administratora Danych Osobowych wynikające z wystąpienia  takiego naruszenia.

Artykuł 33. RODO

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
    1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Organ ustalił, że w badanej sprawie bezsprzecznie doszło do naruszenia ochrony danych osobowych polegającego na utracie przez Spółkę dokumentu w postaci świadectwa pracy jej pracownika. Co istotne w myśl § 2 ust. 1 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia  30 grudnia 2016 r. w sprawie świadectwa pracy (Dz. U. z 2018 r. poz. 1289 ze zm.), w świadectwie pracy zamieszcza się szereg enumeratywnie wymienionych informacji niezbędnych do ustalenia uprawnień ze stosunku pracy i uprawnień z ubezpieczeń społecznych.

Nie ulega wątpliwości, że informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe, szczególnie że występują łącznie z imieniem i nazwiskiem, określeniem pracodawcy oraz informacją o dacie urodzenia osoby, której dane dotyczą.

Jak podkreślił PUODO, niektóre z tych danych – takie jak tryb i podstawa rozwiązania lub wygaśnięcia stosunku pracy, stronie, która rozwiązała stosunek pracy, informacje o zajęciu wynagrodzenia na podstawie przepisów o postępowaniu egzekucyjnym -  są szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą.

Takie informacje, z uwagi na ich charakter, w przypadku ich udostępnienia osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dane dotyczą. Powyższe dane mogą bowiem bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której dane dotyczą, o jej problemach natury prawnej oraz statusie majątkowym.

Z tych powodów ocenę spółki, jakoby zagubienie świadectwa pracy nie wiązało się z ryzykiem naruszenia praw i wolności pracownika, należało wg organu uznać jako bezpodstawną.

PUODO stanowczo zaznaczył, iż z uwagi na nieodnalezienie dokumentu, nie jest istotna kwestia, czy nieuprawniony podmiot, np. potencjalny jego znalazca, faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi znajdującymi się na zagubionym świadectwie pracy pracownika Spółki, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych.

Zatem już samo ryzyko wystąpienia negatywnych skutków aktualizuje obowiązek zgłoszenia do organu nadzoru informacji o zaistniałym incydencie.

 

W ocenie PUODO nie ma także znaczenia fakt, że z dużą dozą prawdopodobieństwa można byłoby przyjąć, że świadectwo pracy pracownika zostało zagubione przez osobę z biura spółki. Należy pamiętać, że wręczenie świadectwa pracy osobie z biura było równoznaczne z przekazaniem go spółce, bowiem osoba ta, jako pracownik spółki działała w jej imieniu i na jej polecenie, przy czym była też osobą upoważnioną przez spółkę do przetwarzania danych osobowych pracowników.

Rozstrzygnięcie PUODO

W konsekwencji dopuszczenia się przez spółkę naruszenia ochrony danych osobowych, przy jednoczesnym braku dokonania stosownego zgłoszenia tego faktu do PUODO, na podstawie art. 83 ust. 4 lit. a) RODO w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, organ nałożył na spółkę administracyjną karę pieniężną w kwocie 15 994 złotych (co stanowiło w dniu wydania decyzji równowartość 3500 EUR).

 

Spółce przysługuje prawo wniesienia skargi na opisaną wyżej decyzję. do Wojewódzkiego Sądu Administracyjnego w Warszawie.

***

Jak można zauważyć, nawet tak niepozorne na pierwszy rzut oka naruszenie, jak zgubienie świadectwa pracy wymaga podjęcia przez Administratora Danych Osobowych odpowiednich kroków. W opisanym przypadku uchybienie obowiązkom notyfikacyjnym w połączeniu z zaistnieniem, co najmniej ryzyka negatywnych skutków dla praw i wolności pracownika, doprowadziło od nałożenia kary administracyjnej na poziomie prawie 16 tysięcy złotych.

Z doświadczenia mogę stwierdzić, że dla dużej liczby klubów i związków sportowych zatrudniających pracowników, kara finansowa na takim poziomie stanowiłaby duże wyzwanie. Z tego względu warto stosować wysokie standardy ochrony danych osobowych, a w przypadku zaistnienia naruszenia – skontaktować się z profesjonalistą, który zarekomenduje kolejne kroki i pomoże zminimalizować negatywne skutki dla Administratora Danych Osobowych.

 

 

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

20.11.2024, 06:00

Zmiany w uchwale o członkostwie w PZPN

Lee mas
13.11.2024, 07:00

Transparentność w polskim sporcie

Lee mas

¿Tiene alguna pregunta??

Llame al +48 71 794 77 83

El sitio web utiliza cookies que son necesarias para un uso cómodo del sitio web. Puede modificar la configuración de cookies en su navegador en cualquier momento. ×