Niezgłoszenie zgubienia świadectwa pracy przez pracodawcę a RODO

Zagubienie świadectwa pracy przez pracodawcę może prowadzić do naruszenia praw pracownika i wiązać się z obowiązkiem zgłoszenia organom nadzorczym. Publikacja omawia przypadki niezgłoszenia zgubienia świadectwa pracy przez pracodawcę zgodnie z RODO oraz konsekwencje prawne takiego działania.

Tematyka: zagubienie świadectwa pracy, niezgłoszenie naruszenia RODO, Prezes UODO, ochrona danych osobowych, kara pieniężna, ryzyko naruszenia praw pracownika

Zagubienie świadectwa pracy przez pracodawcę, z uwagi na charakter informacji podanych w tym
dokumencie, powoduje ryzyko naruszenia praw lub wolności pracownika. W takiej sytuacji pracodawca, jako
administrator ochrony danych osobowych, ma obowiązek zgłoszenia naruszenia organowi nadzorczemu bez
zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Opis stanu faktycznego
Komendant Powiatowy Policji powiadomił Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO)
o potencjalnych nieprawidłowościach w Spółce zajmującej się produkcją pojazdów i przyczep samochodowych, które
miały dotyczyć przetwarzania danych w aktach osobowych pracowników tej spółki. Według powiadomienia
pracodawca miał zgubić akta osobowe jednego z pracowników. Dodatkowo Komendant zwrócił się do Prezesa
UODO o przeprowadzenie kontroli w zakresie przestrzegania w Spółce przepisów o ochronie danych osobowych.
Prezes UODO zwrócił się do Spółki z wezwaniem do złożenia wyjaśnień m.in. w sprawie wskazania jakich kategorii
dane znajdowały się w zagubionych dokumentach stanowiących część akt osobowych pracowników Spółki; czy
zagubione dokumenty stanowiące część akt osobowych pracowników Spółki zostały odnalezione; czy Spółka jako
pracodawca uzyskała od osoby odpowiedzialnej za ich zagubienie wyjaśnienia w tym zakresie, a jeżeli tak, to jaka
jest ich treść, a także w jakich okolicznościach doszło lub mogło dojść do zagubienia.
W odpowiedzi na wezwanie Spółka wskazała, że dostęp do danych osobowych pracowników Spółki miała jedna
osoba, zatrudniona na podstawie umowy o pracę. Otrzymała polecenie skompletowania, opisania i wpięcia
dokumentów w teczki osobowe pracowników. Wskazana osoba kompletowała osobiście dokumenty do akt.
W pewnym momencie poprosiła o pomoc inspektora BHP, który poinformował Spółkę, że w aktach osobowych nie
ma świadectwa pracy jednego z pracowników.
Pracownik ten został poproszony o dostarczenie tego dokumentu do Spółki, jednak stwierdził, że przekazał ten
dokument osobie uprawnionej do dostępu do danych osobowych. Ta osoba oświadczyła, że dokument ten
przekazała inspektorowi BHP, który pomagał przy kompletowaniu akt pracowniczych. Inspektor BHP zaprzeczył
takim okolicznościom.
Incydent nie został zgłoszony Prezesowi UODO. W Spółce panowało przekonanie, że nie ma ryzyka naruszenia praw
lub wolności osoby, której dane dotyczą. Pracownik, którego świadectwo pracy zgubiono, nie skierował względem
pracodawcy żadnych roszczeń.
W toku dalszych wyjaśnień Spółka wskazała, że dokument w postaci świadectwa pracy nie został odnaleziony.
Chociaż Spółka twierdziła, że poinformowała pracownika o naruszeniu zgodnie z art. 34 ust. 1 i 2 Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1), to nie przedstawiła na
ten fakt żadnych dowodów.
W takich okolicznościach sprawy wszczęto postępowanie administracyjne w sprawie braku zgłoszenia naruszenia
ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, oraz braku
zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, zgodnie z art. 34 ust. 1
i 2 rozporządzenia 2016/679.
Rozstrzygnięcie i argumentacja prawna
Prezes UODO wydał decyzję administracyjną, w której stwierdził naruszenie przez Spółkę przepisu art. 33 ust. 1
rozporządzenia 2016/679. Naruszenie polegało na niezgłoszeniu Prezesowi UODO naruszenia danych osobowych
bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Z uwagi na powyższe na spółkę została nałożona administracyjna kara pieniężna w wysokości 15.994 złotych.
Uzasadniając powyższą decyzję, organ wskazał, iż zgodnie z art. 33 ust. 1 i 2 rozporządzenia 2016/679,
w przypadku naruszenia ochrony danych osobowych administrator danych bez zbędnej zwłoki, nie później niż
w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu, właściwemu zgodnie z art. 55
rozporządzenia 2016/679, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia
praw lub wolności osób fizycznych.

W realiach niniejszej sprawy doszło do naruszenia ochrony danych osobowych, polegającego na utracie przez
Spółkę świadectwa pracy jej pracownika. Spółka nie kwestionowała tej okoliczności, podając jedynie, iż brak
zgłoszenia Prezesowi UODO wynikał z przekonania, iż utrata dokumentu nie wiązała się z ryzykiem naruszenia praw
lub wolności, której dane dotyczą.
Prezes UODO kategorycznie nie zgodził się z powyższym zapatrywaniem. Świadectwo pracy zawiera bowiem szereg
informacji niezbędnych do ustalenia uprawnień ze stosunku pracy i z zakresu ubezpieczeń społecznych. Dane ze
świadectwa pracy, np. podstawa prawna ustania stosunku pracy, zajęcie wynagrodzenia o pracę w ramach
postępowania egzekucyjnego, powiązane z imieniem, nazwiskiem, datą urodzenia pracownika, mogą bezpośrednio
lub pośrednio ujawniać informacje o życiu osobistym osoby, której one dotyczą, a także o jej problemach natury
prawnej oraz statusie majątkowym.
Prezes UODO podkreślił, że nie ma znaczenia, czy ewentualny znalazca dokumentu wszedł w jego posiadanie,
zapoznał się z nimi, lub wykorzystał w jakikolwiek sposób. Istotne i wystarczające jest samo ryzyko, że do takiej
sytuacji mogło dojść, a co za tym idzie - w tym przypadku również wystąpiło ryzyko naruszenia praw lub wolności
osoby fizycznej. Niedochodzenie przez pracownika, którego świadectwo pracy zgubiono, roszczeń przeciwko
pracodawcy nie oznacza, że na pracodawcy jako administratorze danych nie ciążył ustawowy obowiązek zgłoszenia
naruszenia ochrony danych osobowych Prezesowi UODO.
Wysokość administracyjnej kary pieniężnej
Przy wymierzaniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę m.in. długi czas trwania
naruszenia (co najmniej kilkanaście miesięcy), świadome podjęcie przez Spółkę decyzji o niezawiadamianiu Prezesa
UODO, niezadowalającą współpracę z organem nadzorczym w celu naruszenia lub złagodzenia ewentualnych
negatywnych skutków naruszenia, okoliczności dowiedzenia się o naruszeniu (poinformowanie przez Komendanta
Powiatowego Policji na polecenie Prokuratury Rejonowej).
Jako okoliczności łagodzące wskazano m.in. liczbę osób poszkodowanych, brak wcześniejszych naruszeń, niewielkie
ryzyko naruszenia praw lub wolności, brak szkody po stronie osoby dotkniętej naruszeniem, brak korzyści oraz brak
uniknięcia straty finansowej po stronie administratora danych.

Komentarz
Decyzja Prezesa UODO jest słuszna, odpowiadająca prawu oraz aktualnym poglądom doktryny i orzecznictwa.
Jedynie kategoryczne egzekwowanie obowiązków administratorów danych osobowych spowoduje, że dane osobowe
będą należycie chronione, ewentualne naruszenia zgłaszane, a ich skutki - bezzwłocznie eliminowane. Orzeczona
pieniężna kara administracyjna jest adekwatna do stopnia naruszeń, przy jej ocenie wzięto pod uwagę zarówno
okoliczności łagodzące, jak i te obciążające. Spełnia ona także funkcję prewencyjną nie tylko dla samej Spółki, która
została obciążona jej zapłatą, lecz także innych podmiotów administrujących danymi osobowymi.

Decyzja Prezesa UODO z 6.6.2022 r., DKN.5110.12.2021

Decyzja Prezesa UODO o nałożeniu kary pieniężnej na pracodawcę za niezgłoszenie zgubienia świadectwa pracy pracownika stanowi istotny przypadek egzekwowania obowiązków związanych z ochroną danych osobowych. Konieczne jest ścisłe przestrzeganie przepisów w celu zapewnienia odpowiedniej ochrony danych osobowych i szybkiego reagowania na ewentualne naruszenia.