wyszukiwanie zawansowane
Kontakt z nami

Newsletter

Zapisz się do newslettera

Uzupełnij swojego maila i bądź na bieżąco z nowościami na stronie prawosportowe.pl

ikonka fb ikonka tw

Organizacje sportowe

  1. Strona główna
    2. »
  2. Organizacje sportowe
    3. »
  3. Niezgłoszone zagubienie świadectwa pracy podstawą do nałożenia kary administracyjnej – decyzja Prezesa Urzędu Ochrony Danych Osobowych

Niezgłoszone zagubienie świadectwa pracy podstawą do nałożenia kary administracyjnej – decyzja Prezesa Urzędu Ochrony Danych Osobowych

20.06.2022

Dzisiaj chciałbym pochylić się nad tematem, który może zainteresować wszystkie kluby i związki sportowe, zatrudniające pracowników. Punktem wyjścia jest opublikowana przez Prezesa Urzędu Ochrony Danych Osobowych decyzja nr DKN.5110.12.2021 z dnia 6 czerwca 2022 r., a odnosząca się do należytej ochrony świadectw pracy pracowników i konieczności notyfikowania o naruszeniach na  podstawie 33 ust. 1 RODO[1].

Stan faktyczny

Od marca 2021 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) prowadził postępowanie administracyjne w przedmiocie weryfikacji przestrzegania przez spółkę z ograniczoną odpowiedzialnością z siedzibą w Poznaniu przepisów dotyczących ochrony danych osobowych.

Postępowanie zostało wszczęte w związku z wnioskiem złożonym przez Policję, spowodowanym powzięciem informacji o zagubieniu dokumentów dotyczących pracowników. W toku postępowania PUODO ustalił, że w interesującym organ okresie dostęp do danych osobowych pracowników (akt pracowników) miała jedna osoba pracująca w biurze spółki. Osoba ta otrzymała polecenie skompletowania, opisania i wpięcia dokumentów w teczki personalne pracowników. Dokumenty do akt były zbierane od pracowników osobiście. Po wykonaniu zadania okazało się, że w aktach osobowych pracowników nie ma świadectwa pracy jednego z nich. Ów pracownik został poproszony przez Spółkę o doniesienie ww. dokumentu, oświadczył jednak, że dokument ten został już przekazany osobie pracującej w biurze.

Spółka nie zgłosiła do PUODO zagubienia świadectwa pracy, gdyż w jej ocenie nie zachodziło ryzyko naruszenia praw i wolności pracownika, którego świadectwo dotyczyło. Jako osobę odpowiedzialną za definitywne zagubienie świadectwa pracy spółka wskazała osobę zatrudnioną w biurze.

Spółka w pismach do PUODO wyjaśniała również, że pracownik został poinformowany o zaistniałym naruszeniu zgodnie z treścią art. 34 ust. 1 i 2 RODO, niezwłocznie po jego stwierdzeniu, jednakże nie przedstawiła na poparcie powyższego oświadczenia innych dowodów, np. w postaci treści informacji skierowanej do pracownika, dowodu doręczenia informacji, itp.

Analiza prawna incydentu

W pierwszej kolejności PUODO odniósł się do definicji legalnej pojęcia „naruszenie ochrony danych osobowych” (art. 4 pkt 12 RODO).

Oznacza ono naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Bezpośrednio z naruszeniem ochrony danych osobowych korespondują przepisy art. 33 ust. 1 i 3 RODO, które przewidują skonkretyzowane obowiązki po stronie Administratora Danych Osobowych wynikające z wystąpienia  takiego naruszenia.

Artykuł 33. RODO

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
    1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Organ ustalił, że w badanej sprawie bezsprzecznie doszło do naruszenia ochrony danych osobowych polegającego na utracie przez Spółkę dokumentu w postaci świadectwa pracy jej pracownika. Co istotne w myśl § 2 ust. 1 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia  30 grudnia 2016 r. w sprawie świadectwa pracy (Dz. U. z 2018 r. poz. 1289 ze zm.), w świadectwie pracy zamieszcza się szereg enumeratywnie wymienionych informacji niezbędnych do ustalenia uprawnień ze stosunku pracy i uprawnień z ubezpieczeń społecznych.

Nie ulega wątpliwości, że informacje uwzględnione w treści świadectwa pracy stanowią dane osobowe, szczególnie że występują łącznie z imieniem i nazwiskiem, określeniem pracodawcy oraz informacją o dacie urodzenia osoby, której dane dotyczą.

Jak podkreślił PUODO, niektóre z tych danych – takie jak tryb i podstawa rozwiązania lub wygaśnięcia stosunku pracy, stronie, która rozwiązała stosunek pracy, informacje o zajęciu wynagrodzenia na podstawie przepisów o postępowaniu egzekucyjnym -  są szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą.

Takie informacje, z uwagi na ich charakter, w przypadku ich udostępnienia osobom nieuprawnionym, mogą stanowić przyczynę naruszenia wolności lub praw osoby, której dane dotyczą. Powyższe dane mogą bowiem bezpośrednio lub pośrednio ujawniać informacje o życiu osobistym osoby, której dane dotyczą, o jej problemach natury prawnej oraz statusie majątkowym.

Z tych powodów ocenę spółki, jakoby zagubienie świadectwa pracy nie wiązało się z ryzykiem naruszenia praw i wolności pracownika, należało wg organu uznać jako bezpodstawną.

PUODO stanowczo zaznaczył, iż z uwagi na nieodnalezienie dokumentu, nie jest istotna kwestia, czy nieuprawniony podmiot, np. potencjalny jego znalazca, faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi znajdującymi się na zagubionym świadectwie pracy pracownika Spółki, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych.

Zatem już samo ryzyko wystąpienia negatywnych skutków aktualizuje obowiązek zgłoszenia do organu nadzoru informacji o zaistniałym incydencie.

 

W ocenie PUODO nie ma także znaczenia fakt, że z dużą dozą prawdopodobieństwa można byłoby przyjąć, że świadectwo pracy pracownika zostało zagubione przez osobę z biura spółki. Należy pamiętać, że wręczenie świadectwa pracy osobie z biura było równoznaczne z przekazaniem go spółce, bowiem osoba ta, jako pracownik spółki działała w jej imieniu i na jej polecenie, przy czym była też osobą upoważnioną przez spółkę do przetwarzania danych osobowych pracowników.

Rozstrzygnięcie PUODO

W konsekwencji dopuszczenia się przez spółkę naruszenia ochrony danych osobowych, przy jednoczesnym braku dokonania stosownego zgłoszenia tego faktu do PUODO, na podstawie art. 83 ust. 4 lit. a) RODO w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, organ nałożył na spółkę administracyjną karę pieniężną w kwocie 15 994 złotych (co stanowiło w dniu wydania decyzji równowartość 3500 EUR).

 

Spółce przysługuje prawo wniesienia skargi na opisaną wyżej decyzję. do Wojewódzkiego Sądu Administracyjnego w Warszawie.

***

Jak można zauważyć, nawet tak niepozorne na pierwszy rzut oka naruszenie, jak zgubienie świadectwa pracy wymaga podjęcia przez Administratora Danych Osobowych odpowiednich kroków. W opisanym przypadku uchybienie obowiązkom notyfikacyjnym w połączeniu z zaistnieniem, co najmniej ryzyka negatywnych skutków dla praw i wolności pracownika, doprowadziło od nałożenia kary administracyjnej na poziomie prawie 16 tysięcy złotych.

Z doświadczenia mogę stwierdzić, że dla dużej liczby klubów i związków sportowych zatrudniających pracowników, kara finansowa na takim poziomie stanowiłaby duże wyzwanie. Z tego względu warto stosować wysokie standardy ochrony danych osobowych, a w przypadku zaistnienia naruszenia – skontaktować się z profesjonalistą, który zarekomenduje kolejne kroki i pomoże zminimalizować negatywne skutki dla Administratora Danych Osobowych.

 

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Zadaj nam pytanie!

Zainteresował Cię temat artykułu lub dotyczy Ciebie? Zapraszamy do kontaktu! Zadaj nam pytanie a eksperci Prawa Sportowe: prawnicy, specjaliści w dziedzinie odpowiedniej dla Twojego pytania - odpowiedzą w ciągu 48 godzin! Pierwsza konsultacja jest całkowicie darmowa!

Zadaj nam pytanie

prawo sportowe

Konrad Makar

zgłoszenie

świadectwo pracy

zgubiony dokument

RODO

Ostatnie wpisy autora

Konrad Makar

AUTOR

Aplikant Radcowski. Specjalista z zakresu cyberbezpieczeństwa, RODO i prawa sportowego.

Zadaj pytanie » Artykuły autora »

Inne z kategorii

Zobacz więcej »

Newsletter

Zapisz się do newslettera by być na bieżąco z nowościami na stronie prawosportowe.pl

About

ikonka logo

Portal prawosportowe.pl powstał w 2012 roku i od tego czasu dostarcza czytelnikom wiedzę z zakresu szeroko rozumianego prawa sportowego. Odbiorcami naszych treści są sportowcy amatorzy i profesjonalni, trenerzy, sędziowe, menedżerowie, agenci, działacze organizacji sportowych, sponsorzy. Jesteśmy po to, by pomagać i edukować w sporcie.

Portal od samego początku jest wspierany przez Kancelarię Prawa Sportowego i Gospodarczego DAUERMAN

Kontakt z nami

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Zgodnie z art. 13 ust. 1 i ust. 2 Ogólnego rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informujemy, iż:

Serwis Obsługuje:

logo dauerman

Kontakt:

PrawoSportowe.pl Sp. z o.o.

ul. Powstańców Śląskich 9

53-332 Wrocław

tel. +48 693 672 258

e-mail: bok@prawosportowe.pl

Na skróty

Zapytaj prawnika » Regulamin serwisu Polityka prywatności
Zamknij formularz pytania

Potrzebujesz pomocy? Skontaktuj się z nami!

Jeśli potrzebujesz pomocy prawnej w Twojej działalności sportowej, napisz do nas korzystając z poniższego formularza.

Pamiętaj – odległość nie stanowi problemu. Działamy całkowicie on-line.

Przedstaw nam swój problem, a my dokonamy wstępnej bezpłatnej analizy prawnej. Następnie przedstawimy, co możemy wspólnie w tej sprawie zrobić oraz zaproponujemy zasady współpracy. Oczywiście za wszelkie usługi otrzymasz fakturę VAT.

Wypełnij formularz

Nie jest wymagany, jednak może ułatwić nam kontakt z Tobą jeśli będzie taka potrzeba.
Serwis używa plików cookie, które są niezbędne do komfortowego korzystania z portalu. Możesz w dowolnej chwili zmodyfikować ustawienia cookie w swojej przeglądarce.
×

Polityka prywatności PrawoSportowe.pl Sp. z o.o.

  1. Zakres obowiązywania
    1. Administratorem Danych Osobowych jest PrawoSportowe.pl Sp. z o.o. z siedzibą we Wrocławiu przy ul. Powstańców Śląskich 9, 53-332 Wrocław, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy pod numerem KRS: 0000384634, e-mail: bok@prawosportowe.pl, tel. +48 693 672 258 (dalej: Administrator, ADO).
    2. Celem niniejszej Polityki Prywatności jest określenie działań podejmowanych przez Administratora w zakresie ochrony danych osobowych przetwarzanych, w tym zbieranych za pośrednictwem strony internetowej http://www.prawosportowe.pl.
    3. Dane osobowe to wszelkie informacje, które mogą Cię identyfikować, na przykład Twoje imię i nazwisko, numer telefonu i adres poczty elektronicznej przekazywane przez Ciebie za pomocą formularzy kontaktowych i formularzy zgłoszeń. Kiedy w poniższym dokumencie odwołujemy się do terminu „przetwarzać” albo „przetwarzanie”, mamy na myśli wszelkie czynności i operacje wykonywane na Twoich danych osobowych (np. ich przechowywanie czy analizowanie na potrzeby świadczenia Ci usługi).
  2. Informacje dotyczące ADO
    1. Kontakt z ADO może się odbywać pocztą tradycyjną na adres siedziby, mailowo lub telefonicznie. Dane kontaktowe wskazane zostały w pkt. 1.1 niniejszej Polityki Prywatności.
  3. Cel, podstawa prawna i zasady przetwarzania danych osobowych
    1. Dane osobowe osób fizycznych korzystających z formularzy kontaktowych i formularzy zgłoszeń (dalej zwanymi: Użytkownikami) przetwarzane są w celu:
      1. zawarcia i wykonywania umów w ramach usług prowadzonych przez ADO (art. 6 ust. 1 lit. b) RODO);
      2. prowadzenia działań marketingu bezpośredniego w formie e-mailowego newslettera, na podstawie udzielonej zgody (art. 6 ust. 1 lit. a) RODO);
      3. udzielenia odpowiedzi na przedstawione zagadnienie, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO);
      4. ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO).
    2. Dane osobowe przetwarzane są przez następujący okres:
      1. w celu zawarcia i wykonywania umowy – przez okres prowadzenia negocjacji oraz trwania umowy, a po jej ustaniu do upływu okresów przedawnienia wszelkich roszczeń z niej wynikających,
      2. w celu prowadzenie działań marketingu bezpośredniego w formie e-mailowego newslettera – do czasu cofnięcia zgody przez Użytkownika,
      3. w celu udzielenia odpowiedzi na przedstawione zagadnienie - do czasu załatwienia sprawy, w której zostały zebrane.
    3. Podanie danych osobowych w celu, o którym mowa w pkt. 3.1 lit. a) jest dobrowolne jednakże jest warunkiem zawarcia umowy. W przypadku niepodania danych możemy odmówić złożenia Tobie oferty i zawarcia umowy.

      Podanie danych osobowych w celu, o którym mowa w pkt. 3.1. lit. b), c) jest dobrowolne. Jeżeli nie podasz danych lub nie wyrazisz zgody nie będziemy mogli w przyszłości informować Cię bezpośrednio o naszej bieżącej ofercie lub udzielić odpowiedzi na przedstawione zagadnienia.
    4. Dane osobowe Użytkowników nie są przekazywane poza teren Polski, Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
    5. Dane osobowe użytkowników mogą być powierzane przez ADO do przetwarzania następującym kategoriom podmiotów: Kancelaria Radcy Prawnego Tomasz Dauerman, portale internetowe z którymi portal prawosportowe.pl współpracuje na podstawie odrębnych umów, firmy księgowe, biura rachunkowe, firmy informatyczne. Dane osobowe mogą być także udostępnione: odpowiednim organom państwowym na ich żądanie na podstawie odpowiednich przepisów prawa.
  4. Prawa osoby, której dane dotyczą
    1. Każdy Użytkownik ma prawo dostępu do treści swoich danych i otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu oraz prawo do przenoszenia danych.
    2. Jeżeli przetwarzanie odbywa się na podstawie zgody, Użytkownik ma prawo cofnąć zgodę na przetwarzanie danych osobowych. Cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
    3. Użytkownik ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy prawa o ochronie danych osobowych.
    4. W przedmiocie realizacji swoich praw oraz cofnięcia zgody można skontaktować się z ADO przy użyciu danych wskazanych w pkt 1.1 niniejszej Polityki Prywatności.
  5. Cookies
    1. Ciasteczka (ang. cookies) to niewielkie pliki, zapisywane i przechowywane na twoim komputerze, tablecie lub smartphonie podczas gdy odwiedzasz różne strony w internecie. Ciasteczko zazwyczaj zawiera nazwę strony internetowej, z której pochodzi, „długość życia” ciasteczka (to znaczy czas jego istnienia), oraz przypadkowo wygenerowany unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną internetową.
    2. W związku z udostępnianiem zawartości serwisu internetowego prawosportowe.pl stosuje się  tzw. cookies, tj. informacje zapisywane przez serwery na urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia końcowego, może także używać innych technologii o funkcjach podobnych lub tożsamych z cookies. Opisane w niniejszym punkcie Polityki Prywatności, informacje dotyczące cookies mają zastosowanie również do innych podobnych technologii stosowanych w ramach naszych serwisów internetowych. Pliki cookies (tzw."ciasteczka") stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika serwisu internetowego prawosportowe.pl. Cookies zazwyczaj zawierają nazwę domeny serwisu internetowego, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
    3. Pliki cookies wykorzystywane są w celu:
      1. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości,
      2. utrzymania sesji użytkownika serwisu internetowego (po zalogowaniu), dzięki której użytkownik nie musi na każdej podstronie serwisu ponownie wpisywać loginu i hasła"
    4. W ramach serwisu internetowego prawosportowe.pl możemy stosować następujące rodzaje plików cookies:
      1. "niezbędne" pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach serwisu internetowego, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach serwisu,
      2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach serwisu,
      3. pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych serwisu.
    5. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy prawosportowe.pl serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika serwisu internetowego. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.
    6. Wyłączenie stosowania cookies może spowodować utrudnienia korzystanie z niektórych usług w ramach naszych serwisów internetowych, w szczególności wymagających logowania. Wyłączenie opcji przyjmowania cookies nie powoduje natomiast braku możliwości czytania lub oglądania treści zamieszczanych w serwisie internetowym prawosportowe.pl z zastrzeżeniem tych, do których dostęp wymaga logowania. Poniżej informacja jak wyłączyć pliki cookie w przeglądarce:
      Jak wyłączyć pliki cookie w przeglądarce ?
  6. Postanowienia końcowe
    1. ADO dokłada wszelkich starań, aby zapewnić wszelkie środki fizyczne, techniczne i organizacyjne ochrony danych osobowych przed ich przypadkowym czy umyślnym zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem, wykorzystaniem czy dostępem, zgodnie ze wszystkimi obowiązującymi przepisami.
    2. ADO zastrzega sobie prawo do zmiany treści niniejszej Polityki Prywatności.
Akceptuję