Prezes UODO nałożył na administratora karę wynoszącą niemal 17 milionów złotych, za naruszenia ochrony danych w ramach przekazywanie procesów HR na zewnątrz. Kara dotyczyła poważnych naruszeń zasad zabezpieczenia danych osobowych, co doprowadziło do wycieku, który obejmował takie dane jak PESEL i numer paszportu pracowników. Dodatkowo administrator po odkryciu incydentu nie powiadomił personelu w odpowiedni sposób o fakcie naruszenia jak i ewentualnych konsekwencjach.

Na wysokość kary, oprócz dużej skali naruszeń (wielu pracowników), wpłynęły:

• brak analizy ryzyka i zabezpieczeń dostawcy usług HR;
• nienależyty nadzór nad podmiotem przetwarzającym, któremu powierzono tworzenie grafików pracowniczych;
• pominięcie Inspektora Ochrony Danych (IOD) w procesach;
• brak realizacji zasady minimalizacji danych – do tworzenia grafików przekazywano taki dane jak PESEL;
• pokrzywdzeni pracownicy zostali powiadomieni poprzez komunikaty prasowe.

To jasny sygnał od UODO: powierzenie przez pracodawcę danych innemu podmiotowi nie zwalnia tego pracodawcy z odpowiedzialności! Pracodawcy muszą aktywnie nadzorować procesy przetwarzania danych oraz dbać o odpowiednie zabezpieczenia. Nie wystarczy podpisanie wzoru umowy powierzenia przetwarzania danych z Internetu.

Więcej artykułów o prawie HR w newsletterze – PRO HR Lipiec 2025