U Poljskoj je takav slučaj završio kaznom od 3.500 EUR.
Tvrtka je uočila da im fali važan dokument iz dosjea jednog zaposlenika, ali su odlučili da neće o toj povredi osobnih podataka obavijestiti svoje nadzorno tijelo za zaštitu osobnih podataka, iako je bilo očito da bi zaposlenik, o čijem se dosjeu radi, mogao trpjeti određenu štetu.
Dosjei ili kartoni zaposlenika u organizacijama sadrže poprilično dokumenata, ovisno o načinu kako određena organizacija odlučuje pohranjivati dokumentaciju zaposlenika koju mora čuvati trajno.
Tu se nalaze i evidencije zaposlenika, njegovi ugovori o radu, preslike diploma, svjedodžbi, domovnica, osobnih iskaznica i bankovnih kartica (to ne smijemo imati), rodnih listova djece, stare PK kartice, možda i dokumentacija o ozljedama na radu ili oboljenjima, svašta se može naći tu, ovisno o samom poslodavcu i njegovom načinu upravljanja dokumentacijom.
Kao što vidimo, dosje zaposlenika je skup vrlo osjetljivih dokumenata s nizom osobnih podataka zaposlenika koje moramo brižno čuvati od nestanka, krađe, uništenja, neovlaštenog pristupa, kopiranja, brisanja, mijenjanja, javnog objavljivanja, jer svako od navedenih postupanja može itekako dovesti do ozbiljnih posljedica za samog zaposlenika i njegova radna prava ili prava u području socijalne i zdravstvene zaštite.
Stoga je iznimno važno dokumentaciju zaposlenika čuvati uz stroga ograničenja prava pristupa ograničena na vrlo uzak broj zaposlenika koji im smiju pristupati, uz poduzete sve mjere zaštite od provale ili požara ili drugog načina uništenja vrijedne dokumentacije.
Ali, ako organizacija uoči da je izgubila dokument iz dosjea zaposlenika i pri tom ne zna u čijim je rukama i jesu li time otkriveni osobni podaci zaposlenika neovlaštenoj osobi ili su više nedostupni organizaciji, mora se izvršiti prijava nadzornom tijelu (AZOP) o takvoj povredi osobnih podataka, prema uputama na ovom linku:
https://azop.hr/izvjescivanje-o-povredi-osobnih-podataka/
Ako se radi o slučaju u kojem zaposlenik može trpiti ozbiljnu štetu i čime mu se uzrokuju visoki rizici na prava i slobode, tada se o povredi podataka mora izvijestiti i zaposlenika.
U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični zaposlenik mogao ublažiti potencijalne negativne učinke, kao što su gubitak nadzora nad vlastitim osobnim podacima ili ograničavanje prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, šteta za ugled ili druga ekonomska ili društvena šteta za dotičnog zaposlenika.
Više o slučaju na:
https://edpb.europa.eu/news/national-news/2022/loss-document-personal-data-and-failure-notify-incident-reason-fine_en
Photo by Yan Krukov from Pexels
#gdprcroatia