Miło nam również poinformować, że na stronach PARP ukazał się artykuł autorstwa mec. Agnieszki DUDZIK, pt. „Zezwolenie na pobyt i pracę cudzoziemca”, który jest syntetycznym podsumowaniem obowiązków firmy w zakresie zatrudniania cudzoziemców jak chodzi o zezwolenia na pobyt i pracę.

Wszystkich zainteresowanych problematyką legalizacji pracy cudzoziemców, zapraszamy do lektury!

Z artykułem można się zapoznać tu: https://www.parp.gov.pl/component/content/article/72746:zezwolenie-na-pobyt-i-prace-cudzoziemca

Urząd Ochrony Danych Osobowych w swoim stanowisku z 18 czerwca br. uznał, że ustawodawca nie uregulował w żaden sposób kwestii weryfikacji przez pracodawcę posiadania przez pracownika statusu działacza opozycji antykomunistycznej, który uprawnia do dodatkowego urlopu (30 maja 2021 r. zaczął obowiązywać art. 12a  ustawy z 20 marca 2015 r. o działaczach opozycji antykomunistycznej oraz osobach represjonowanych z powodów politycznych przyznający osobie uprawnionej dodatkowy urlop wypoczynkowy w wymiarze 5 dni roboczych w roku kalendarzowym).

W stanowisku tym czytamy m.in., że „zakres, sposób i warunki prowadzenia i przechowywania dokumentacji pracowniczej określa rozporządzenie ministra rodziny, pracy i polityki społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Zgodnie z nimi pracodawca prowadzi oddzielnie dla każdego pracownika dokumentację w sprawach związanych ze stosunkiem pracy obejmującą m.in. dokumenty związane z ubieganiem się i korzystaniem z urlopu wypoczynkowego (par. 6). Z przepisów dotyczących prowadzenia akt pracowniczych nie wynika, aby stanowiły one o kopiowaniu określonych aktów, np. decyzji, i włączaniu ich do akt pracowniczych. Są to zatem przepisy, na podstawie których pracodawca, jako administrator danych, musi ocenić, czy zakres danych gromadzonych przez niego w dokumentacji pracowniczej nie wykracza poza cel tego przetwarzania. Musi przestrzegać, aby dane były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych) – art. 5 ust. 1 lit. c RODO”.

W stanowisku z dnia  29 czerwca 2021r. MRPiT uznało, że ze względu na indywidualny charakter akt osobowych, które są prowadzone oddzielnie dla każdego pracownika, każda z teczek jest oceniana odrębnie. Nie trzeba więc wprowadzić jednolitej zasady podziału akt na mniejsze części, a sama liczba podczęści może się różnić w przypadku różnych teczek.

W stanowisku czytamy m.in., że „akta osobowe są prowadzone oddzielnie dla każdego pracownika. Zatem podział części akt osobowych poszczególnych pracowników na wydzielone tematycznie podczęści, w tym liczba tych podczęści u różnych pracowników zatrudnionych u tego samego pracodawcy, nie musi być taka sama. Istotne jest jedynie, aby akta osobowe każdego pracownika były prowadzone, uporządkowane i przechowywane zgodnie z przepisami ww. rozporządzenia. Wydzielenie powiązanych ze sobą tematycznie części (podczęści) akt osobowych w ramach np. części B tych akt może być, w opinii resortu, dokonane nie tylko podczas zakładania akt osobowych dla danego pracownika, ale również może dotyczyć istniejących już (prowadzonych) akt osobowych”.

W stanowisku z dnia 30 lipca 2021r. Departament Prawny Głównego Inspektoratu Pracy wskazał, że „wykroczenie z art. 282 § 1 pkt 2 Kodeksu pracy stanowi nieudzielenie przysługującego pracownikowi urlopu wypoczynkowego lub bezpodstawne obniżenie wymiar tego urlopu. Podkreślenia wymaga fakt, iż zgodnie ze stanowiskiem prezentowanym w literaturze prawniczej i akceptowanym przez Państwową Inspekcję Pracy nadmierne rozdrobnienie urlopu udzielanego na wniosek pracownika nie stanowi wykroczenia przeciwko jego prawom, jest jednak sprzeczne z treścią art. 162 Kodeksu pracy, który wprost wskazuje, iż „(…) co najmniej jedna część wypoczynku powinna trwać nie mniej niż 14 kolejnych dni kalendarzowych.

Podsumowując, nieudzielenie pracownikowi co najmniej jednej części wypoczynku obejmującej co najmniej 14 kolejnych dni kalendarzowych nie stanowi wykroczenia przeciwko prawom pracownika”.

Uwaga: powyższy stanowisko jest sprostowaniem wypowiedzi Rzecznika prasowego GIP udzielonej DGP (publikacja: 29.07.2021r.) który stwierdził, że „zgodnie z art. 152 Kodeksu pracy pracownikowi przysługuje prawo do corocznego, nieprzerwanego, płatnego urlopu wypoczynkowego. Pracownik nie może zrzec się prawa do urlopu. Pracodawca jest obowiązany udzielić pracownikowi urlopu w tym roku kalendarzowym, w którym pracownik uzyskał do niego prawo (art. 161 Kodeksu pracy). Urlop może być podzielony na części wyłącznie na wniosek pracownika. W takim jednak przypadku co najmniej jedna część wypoczynku powinna trwać nie mniej niż 14 kolejnych dni kalendarzowych (art. 162 Kodeksu pracy). Pracownik nie może zrzec się tego prawa. Przy udzielaniu pracownikowi urlopu wypoczynkowego pracodawca obowiązany jest zapewnić stosowanie tego przepisu, nawet jeżeli jest to wbrew woli pracownika. Państwowa Inspekcja Pracy w czasie kontroli bada prawidłowość udzielania pracownikom urlopów  wypoczynkowych. Nieudzielenie pracownikowi co najmniej jednej części wypoczynku obejmującej co najmniej 14 kolejnych dni kalendarzowych stanowi wykroczenie z art. 282 par. 1 pkt 2 Kodeksu pracy”.

W stanowisku z dnia 04 sierpnia 2021r. ZUS wyjaśnił, że „jeżeli pracownik poddany obowiązkowej kwarantannie za zgodą pracodawcy świadczy w trybie pracy zdalnej pracę określoną w umowie, otrzymuje z tego tytułu wynagrodzenie. Wówczas nie przysługuje mu wynagrodzenie za czas choroby na podstawie art. 92 K.p. ani zasiłek chorobowy (…). W takim przypadku nie ma uzasadnienia, by za dni wolne od pracy pracownik otrzymywał świadczenia chorobowe. Zatem za dni wolne od pracy powinien otrzymać wynagrodzenie za pracę, a nie świadczenia chorobowe.

Zasada, zgodnie z którą zasiłek chorobowy przysługuje za każdy dzień niezdolności do pracy, nie wyłączając dni wolnych od pracy (…), nie ma więc w tym przypadku zastosowania, gdyż pracownik we wszystkie dni obowiązującego go czasu pracy świadczył pracę, co oznacza, że w okresie kwarantanny nie korzystał ze świadczeń chorobowych.

W związku z powyższym, jeżeli pracownik przepracował czas, do którego jest zobowiązany, świadcząc pracę zdalną w okresie kwarantanny, nie należy wypłacać zasiłku chorobowego za dni wolne od pracy”.

Uwaga: ZUS odniósł się do przypadku, gdy pracownik zatrudniony w systemie podstawowym od poniedziałku do piątku, w trakcie odbywania 10-dniowej kwarantanny wykonuje pracę zdalnie (tym samym pracy zdalnej nie wykonuje w sobotę i niedzielę, a są to dni objęte kwarantanną

• W wyroku Europejskiego Trybunał Praw Człowieka z 15 czerwca 2021 r. w sprawie Melike przeciwko Turcji (skarga nr 35786/19) uznano, że pracownik ma prawo wyrażać opinie w ważnych społecznie i politycznie kwestiach. Trybunał stwierdził, że tego typu treści bez wątpienia można zakwalifikować jako istotne kwestie zainteresowania publicznego i debaty publicznej. Zwolnienie z pracy za „polubienia” tego typu treści jest sprzeczne z Konwencją o ochronie praw człowieka i podstawowych wolności.

Wyrok Europejskiego Trybunału Praw Człowieka to kolejny istotny głos w sprawie granicy swobody wypowiedzi pracowników. Może on być cenną wskazówką dla pracodawców, którzy chcieliby kontrolować aktywność swoich podwładnych w mediach społecznościowych. Pracodawcy powinni pamiętać, że sprawdzanie profilów społecznościowych pracowników zawsze niesie ze sobą duże ryzyko, nie tylko z perspektywy przepisów o ochronie danych osobowych. Próba ingerencji w treści, jakie publikuje pracownik lub wyciąganie negatywnych konsekwencji za polubienia bądź komentarze na Facebooku, mogą też naruszyć wolność wyrażania opinii wynikającą z Konwencji o ochronie praw człowieka i podstawowych wolności.

• W wyroku Trybunału Sprawiedliwości UE z 15 lipca 2021 r. (w połączonych sprawach C 804/18 i C 341/19) wskazano, że pracodawca ma prawo wymagać od zatrudnionych zachowania neutralności religijnej, politycznej lub światopoglądowej, jeśli spełnione są odpowiednie warunki (np. wymóg ten jest niezbędny z uwagi na np. działalność przedsiębiorstwa, oczekiwania klientów). Zakaz ograniczający się do noszenia dużych, rzucających się w oczy symboli może prowadzić do dyskryminacji grup pracowników o konkretnym wyznaniu lub światopoglądzie. Trybunał wskazał, że wewnętrzna regulacja przedsiębiorstwa, zakazująca noszenia wszelkich widocznych symboli politycznych, światopoglądowych lub religijnych w miejscu pracy nie stanowi bezpośredniej dyskryminacji, jeżeli jest stosowana w sposób ogólny i bez rozróżnienia (na poszczególne wyznania, przekonania). Wynika to już z wcześniejszego orzecznictwa TSUE (m.in. wyrok z 14 marca 2017 r., G4S Secure Solutions, C 157/15).

W praktyce jednak w omawianych przypadkach może dochodzić do dyskryminacji pośredniej, bo np. niektóre symbole są bardziej widoczne i dotyczą jedynie pracowników określonej płci (np. chusty noszone przez muzułmanki).

• W wyroku z dnia 21 stycznia 2021r. (sygn.. akt III PSKP 2/21) SN wskazał, że tryb konsultacji zamiaru wypowiedzenia umowy o pracę z organizacją związkową określony w art. 38 § 1 kodeksu pracy określa obowiązek, którego wykonanie ma nastąpić na piśmie. Stanowi to jednoznaczną normę prawną, której naruszenie obwarowane jest sankcją w postaci uznania wypowiedzenia umowy o pracę za niezgodne z prawem (art. 45 § 1 k.p.). Forma pisemna ma służyć weryfikacji poprawności działań konsultacyjnych, w tym ustalenia, czy przyczyny w zawiadomieniu i w wypowiedzeniu są identyczne, czy zachowano 5-dniowy termin na zajęcie stanowiska przez związek zawodowy. Wprowadzona w 2016 r. forma dokumentowa i jej odrębność od formy pisemnej potwierdza, że ustawodawca nie odstąpił od zwykłej formy pisemnej przyjętej w dotychczasowych regulacjach, w tym art. 38 k.p., których nie zmienił.

• Sąd Najwyższy w wyroku z 4 marca 2021 r. (II PSKP 13/21) orzekł, że pracownik, który bez usprawiedliwienia nie poddaje się badaniom kontrolnym, uniemożliwia realizację świadczenia pracy. To jednoznacznie kwalifikowane jest jako występowanie przeciwko obowiązkowi o charakterze podstawowym i może być przyczyną zwolnienia dyscyplinarnego. Przyjęcie odwrotnej koncepcji prowadziłoby niejednokrotnie do absurdalnej sytuacji powodującej brak możliwości rozstania się z pracownikiem, który wprawdzie stawił się do pracy po dłuższej chorobie, ale nie poddał się kontrolnym badaniom lekarskim. Z jednej strony pracodawca nie mógłby bowiem dopuścić pracownika do pracy, a z drugiej nie mógłby go zwolnić przez bliżej nieoznaczony czas.

Wiele podmiotów w Polsce działa w międzynarodowej strukturze grup przedsiębiorstw. Nic prostszego przyjąć stosowanie tych samych polityk, zalegalizować przetwarzanie danych na tych samych podstawach prawnych, uwzględniając ten sam zakres danych, w końcu działamy w oparciu o RODO a w końcu to rozporządzenie obowiązuje wszystkie kraje Unii Europejskiej.  Jednak interpretacje i rekomendacje organów krajowych nadzorujących przestrzeganie RODO i przepisów prawa w poszczególnych krajach, nie pozostawiają złudzeń – nie ma jedności w tym obszarze. Tym samym można wpaść w pułapkę świetnie wypracowanych procedur czy pomysłów wewnętrznych regulacji spółki matki, których nie sposób zaimplementować w innych krajach gdzie spółki córki są zlokalizowane.

Takim przykładem rozbieżności jest podstawa prawna przetwarzania informacji o zaszczepieniu przeciwko COVID-19 pracownika. Porównanie dotyczy Niemiec i Polski.

NIEMCY. Konferencja Ochrony Danych (DSK), organ zrzeszający landowe urzędy ochrony danych osobowych w Niemczech, w uchwale z dnia 29 marca 2021 r. wskazała, że nie ma regulacji ustawowej, m.in. w zakresie dokumentowania przez pracodawcę negatywnego wyniku testu COVID-19 w celu dopuszczenia pracowników do pracy w sektorze prywatnym. W ocenie DSK w sytuacji, gdyby pracodawca chciałby pozyskać taką informację to m.in. pracownicy musieliby wyrazić zgodę na okazanie dokumentu szczepienia w celu poświadczenia swojej deklaracji. I tu podobieństwo między niemieckim a polskim podejściem się kończy, bo DSK wskazuje furtkę w postaci uszczegółowienia tej kwestii w przepisach prawa lokalnego, wdrożonego przez poszczególne federalne kraje Niemiec (landy).

Są już landy, gdzie uszczegółowiono procedurę dokumentowania szczepień przez pracowników w rozporządzeniach dotyczących ochrony przed koronawirusem.

W Nadrenii Północnej-Westfalii, jak i w Saksonii wprowadzono regulację, zgodnie z którą pracownicy, którzy przez pięć dni roboczych z rzędu przebywali na urlopie lub nie pracowali z innego powodu, muszą przed ponownym podjęciem pracy przedstawić pracodawcy negatywny wynik testu COVID-19 lub przeprowadzić udokumentowany test pod nadzorem pracodawcy. Alternatywnie można przedstawić inny dowód pełnej ochrony poszczepiennej np. dokument wskazujący że się COVID-19 przeszło. Również Berlin przewiduje możliwość samokontroli tylko pod nadzorem pracodawcy, przynajmniej w przypadku pracowników, którzy podczas pracy mają kontakt fizyczny z klientami.

W Niemczech mamy jeszcze zapisy Ustawy o ochronie danych osobowych, które uszczegóławiają zasady przetwarzania danych osobowych w szczególnych sytuacjach. Paragraf 26 ust. 3 wprost wskazuje, że w drodze odstępstwa od art. 9 ust. 1 rozporządzenia (UE) 2016/679 przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia (UE) 2016/679, do celów związanych z zatrudnieniem jest dozwolone, jeżeli jest to niezbędne do wykonywania praw lub wypełniania obowiązków prawnych wynikających z prawa pracy, zabezpieczenia społecznego i ochrony socjalnej oraz nie ma podstaw do uznania, że osoba, której dane dotyczą, ma nadrzędny uzasadniony interes w nieprzetwarzaniu tych danych.

Oznacza to, że po przeprowadzeniu oceny prawnie uzasadnionego interesu i wykazaniu nadrzędności interesu pracodawcy, nad interesem pracownika, można by podjąć się przetwarzania informacji o szczepieniu.

POLSKA. Niestety ani aktualne przepisy prawa a już tym bardziej uzasadniony interes administratora danych nie mogą być przesłanką do przetwarzania informacji o szczepieniu pracownika. Nie mamy takich szczególnych uregulowań w polskiej Ustawie o ochronie danych osobowych, a zasady przetwarzania danych pracowników ujęte w Kodeksie Pracy nie pozostawia żadnych złudzeń:

„art. 22^1b §1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.”

Co więcej brak tej zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Konkluzja jest jedna: póki przepisy prawa w Polsce w randze ustawowej nie zalegalizują przetwarzania informacji o zaszczepieniu, to stosowanie procedur, zapożyczonych, czy wręcz narzuconych przez spółkę-matkę jest nieuzasadnione i może nieść konsekwencje w postaci kary finansowej ze strony PUODO oraz skarg i roszczeń ze strony pracowników.

źródło:

strona internetowa kancelarii Piltz Rechtsanwälte PartGmbB Berlin [ piltz.legal ]

ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.)

Federalna ustawa o ochronie danych z dnia 30 czerwca 2017 roku (BGBl. I s. 2097), zmieniona art. 10 ustawy z dnia 23 czerwca 2021 roku (BGBl. I s. 1858).”

DANIA. Datatilsynet – duński Organ Nadzorczy nałożył karę na Medicals Nordic za przesyłanie przez pracowników spółki informacji o stanie zdrowia pacjentów poddających się testom na obecność COVID-19 za pośrednictwem grup konwersacyjnych utworzonych w aplikacji WhatsApp. Pracownicy spółki korzystali z tego komunikatora na swoich prywatnych urządzeniach, a co więcej – administrator w żaden sposób nie kontrolował, czy dostęp do poszczególnych grup został przyznany tylko tym osobom, które faktycznie go potrzebowały. Administrator nie wdrożył żadnych metod kontroli dostępu do informacji przechowywanych na poszczególnych kanałach grupowych, co skutkowało ujawnieniem danych także wobec byłych pracowników spółki. Z uwagi na charakter naruszenia i fakt, że dotyczyło ono danych szczególnej kategorii, organ nadzorczy nałożył na spółkę karę w wysokości blisko 81 tys. Euro.

LUKSEMBURG. Dane osobowe z urządzeń umożliwiających śledzenie położenia pojazdów należących do floty samochodowej administratora danych powinny być przetwarzane w sposób nienaruszający zasady retencji danych. Taki wniosek wynika z decyzji luksemburskiego organu, który uznał 8-miesięczny okres przechowywania danych pochodzących z geolokalizacji za nadmiarowy. Organ dopuścił jednak możliwość przetwarzania danych tego typu przez okres 1 roku w sytuacji, gdy mają one służyć udokumentowaniu wykonania usługi i wystawieniu faktury na ich podstawie. Jeżeli administrator danych jest w stanie zrealizować te czynności bez odwoływania się do danych o lokalizacji, dane te powinny być niezwłocznie usuwane. W toku postępowania kontrolnego organ nadzorczy odnotował także inne naruszenia zasad ochrony danych, w szczególności w zakresie monitoringu wizyjnego, który obejmował zbyt szeroki obszar. Co więcej, ani pracownicy administratora danych, ani jego klienci, nie zostali w sposób prawidłowy poinformowani o zasadach przetwarzania ich danych lokalizacyjnych. Z uwagi na te uchybienia administrator został obciążony karą w wysokości 7,2 tys. euro.

źródło: strona internetowa dataguidance.onetrust [ dataguidance.com/ news ]

toruński WORD – chodzi o ujawnienie danych osobowych jednego z pracowników.

Kopia korespondencji pracownika, zawierająca imię, nazwisko, oraz przynależność związkową, została wywieszona na jednej z tablic ogłoszeń w WORD.

Upomnienie to skutek skargi, którą złożył pracownik.

źródło: strona internetowa serwisu informacyjnego [ Polskie Radio ]

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi naruszenia ochrony danych oraz niezawiadomienie o incydencie osób, których dane dotyczą.

Jesienią 2020r. do UODO wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację polegające na utracie danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów.

UODO otrzymał odpowiedź, iż Fundacja tego incydentu nie zgłosiła, a dokonana przez nią analiza naruszenia dała ocenę jego wagi na poziomie niskim – na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia organu nadzorczego.

W toku dalszych czynności ustalono, że naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała następujące kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu – co ważne w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL.

UODO nie zgodził się z oceną Fundacji i wskazał, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych – konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób.

Nie bez znaczenia był też fakt, iż Fundacja nie była w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem. Brak możliwości ustalenia tożsamości poszkodowanych nie był też uzasadnieniem do nieinformowania osób, których naruszenie mogło dotknąć. PUODO wskazał, iż administrator mógł poinformować o naruszeniu np. za pośrednictwem publicznego komunikatu lub innego równoważnego środka.

Za podobne naruszenie Prezes UODO ukarał również Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. W wyniku naruszenia doszło do ujawnienia analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia wobec niewłaściwego odbiorcy. W konsekwencji ubezpieczyciel został ukarany karą pieniężną w wysokości niemal 160 tys. zł.

źródło:

strona internetowa UODO[ Decyzje  – UODO ].

Administrator danych osobowych, w przypadku wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych zobowiązany jest do zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych Osobowych. W przypadku zaś stwierdzenia naruszenia nieistotnego, administrator danych wpisuje je wyłącznie do rejestru naruszeń, bez konieczności zgłaszania Prezesowi UODO.

Podmiot przetwarzający, wszelkie naruszenia – niezależnie od ich kategorii – zgłaszasz wyłącznie administratorowi tychże danych osobowych. Administrator natomiast podejmuje decyzję w przedmiocie ewentualnego zgłoszenia incydentu Prezesowi UODO.

Ocena ryzyka i wagi naruszenia to jeden z istotniejszych elementów Polityki Ochrony Danych, którego forma jest indywidualnie uzależniona od struktury organizacji, kategorii i ilości przetwarzanych danych. Zarzut niewłaściwej oceny i lekceważenia naruszeń przez administratorów jest jednym z częstszych powodów nakładania kar pieniężnych przez nasz organ nadzoru.

Z obowiązku tzw. „samodonosu” w uzasadnionej sytuacji nie są zwolnione również urzędy obsługujące organy nadzoru. Z naruszeniem poufności danych będziemy mieć w przypadku  sytuacji, która miała miejsce na stronie internetowej PUODO, gdzie udostępniono skan wyroku WSA wraz z uzasadnieniem w sprawie kary nałożonej na SGGW. Skan częściowo zanonimizowany, bo pozostawiono tam dane osobowe pewnej osoby, pracownika SGGW, istotne z punktu widzenia przebiegu postępowania i materiału dowodowego. Mniej więcej po 24 godzinach błąd został dostrzeżony i wyrok podmieniono, ale ponieważ „w sieci nic nie ginie”, do naruszenia doszło. Informacje dotyczące konkretnej osoby fizycznej, zawarte w uzasadnieniu, stawiają ją w mało korzystnym świetle, co generuje istotne ryzyko dla praw i wolności tej osoby (przykładowo, może jej znacznie utrudnić znalezienie pracy mającej jakikolwiek związek z bezpieczeństwem danych osobowych, a także rodzi uzasadnioną podstawę do pozwania jej przez studentów).

Z obowiązku podjęcia oceny naruszenia i poinformowania o naruszeniu w krótkim bo 72 godzinnym czasie od stwierdzenia naruszenia nie jest zwolniony żaden Administrator. Podobnie UODO, ale i innym urzędom obsługującym organ nadzoru zdarzały się i zdarzać się będą incydenty i naruszenia ochrony danych osobowych. Z naruszeniem „u siebie” musiał zmierzyć się w sierpniu 2020 r. duński organ nadzorczy z zakresu ochrony danych – Datatilsynet. Sprawa dotyczyła papierowej dokumentacji, która ze względu na zawarte dane osobowe powinna była być objęta inną procedurą niszczenia. Organ po prostu zgłosił naruszenie tym samym sposobem co inni administratorzy danych informujący go o naruszeniach. Co ciekawe duński organ spóźnił się ze zgłoszeniem o 24 godziny za co upomniano pracownika dokonującego zgłoszenia.

źródło:

strona internetowa PUODO [puodo.gov.pl]

strona internetowa Datatilsynet [datatilsynet.dk]