16 tys. złotych za kartkę a4

BySylwia Ostrowska

16 tys. złotychDokumenty pracownicze, wiadomo, iż zawierają dane osobowe, w których także znajdziemy dane wrażliwe. Dokumentacja taka powinna być bezpieczna i przechowywana w taki sposób, aby nie dostała się w niepowołane ręce. Ochronę takich dokumentów powinny wspierać odpowiednie i dostosowane do nich procedury. Bezpieczeństwo dokumentów to jeden z najważniejszych aspektów ochrony w codziennych aktywnościach biznesowych. Niestety opracowywanie, a co najważniejsze wdrożenie polityki bezpieczeństwa dokumentów może być czasochłonnym i złożonym procesem.

Przechowywanie dokumentów

Bezpieczne przechowywanie może opierać się o papierowe lub elektroniczne systemy archiwizacji. Jednak w firmach często zdarzają się niedopatrzenia w kwestii wymaganego typu archiwum, lokalizacji i ochrony. Systemy przechowywania papierowych dokumentów wciąż są bardzo popularne, ale często nie posiadają wymaganych zabezpieczeń.

Zagubienie dokumentu

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło zawiadomienie, o podejrzeniu naruszenia przetwarzania danych osobowych przez jedną ze spółek. UODO na podstawie zgłoszenia, podjął czynności wyjaśniające, w których poproszoną spółkę o złożenie wyjaśnień. W ich ramach ujawniono, że doszło do zgubienia świadectwa pracy jednego z pracowników.

Zgłosić czy nie zgłosić

Naruszenie ochrony danych osobowych, w wyniku, do którego doszło poprzez zagubienie dokumentu nie zostało zgłoszone przez spółkę do UODO. W opinii spółki, nie występowało ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Wpływ na to mogła mieć decyzja pracownika, który po poinformowaniu o zagubieniu jego świadectwa pracy, nie wniósł on żadnych roszczeń wobec spółki. Jeżeli występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator zobowiązany jest zgłosić takie naruszenie organowi nadzorczemu. Istotny jest fakt, że wystąpiło ryzyko takiego zdarzenia, co oznacza, że osoba nieuprawniona miała możliwość zapoznania się z tymi danymi. Spółka nie zgłaszając zaistniałego naruszenia do organu nadzorczego nie spełniła tym samym obowiązków wynikających RODO.

Ważne informacje, nie tylko imię czy nazwisko

Zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Świadectwo pracy to nie tylko takie informacje jak imię czy nazwisko, ale dane, które mogą wskazywać na miejsce zamieszkania pracownika czy też jego wiek. Informacje podane w takim dokumencie to także informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Dostanie się dokumentu w niepowołane ręce może ujawnić informacje o życiu osobistym osoby, której dane dotyczą, a także o jej statusie finansowym.

Naruszenie – czas reakcji

Obowiązkiem każdego administratora jest zgłoszenie naruszenia do organu nadzorczego. W miarę możliwości powinno to się odbyć w ciągu 72 godzin od stwierdzenia naruszenia. Bardzo ważny jest czas reakcji w przypadku, kiedy doszło do poważnego naruszenia przetwarzania danych osobowych. W takiej sytuacji pomimo zgłoszenia do organu nadzorczego o zaistniałym naruszeniu musi być także poinformowana osoba, której dane dotyczą.

Kara pieniężna

Powodem kary nałożonej na spółkę był fakt, że nie zgłosili naruszenia jakim było zagubienie świadectwa pracy. W ten sposób spółka nie zrealizowała obowiązku jakim było zawiadomienie UODO o dokonanym naruszeniu. Tym bardziej, że należy podkreślić, iż zagubiony dokument się nie odnalazł do dnia wydania decyzji przez UODO. Przy użyciu przysługujących uprawnień UODO, nałożył na spółkę karę pieniężną w kwocie prawie 16 tys. złotych.

Z pełną treścią decyzji UODO mogą się państwo zapoznać w podanym linku  https://www.uodo.gov.pl/decyzje/DKN.5110.12.2021 .

Wyciągając wnioski z zaistniałej sytuacji musimy sobie zdawać sprawę z tego, iż należy być odpowiedzialnym pracując z dokumentami które zawierają dane osobowe. Zapewniając im należytą ochronę, dbamy o dobre imię naszej firmy i klientów. Gdyby spółka wywiązała się z obowiązku wynikającego z art. 33 i 34 RODO, może skończyłoby się tylko na pouczeniu, a nie na nałożeniu kary pieniężnej.