RODO – Incydent w Auchan Polska
16 października, 2019Od 25 maja 2018 obowiązuje Rozporządzenie o Ochronie Danych Osobowych. Wprowadziło ono szereg zmian w obowiązujących dotychczas przepisach. Z jednej strony zmiany te dotyczą uprawnień i zabezpieczeń dla osób fizycznych, a z drugiej wymogów i obostrzeń dla podmiotów i osób przechowujących (i/lub przetwarzających) dane osobowe, czyli dla tzw. administratorów danych. Mimo długiego czasu obowiązywania nowych przepisów prawa, uwzględniając dwuletni okres na dostosowanie się do nowych wymogów przed ich wejściem w życie, dochodzi na ich gruncie do różnych naruszeń skutkujących reperkusjami po stronie wspominanych wyżej administratorów danych.
W czerwcu prawie 200 osób z działu obsługi kadr w Auchan Polska otrzymało na swoje skrzynki mailowe plik z danymi osobowymi wszystkich pracowników Spółki. Miał je przez pomyłkę wysłać pracownik firmy – donosi serwis wiadomości handlowe.pl. Związek Zawodowy „Solidarność” zapowiedział już walkę o odszkodowania dla pracowników za bezprawne ujawnienie danych osobowych.
Pracownik, który miał nieszczęście rozesłania niezaszyfrowanego załącznika z danymi pełnił obowiązki związane z obsługą płac w spółce. Na skutek jego pomyłki do wszystkich adresatów trafiły dane zawierające m.in. imię i nazwisko, PESEL, stanowisko, wynagrodzenie netto, datę zatrudnienia i datę zakończenia pracy. Ostatnia kategoria danych wskazuje, że w pliku znajdowały się dane dotyczące zarówno obecnie zatrudnionych pracowników, jak i tych, którzy już rozstali się z firmą.
Auchan wyjaśnia, że w ciągu 30 minut od wysłania e-maila plik zniknął z serwera, a pracownicy zostali poproszeni o jego usunięcie i nieujawnianie zawartych tam informacji. Oczywistym jest jednak, że nie ma żadnej pewności co do tego, jaki był faktyczny dalszy los udostępnionych nieprawnie danych. W zależności od tego, jaki jest poziom zabezpieczeń informatycznych wewnątrz organizacji można dywagować, czy np. któryś z adresatów nie przeniósł załącznika na swój prywatny nośnik. Dorota Patejko, dyrektor ds. komunikacji i CSR w Auchan, powiedziała, że nie doszło do wycieku danych na zewnątrz firmy, a pracownicy zostali zawiadomieni o tym, co się stało z ich danymi. Sprawa została zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto wprowadzono nowy sposób pracy z raportami zbiorczymi zawierającymi dane kadrowe. Jak tłumaczy spółka, od tej pory nie będą one przesyłane drogą mailową, co ma zabezpieczyć firmę przed podobnymi zdarzeniami w przyszłości.