Dzisiaj chciałbym pochylić się nad tematem, który może zainteresować wszystkie kluby i związki sportowe, zatrudniające pracowników. Punktem wyjścia jest opublikowana przez Prezesa Urzędu Ochrony Danych Osobowych decyzja nr DKN.5110.12.2021 z dnia 6 czerwca 2022 r., a odnosząca się do należytej ochrony świadectw pracy pracowników i konieczności notyfikowania o naruszeniach na podstawie 33 ust. 1 RODO[1].
Stan faktyczny
Od marca 2021 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) prowadził postępowanie administracyjne w przedmiocie weryfikacji przestrzegania przez spółkę z ograniczoną odpowiedzialnością z siedzibą w Poznaniu przepisów dotyczących ochrony danych osobowych.
Postępowanie zostało wszczęte w związku z wnioskiem złożonym przez Policję, spowodowanym powzięciem informacji o zagubieniu dokumentów dotyczących pracowników. W toku postępowania PUODO ustalił, że w interesującym organ okresie dostęp do danych osobowych pracowników (akt pracowników) miała jedna osoba pracująca w biurze spółki. Osoba ta otrzymała polecenie skompletowania, opisania i wpięcia dokumentów w teczki personalne pracowników. Dokumenty do akt były zbierane od pracowników osobiście. Po wykonaniu zadania okazało się, że w aktach osobowych pracowników nie ma świadectwa pracy jednego z nich. Ów pracownik został poproszony przez Spółkę o doniesienie ww. dokumentu, oświadczył jednak, że dokument ten został już przekazany osobie pracującej w biurze.
Spółka nie zgłosiła do PUODO zagubienia świadectwa pracy, gdyż w jej ocenie nie zachodziło ryzyko naruszenia praw i wolności pracownika, którego świadectwo dotyczyło. Jako osobę odpowiedzialną za definitywne zagubienie świadectwa pracy spółka wskazała osobę zatrudnioną w biurze.
Spółka w pismach do PUODO wyjaśniała również, że pracownik został poinformowany o zaistniałym naruszeniu zgodnie z treścią art. 34 ust. 1 i 2 RODO, niezwłocznie po jego stwierdzeniu, jednakże nie przedstawiła na poparcie powyższego oświadczenia innych dowodów, np. w postaci treści informacji skierowanej do pracownika, dowodu doręczenia informacji, itp.
Analiza prawna incydentu
W pierwszej kolejności PUODO odniósł się do definicji legalnej pojęcia „naruszenie ochrony danych osobowych” (art. 4 pkt 12 RODO).
Oznacza ono naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Bezpośrednio z naruszeniem ochrony danych osobowych korespondują przepisy art. 33 ust. 1 i 3 RODO, które przewidują skonkretyzowane obowiązki po stronie Administratora Danych Osobowych wynikające z wystąpienia takiego naruszenia.
Artykuł 33. RODO
- W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Organ ustalił, że w badanej sprawie bezsprzecznie doszło do naruszenia ochrony danych osobowych polegającego na utracie przez Spółkę dokumentu w postaci świadectwa pracy jej pracownika. Co istotne w myśl § 2 ust. 1 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 30 grudnia 2016 r. w sprawie świadectwa pracy (Dz. U. z 2018 r. poz. 1289 ze zm.), w świadectwie pracy zamieszcza się szereg enumeratywnie wymienionych informacji niezbędnych do ustalenia uprawnień ze stosunku pracy i uprawnień z ubezpieczeń społecznych.
Nie ulega wątpliwości, że informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe, szczególnie że występują łącznie z imieniem i nazwiskiem, określeniem pracodawcy oraz informacją o dacie urodzenia osoby, której dane dotyczą.
Jak podkreślił PUODO, niektóre z tych danych – takie jak tryb i podstawa rozwiązania lub wygaśnięcia stosunku pracy, stronie, która rozwiązała stosunek pracy, informacje o zajęciu wynagrodzenia na podstawie przepisów o postępowaniu egzekucyjnym - są szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą.
Takie informacje, z uwagi na ich charakter, w przypadku ich udostępnienia osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dane dotyczą. Powyższe dane mogą bowiem bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której dane dotyczą, o jej problemach natury prawnej oraz statusie majątkowym.
Z tych powodów ocenę spółki, jakoby zagubienie świadectwa pracy nie wiązało się z ryzykiem naruszenia praw i wolności pracownika, należało wg organu uznać jako bezpodstawną.
PUODO stanowczo zaznaczył, iż z uwagi na nieodnalezienie dokumentu, nie jest istotna kwestia, czy nieuprawniony podmiot, np. potencjalny jego znalazca, faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi znajdującymi się na zagubionym świadectwie pracy pracownika Spółki, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych.
Zatem już samo ryzyko wystąpienia negatywnych skutków aktualizuje obowiązek zgłoszenia do organu nadzoru informacji o zaistniałym incydencie.
W ocenie PUODO nie ma także znaczenia fakt, że z dużą dozą prawdopodobieństwa można byłoby przyjąć, że świadectwo pracy pracownika zostało zagubione przez osobę z biura spółki. Należy pamiętać, że wręczenie świadectwa pracy osobie z biura było równoznaczne z przekazaniem go spółce, bowiem osoba ta, jako pracownik spółki działała w jej imieniu i na jej polecenie, przy czym była też osobą upoważnioną przez spółkę do przetwarzania danych osobowych pracowników.
Rozstrzygnięcie PUODO
W konsekwencji dopuszczenia się przez spółkę naruszenia ochrony danych osobowych, przy jednoczesnym braku dokonania stosownego zgłoszenia tego faktu do PUODO, na podstawie art. 83 ust. 4 lit. a) RODO w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, organ nałożył na spółkę administracyjną karę pieniężną w kwocie 15 994 złotych (co stanowiło w dniu wydania decyzji równowartość 3500 EUR).
Spółce przysługuje prawo wniesienia skargi na opisaną wyżej decyzję. do Wojewódzkiego Sądu Administracyjnego w Warszawie.
***
Jak można zauważyć, nawet tak niepozorne na pierwszy rzut oka naruszenie, jak zgubienie świadectwa pracy wymaga podjęcia przez Administratora Danych Osobowych odpowiednich kroków. W opisanym przypadku uchybienie obowiązkom notyfikacyjnym w połączeniu z zaistnieniem, co najmniej ryzyka negatywnych skutków dla praw i wolności pracownika, doprowadziło od nałożenia kary administracyjnej na poziomie prawie 16 tysięcy złotych.
Z doświadczenia mogę stwierdzić, że dla dużej liczby klubów i związków sportowych zatrudniających pracowników, kara finansowa na takim poziomie stanowiłaby duże wyzwanie. Z tego względu warto stosować wysokie standardy ochrony danych osobowych, a w przypadku zaistnienia naruszenia – skontaktować się z profesjonalistą, który zarekomenduje kolejne kroki i pomoże zminimalizować negatywne skutki dla Administratora Danych Osobowych.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)