Utrata świadectwa pracy w oczach RODO
Grzywnę sięgającą niemal 16 tysięcy złotych nałożył na polskiego przedsiębiorcę Prezes Urzędu Ochrony Danych za zagubienie przez pracownika kadr świadectwa pracy jednego z zatrudnionych. Ta decyzja pokazuje, jakie znaczenie dla organizacji ma odpowiednie prowadzenie dokumentacji pracowniczej, ale i natychmiastowa reakcja administratora na potencjalny wyciek danych – w tym poinformowanie o nim nie tylko zainteresowanego, ale i Urząd Ochrony Danych.
Jeden dokument – wysoka kara
Sprawa dotyczyła niezgłoszenia Prezesowi UODO naruszenia danych osobowych bez zbędnej zwłoki, tj. nie później niż w ciągu 72 godzin od jego stwierdzenia. Naruszenie polegało na utracie przez spółkę świadectwa pracy jej pracownika przez pracowników sprawujących opiekę nad kompletnością dokumentacji pracowniczej. Co ważne, kara grzywny została nałożona pomimo tego, że pracownik, którego świadectwo zostało utracone, nie zgłosił żadnych roszczeń wobec pracodawcy.
Jak ocenił Prezes UODO – świadectwo pracy zawiera szereg informacji niezbędnych do ustalenia uprawnień ze stosunku pracy i ubezpieczeń społecznych. Ujawnia m.in. podstawę prawną rozwiązania umowy, zajęcia komornicze, informacje o życiu osobistym pracownika, w tym o problemach prawnych oraz statusie majątkowym. Tym samym już jako jeden dokument stanowi źródło wielu istotnych informacji na temat danej osoby.
Jak podkreślił organ nadzoru – nie ma znaczenia, czy utracone świadectwo dostało się finalnie w niepowołane ręce ani to, czy sam pracownik wystąpił w tego tytułu z jakimikolwiek roszczeniami.
Dokumentacja pracownicza pod okiem PIP i PUODO
Właściwe prowadzenie dokumentacji pracowniczej to nie tylko obowiązek pracodawcy wynikający z Kodeksu Pracy, ale również jego obowiązek jako administratora na podstawie RODO. Wynika to z faktu, że informacje zawarte w dokumentacji zawierają szereg danych osobowych pracowników, w tym tzw. danych wrażliwych, dotyczących np. zdrowia, członkostwa w związku zawodowym itp.
Tym samym, podlega ona nie tylko kontroli inspektorów PIP, badających jej kompletność i treściową zgodność z prawem pracy. Niezależnie od niej, nadzór nad bezpiecznym przetwarzaniem zawartych w niej danych osobowych sprawują również inspektorzy Urzędu Ochrony Danych. Mogą czynić to nie tylko w toku kontroli w organizacji, ale również w reakcji na stwierdzenie lub podejrzenie tzw. incydentu ochrony danych.
Na jakie inne dokumenty zwrócić szczególną uwagę?
W uzasadnieniu decyzji Prezesa UODO znaleźć można wskazówki, jakie dokumenty dotyczące pracowników podlegać powinny szczególnej ochronie. Niezależnie od kodeksowego obowiązku prawidłowego prowadzenia dokumentacji pracowniczej, pracodawca ma również obowiązek odpowiedniego zabezpieczenia danych osobowych pracowników bez znaczenia, w jakiej postaci nimi dysponuje. Dotyczy to w szczególnie tak wrażliwych informacji jak:
- upoważnienie pracodawcy do potrąceń z wynagrodzenia składek członkowskich do organizacji związkowej;
- dokumenty dotyczące zajęć komorniczych;
- dokumenty stwierdzające niepełnosprawność pracownika, chorobę zawodową;
- dokumentacja powypadkowa;
- informacje dotyczące ciąży, stanu rodzinnego pracownika;
- dokumentacja dotycząca nałożonych kar porządkowych oraz rozwiązania umowy o pracę, w szczególności w trybie dyscyplinarnym.