Czy zagubienie przez pracodawcę świadectwa pracy należy traktować jako naruszenie ochrony danych osobowych? Czy w takim przypadku pracodawca powinien powiadomić o incydencie urząd? Jeśli pracownik świetnie zna się z osobą, która zawieruszyła dokument i nie rości sobie żadnych pretensji wobec pracodawcy? (decyzja PUODO z 6 czerwca 2022 r, DKN.5110.12.2021).
Sprawa zaczęła się od wydania przez pracodawcę polecenia założenia akt osobowych pracowników — zebrania od pracowników (?) oraz opisania i wpięcia dokumentów w teczki personalne. Podczas wykonywania zadania okazało się, że gdzieś zapodziało się jedno świadectwo pracy jednego z zatrudnionych: pracownik zarzekał się, że dokument przekazał, pracownica biurowa oświadczyła, że dała go pomocnicy, ta znów zaprzeczyła.
Sprawa trafiła (via policja) do PUODO, który poprosił firmę o wyjaśnienie dlaczego sama nie powiadomiła o incydencie urzędu i czy zawiadomiła o naruszeniu zainteresowanego pracownika; spółka odparła, że pracownik nie rościł jakichkolwiek pretensji, zwłaszcza, że chodziło o błąd jego wieloletniej znajomej.
art. 33 ust. 1 rozporządzenia 679/2016 o ochronie danych osobowych
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je organowi nadzorczemu (…), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
W wydanej decyzji PUODO stwierdził, iż utrata przez pracodawcę świadectwa pracy pracownika stanowi naruszenie ochrony danych osobowych — zaś brak zgłoszenia tego faktu organowi oznacza naruszenie obowiązków wynikających z art. 33 RODO.
Informacje zawarte w treści świadectwa pracy niewątpliwie są danymi osobowymi, zaś szereg z nich należy uznać za szczególnie istotne dla praw i wolności pracownika, albowiem ujawniają detale z życia osobistego („o jej problemach natury prawnej oraz statusie majątkowym”). Dokument nie został odnaleziony, zatem administrator nie miał podstaw do przyjęcia, iż incydent nie prowadzi do naruszenia bezpieczeństwa danych osobowych. Nie jest przy tym istotne czy jakakolwiek osoba miała szansę zapoznać się z zagubionym świadectwem i czy ewentualne negatywne konsekwencje kiedykolwiek się zmaterializują — obowiązek zgłoszenia naruszenia ochrony danych osobowych odnosi się do samego incydentu, nie do jego skutków — nie ma też znaczenia, iż wyciekły dane tylko jednej osoby.
Wcale nie na marginesie PUODO uznał, iż zagubienie dokumentu nie spowodowało wysokiego ryzyka dla naruszenia praw lub wolności zainteresowanej osoby — ponieważ w świadectwie pracy nie podaje się numeru PESEL czy numerów dokumentów tożsamości (por. „Wyciek numeru PESEL nie oznacza poważnego ryzyka dla zainteresowanej osoby”).
Stwierdzając, iż zagubienie świadectwa pracy stanowi naruszenie ochrony danych osobowych, o którym pracodawca powinien poinformować urząd, PUODO nałożył na firmę administracyjną karę pieniężną w wysokości 15,9 tys. zł (0,64% obrotu spółki — lecz „jedynie ok. 0,04 % maksymalnej wysokości kary”, którą można nałożyć za naruszenie przepisów RODO.
Zamiast komentarza: jak widać praktyka jest następująca: o każdym przypadkowym utraceniu, nieuprawnionym ujawnieniu lub udostępnieniu danych osobowych należy informować urząd — bo naruszeniem RODO jest nie tylko sam wyciek, ale też nieprzekazanie PUODO wymaganych informacji.