W grudniu 2021 r. sąd pracy w Neuruppin nakazał pracodawcy wypłatę odszkodowania w wysokości 1000 euro na rzecz byłego pracownika na podstawie art. 82 GDPR. Powodem było to, że były pracownik był nadal wymieniany przez pracodawcę na jego stronie internetowej po zakończeniu stosunku pracy.
Można było tego uniknąć dzięki skutecznej koncepcji usuwania danych i zrównoważonemu zarządzaniu prawami osób, których dane dotyczą. O tym, co należy wiedzieć, można dowiedzieć się tutaj.
Sprawa - odszkodowanie na podstawie art. 82 GDPR
Stan faktyczny sprawy, którą musiał rozstrzygnąć Sąd Pracy w Neuruppin, był następujący: Powódka była pracownikiem pozwanego. Zatrudniona była na stanowisku asystenta ds. zarządzania biurem, ale posiadała również tytuł naukowy z zakresu biologii.
W ramach rozwiązania stosunku pracy powód zwrócił uwagę pozwanemu, że powód nadal figuruje na stronie internetowej pozwanego, w szczególności jako biolog. Jednocześnie w piśmie wskazano, że wzmianki na stronie internetowej nie miały być już przechowywane, a nadto, że powód zwrócił się do Państwowego Pełnomocnika ds. Ochrony Danych Osobowych po upływie wszystkich wyznaczonych dotychczas terminów.
Na stronie internetowej pozwanego nadal jednak pojawiały się treści dotyczące powódki, w których była ona opisywana jako współpracujący biolog. Powódka zażądała wówczas oświadczenia o zaprzestaniu działalności oraz zadośćuczynienia pieniężnego. Pozwany złożył oświadczenie i zapłacił powódce 150 euro.
Powódka złożyła następnie pozew i domagała się przed sądem 5.000 euro odszkodowania.
Sąd zasądził na rzecz powoda roszczenie w wysokości 1.000 euro (pomniejszone o wypłaconą kwotę) na podstawie art. 82 GDPR. Wymagania art. 82 GDPR (naruszenie GDPR (prawa osoby, której dane dotyczą), wynikająca z tego szkoda i odpowiedzialność) zostały spełnione. Sąd nie uznał za konieczne udowodnienie konkretnej szkody. Kwota została ustalona w oparciu o aktualne orzecznictwo.
Orzeczeniem tym Sąd Pracy w Neuruppin kontynuuje przyjazną dla pracowników interpretację prawa ochrony danych i w imponujący sposób pokazuje wysokie ryzyko dla przedsiębiorstw w przypadku (domniemanych) naruszeń ochrony danych. Szczególnie wybuchowe jest to, że łączna kwota roszczeń odszkodowawczych może szybko wzrosnąć, jeśli naruszenie dotyczy kilku pracowników.
Środki ochronne dla pracodawców
Aby uchronić się przed takimi odszkodowaniami, pracodawcy muszą nie tylko dysponować skuteczną koncepcją usuwania danych, ale także zrównoważonym zarządzaniem prawami osób, których dane dotyczą.
Koncepcja kasowania według DSGVO
GDPR zawiera nie tylko wymogi dotyczące gromadzenia i przechowywania danych, ale także usuwania danych, a nawet czyni to obowiązkowym. W związku z tym właściwe organy nadzorcze również to monitorują. W przypadku naruszeń mogą zostać nałożone wysokie grzywny, przy czym osoba, której dane dotyczą, nie jest powodem.
Przechowywanie danych jest dozwolone tylko przez okres niezbędny do realizacji celu (ograniczenie przechowywania i ograniczenie celu przetwarzania). Administrator danych może wykorzystać koncepcję usuwania danych do określenia zasad dotyczących tego, kiedy jakie dane mają zostać usunięte. Oznacza to, że koncepcja usuwania danych jest zawsze indywidualnie dostosowana do danego administratora. Aby opracować taką koncepcję usuwania danych, konieczna jest dokładna analiza operacji przetwarzania i danych, których to dotyczy.
Należy również zauważyć, że dane są naprawdę usuwane na końcu, tj. uczynione nierozpoznawalnymi.
Zarządzanie prawami osób, których dane dotyczą, zgodnie z GDPR
Prawa osób, których dane dotyczą, zgodnie z GDPR służą zapewnieniu osobom, których dane dotyczą, kontroli nad ich danymi. W przedsiębiorstwie musi istnieć odpowiednia infrastruktura, zwłaszcza w odniesieniu do wniosków o udzielenie informacji. Jeśli wnioski o udzielenie informacji nie są wystarczająco przestrzegane, mogą zostać nałożone grzywny.
Wniosek o udzielenie informacji może okazać się w praktyce bardzo obszerny i skomplikowany. Administrator musi najpierw zidentyfikować osobę, której dane dotyczą, przestrzegać terminów przy udzielaniu odpowiedzi, a także rozważyć zakres wniosku.
Aby trwale to zrealizować, zgodnie z GDPR niezbędne są odpowiednie procesy ochrony danych. Administrator danych powinien być przygotowany na wnioski o udzielenie informacji, zanim dotrze do niego pierwszy z nich. Niezbędne są do tego zarówno możliwości techniczne, jak i kadrowe.
Nasi eksperci chętnie pomogą Ci w tym zakresie!