Prezes UODO nałożył kary w wysokości 15 tys. zł i 20 tys. zł na pracodawców z sektora finansów publicznych za zgubienie niezabezpieczonego pendriva z danymi osobowymi w toku prac związanych z migracją danych do nowego systemu kadrowo-płacowego. Ukarany został również podmiot obsługujący system kadrowo-płacowy. Na nośniku zapisano m.in. dane ok. tysiąca byłych i obecnych pracowników i współpracowników, a wśród nich: daty urodzenia, numery PESEL, serie i numery dowód osobistych dane o zwolnieniach lekarskich.

Pendrive został odnaleziony przez osobę postronną, która poinformowała o tym pokrzywdzonych, a ci zgłosili naruszenie do Prezesa UODO.

W toku postępowania Prezes UODO zwrócił uwagę, że dla procesu migracji danych nie została przeprowadzona analiza ryzyka (DPIA). Urząd wskazał, że gdyby taka analiza została przeprowadzona, jednostki powinny rozważyć, czy dane osobowe są należycie zabezpieczone

. 
Choć kary za naruszenie w takiej skali mogą wydawać się niskie, warto pamiętać, że pracodawcy od samego początku współpracowali z organem a ukaranie dotyczyło jednostek publicznych, gdzie maksymalna kara nie może przekroczyć 100 tys. zł. W przypadku podmiotów prywatnych, wysokość kary może być znacznie wyższa. 

Bez względu na to, czy proces wymaga przeprowadzanie analizy ryzyka (DPIA), każdy pendrive z danymi osobowymi powinien być szyfrowany.

Więcej artykułów o prawie HR w newsletterze – PRO HR Listopad 2024