W czerwcu 2025 r. UODO nałożył na administratora danych osobowych (pracodawcę) rekordową karę w łącznej kwocie 16 932 657 zł. Pracodawca powierzył przetwarzanie danych osobowych pracowników zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu. W wyniku błędu, dane osobowe pracowników (w tym dane o wysokim ryzyku, jak numery PESEL i numery paszportów) stały się dostępne dla osób nieuprawnionych

Niezrealizowane obowiązki

Kluczowym elementem decyzji jest wskazanie, że administrator danych (w tym przypadku pracodawca) nie może przyjąć biernej postawy po przekazaniu procesów (a w konsekwencji również danych osobowych) podwykonawcy. Organ nadzorczy sformułował szereg krytycznych uwag dotyczących uchybień:

Brak realnej analizy ryzyka: UODO podkreślił, że ani administrator, ani procesor nie przeprowadzili rzetelnej analizy ryzyka przed rozpoczęciem operacji na danych. Analiza ta powinna uwzględniać specyficzne zagrożenia wynikające z charakteru usług świadczonych przez procesora oraz rodzaj przetwarzanych danych.

Pozorna weryfikacja procesora i umowa blankietowa: Administratorzy często poprzestają na samym podpisaniu umowy powierzenia przetwarzania (art. 28 RODO), stosując często darmowe, blankietowe wzory z Internetu. Zakładają tym samym, że ich podwykonawca „wie co robi”. UODO jednoznacznie wskazał, że to administrator ma obowiązek zweryfikować, czy procesor faktycznie zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

Niestosowanie minimalizacji danych: W systemie, który służył do ewidencji czasu pracy, przetwarzano numery PESEL oraz paszportów. Zdaniem organu było to naruszenie zasady minimalizacji (art. 5 ust. 1 lit. c RODO) – do identyfikacji pracowników w tym celu wystarczyłyby dane, które w mniejszym zakresie narażałby pracowników na kradzież tożsamości.

Brak nadzoru i audytu: Administrator nie korzystał ze swojego prawa do kontroli i audytu u procesora, co mogłoby pozwolić na wczesne wykrycie błędów w konfiguracji systemów.

Ignorowanie roli IOD: Stwierdzono, że Inspektor Ochrony Danych (IOD) nie był włączany we wszystkie sprawy dotyczące ochrony danych, co uniemożliwiło mu prawidłowe doradztwo w zakresie oceny skutków planowanych operacji.

Decyzja UODO jest jasnym sygnałem, jakich standardów oczekuje organ nadzorczy. Aby uniknąć podobnych sankcji, organizacje powinny wdrożyć następujące mechanizmy:

Aktywny nadzór nad procesorami: Nie wystarczy „papierowa” zgodność, tj. podpisanie umowy na gotowym wzorze z Internetu. Administrator musi regularnie kontrolować podmioty, którym powierza dane. Audyty u podwykonawców powinny stać się standardem, a nie wyjątkiem.

Wdrożenie „Privacy by Design” i „Privacy by Default”: Już na etapie projektowania systemów (np. ewidencji czasu pracy) należy zadbać o to, by zakres zbieranych danych był ograniczony do absolutnego minimum, np. niewykorzystywanie do tego celu numeru PESEL czy numeru paszportu.

Stosowanie analizy ryzyka: Operacje na dużych zbiorach danych czy też przekazywanie takich zbiorów na zewnątrz organizacji powinny wiązać się z przeprowadzeniem analizy ryzyka. Taka analiza musi zostać udokumentowana i odnosić się do konkretnych zagrożeń.

Wzmocnienie roli IOD: Inspektor ochrony danych powinien mieć realny wpływ na decyzje podejmowane w organizacji.

Zgłaszanie incydentów: Organizacja powinna posiadać sprawny system wykrywania naruszeń i zawiadamiania zarówno organu nadzoru jak i podmioty danych. W omawianym przypadku brak szybkiej reakcji i bezpośredniego zawiadomienia wpłynął na surowość oceny organu.

Podsumowanie

Nałożona kara daje wyraźny sygnał, że UODO przykłada uwagę do przetwarzania danych osobowych przez pracodawców. Zawarcie blankietowej umowy z kontrahentem nieuwalania pracodawców od odpowiedzialności za outsourcowane procesy. Po raz kolejny UODO zwrócił również uwagę na konieczność ostrożnego przetwarzania numeru PESEL. To, że Kodeks pracy wprost zezwala pracodawcy na pozyskanie takiej informacji, nie oznacza z automatu, że pracodawca może ją multiplikować i umieszczać dowolnie w różnych zbiorach danych.

Więcej artykułów o prawie HR w newsletterze – PRO HR Year Book 2025