Prezes Urzędu Ochrony Danych Osobowych, został powiadomiony przez Komendanta Powiatowego Policji w J. o potencjalnych nieprawidłowościach w Spółce, dotyczących przetwarzania danych osobowych jej pracowników. Wątpliwości w tym zakresie związane były w szczególności z przetwarzaniem danych w aktach osobowych pracowników, w tym z zagubieniem dokumentów dotyczących pracowników Spółki.

Spółka wyjaśniła, że doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników. Jednocześnie spółka nie dokonała zgłoszenia naruszenia do UODO. Zdaniem Spółki naruszenie nie wiązało się ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą. Spółka poinformowała organ, że zawiadomiła pracownika o utracie jego świadectwa pracy, a pracownik nie zgłaszał z tego tytułu roszczeń wobec spółki.

"Zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych. Informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe. Oprócz podstawowych danych ,takich jak: imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą. W szczególności za takie dane należy uznać informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy, a także o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym (np. informacja o zajęciu wynagrodzenia z tytułu postępowania egzekucyjnego) itd."

UODO stwierdził, że "jeżeli występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu.

Nie jest przy tym istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi osoby, której dane znajdują się na zagubionym świadectwie pracy. Istotny jest fakt, że wystąpiło ryzyko takiego zdarzenia, co oznacza że osoba nieuprawniona miała możliwość zapoznania się z tymi danymi. Z uwagi na zakres danych znajdujących się na zagubionym dokumencie, w opinii UODO, wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych. W konsekwencji spółka jako administrator danych powinna dokonać zgłoszenia naruszenia do organu nadzorczego, czego nie uczyniła, nie spełniając tym samym obowiązków wynikających z ogólnego rozporządzenia o ochronie danych osobowych  (RODO)."

"W ocenie UODO spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu organu nadzorczego, pomimo kierowanych do niej pism wskazujących na możliwość zaistnienia w tej sprawie ryzyka naruszenia praw lub wolności osób, których dotyczyło zdarzenie. Oznacza to, że spółka nie zrealizowała obowiązku zawiadomienia UODO o zaistniałym naruszeniu."

Decyzja DKN.5110.12.2021 z dnia 6 czerwca 2022 r. LINK

źródło: www.uodo.gov.pl