Opis stanu faktycznego
Komendant Powiatowy Policji powiadomił Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) o potencjalnych nieprawidłowościach w Spółce zajmującej się produkcją pojazdów i przyczep samochodowych, które miały dotyczyć przetwarzania danych w aktach osobowych pracowników tej spółki. Według powiadomienia pracodawca miał zgubić akta osobowe jednego z pracowników. Dodatkowo Komendant zwrócił się do Prezesa UODO o przeprowadzenie kontroli w zakresie przestrzegania w Spółce przepisów o ochronie danych osobowych.
Prezes UODO zwrócił się do Spółki z wezwaniem do złożenia wyjaśnień m.in. w sprawie wskazania jakich kategorii dane znajdowały się w zagubionych dokumentach stanowiących część akt osobowych pracowników Spółki; czy zagubione dokumenty stanowiące część akt osobowych pracowników Spółki zostały odnalezione; czy Spółka jako pracodawca uzyskała od osoby odpowiedzialnej za ich zagubienie wyjaśnienia w tym zakresie, a jeżeli tak, to jaka jest ich treść, a także w jakich okolicznościach doszło lub mogło dojść do zagubienia.
W odpowiedzi na wezwanie Spółka wskazała, że dostęp do danych osobowych pracowników Spółki miała jedna osoba, zatrudniona na podstawie umowy o pracę. Otrzymała polecenie skompletowania, opisania i wpięcia dokumentów w teczki osobowe pracowników. Wskazana osoba kompletowała osobiście dokumenty do akt. W pewnym momencie poprosiła o pomoc inspektora BHP, który poinformował Spółkę, że w aktach osobowych nie ma świadectwa pracy jednego z pracowników.
Pracownik ten został poproszony o dostarczenie tego dokumentu do Spółki, jednak stwierdził, że przekazał ten dokument osobie uprawnionej do dostępu do danych osobowych. Ta osoba oświadczyła, że dokument ten przekazała inspektorowi BHP, który pomagał przy kompletowaniu akt pracowniczych. Inspektor BHP zaprzeczył takim okolicznościom.
Incydent nie został zgłoszony Prezesowi UODO. W Spółce panowało przekonanie, że nie ma ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Pracownik, którego świadectwo pracy zgubiono, nie skierował względem pracodawcy żadnych roszczeń.
W toku dalszych wyjaśnień Spółka wskazała, że dokument w postaci świadectwa pracy nie został odnaleziony. Chociaż Spółka twierdziła, że poinformowała pracownika o naruszeniu zgodnie z art. 34 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1), to nie przedstawiła na ten fakt żadnych dowodów.
W takich okolicznościach sprawy wszczęto postępowanie administracyjne w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, zgodnie z art. 34 ust. 1 i 2 rozporządzenia 2016/679.
Rozstrzygnięcie i argumentacja prawna
Prezes UODO wydał decyzję administracyjną, w której stwierdził naruszenie przez Spółkę przepisu art. 33 ust. 1 rozporządzenia 2016/679. Naruszenie polegało na niezgłoszeniu Prezesowi UODO naruszenia danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Z uwagi na powyższe na spółkę została nałożona administracyjna kara pieniężna w wysokości 15.994 złotych.
Uzasadniając powyższą decyzję, organ wskazał, iż zgodnie z art. 33 ust. 1 i 2 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych administrator danych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu, właściwemu zgodnie z art. 55 rozporządzenia 2016/679, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W realiach niniejszej sprawy doszło do naruszenia ochrony danych osobowych, polegającego na utracie przez Spółkę świadectwa pracy jej pracownika. Spółka nie kwestionowała tej okoliczności, podając jedynie, iż brak zgłoszenia Prezesowi UODO wynikał z przekonania, iż utrata dokumentu nie wiązała się z ryzykiem naruszenia praw lub wolności, której dane dotyczą.
Prezes UODO kategorycznie nie zgodził się z powyższym zapatrywaniem. Świadectwo pracy zawiera bowiem szereg informacji niezbędnych do ustalenia uprawnień ze stosunku pracy i z zakresu ubezpieczeń społecznych. Dane ze świadectwa pracy, np. podstawa prawna ustania stosunku pracy, zajęcie wynagrodzenia o pracę w ramach postępowania egzekucyjnego, powiązane z imieniem, nazwiskiem, datą urodzenia pracownika, mogą bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której one dotyczą, a także o jej problemach natury prawnej oraz statusie majątkowym.
Prezes UODO podkreślił, że nie ma znaczenia, czy ewentualny znalazca dokumentu wszedł w jego posiadanie, zapoznał się z nimi, lub wykorzystał w jakikolwiek sposób. Istotne i wystarczające jest samo ryzyko, że do takiej sytuacji mogło dojść, a co za tym idzie – w tym przypadku również wystąpiło ryzyko naruszenia praw lub wolności osoby fizycznej. Niedochodzenie przez pracownika, którego świadectwo pracy zgubiono, roszczeń przeciwko pracodawcy nie oznacza, że na pracodawcy jako administratorze danych nie ciążył ustawowy obowiązek zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO.
Wysokość administracyjnej kary pieniężnej
Przy wymierzaniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę m.in. długi czas trwania naruszenia (co najmniej kilkanaście miesięcy), świadome podjęcie przez Spółkę decyzji o niezawiadamianiu Prezesa UODO, niezadowalającą współpracę z organem nadzorczym w celu naruszenia lub złagodzenia ewentualnych negatywnych skutków naruszenia, okoliczności dowiedzenia się o naruszeniu (poinformowanie przez Komendanta Powiatowego Policji na polecenie Prokuratury Rejonowej).
Jako okoliczności łagodzące wskazano m.in. liczbę osób poszkodowanych, brak wcześniejszych naruszeń, niewielkie ryzyko naruszenia praw lub wolności, brak szkody po stronie osoby dotkniętej naruszeniem, brak korzyści oraz brak uniknięcia straty finansowej po stronie administratora danych.
Decyzja Prezesa UODO jest słuszna, odpowiadająca prawu oraz aktualnym poglądom doktryny i orzecznictwa. Jedynie kategoryczne egzekwowanie obowiązków administratorów danych osobowych spowoduje, że dane osobowe będą należycie chronione, ewentualne naruszenia zgłaszane, a ich skutki – bezzwłocznie eliminowane. Orzeczona pieniężna kara administracyjna jest adekwatna do stopnia naruszeń, przy jej ocenie wzięto pod uwagę zarówno okoliczności łagodzące, jak i te obciążające. Spełnia ona także funkcję prewencyjną nie tylko dla samej Spółki, która została obciążona jej zapłatą, lecz także innych podmiotów administrujących danymi osobowymi.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →