Zaposlenik jedne tvrtke zatražio je od odjela ljudskih potencijala da mu dostave njegovu zadnju isplatnu listu, sasvim legitimno prema članku 15. GDPR-a ali u RH i prema Pravilniku o sadržaju i načinu vođenja evidencije o radnicima zaposlenim kod poslodavca (NN55/2024).

No, iznenađen je bio kad je na svoj mail dobio PDF fajlu s isplatnim listama 446 zaposlenika koje su sadržavale ime, prezime, OIB, broj računa u banci i obračun plaće.

To nimalo nisu bezazleni osobni podaci.

Poslodavac je priznao da je došlo do ljudske pogreške tijekom dostave zatraženog emailom i da je uprava saznala za ovaj sigurnosni incident tek kad se primatelj podataka požalio, a sam zaposlenik koji je skrivio incident nije o tome nikome pričao.

Nakon tog saznanja poslodavac je obavijestio sve zaposlenike, čiji su osobni podaci kompromitirani, par dana nakon incidenta.

 

Već zaključujete kako je španjolsko nadzorno tijelo gledao na ovaj slučaj. Definitivno su utvrdili da je poslodavac kao voditelj obrade propustio osigurati tehničke i organizacijske sigurnosne mjere, posebice u segmentu pristupa i uvida u isplatne liste zaposlenika.

Tu su u najmanju ruku morale biti implementirane mjere pseudonimizacije ili enkripcije, razmjerno samom riziku za vlasnike isplatnih lista.

 

Kod nas se isporuke isplatnih lista emailom u brojnim slučajevima koje vidimo rješavaju zaštitom putem lozinke, tako da nijedan drugi zaposlenik, pa da i zaprimi tuđu isplatnu listu, istu ne može otvoriti. To je zaista nužna razina zaštite od otkrivanja osjetljivih osobnih podataka, posebice ako spoznamo da se u isplatnim listama nalaze možda i podaci koji se odnose na zdravlje zaposlenika, obustave na njegovu plaću zbog kredita, ovrhe ili alimentacije i sl.

Naravno, veliki je propust poslodavca što nije osigurao da zaposlenici prijave bez odlaganja povredu osobnih podataka, da je priznaju i time manje izlože samog poslodavca.

 

Što se dogodilo sa samim zaposlenikom koji je zgriješio, ne znamo.

Ali znamo da se povrede podataka kad-tad saznaju, ma koliko ih željeli sakriti.

 

Više o španjolskom slučaju:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202304685&mtc=today

Image from FreePik

#gdprcroatia