W grudniu 2021 r. sąd pracy w Neuruppin nakazał pracodawcy wypłatę odszkodowania w wysokości 1000 euro na rzecz byłego pracownika na podstawie art. 82 GDPR. Powodem było to, że były pracownik był nadal wymieniany przez pracodawcę na jego stronie internetowej po zakończeniu stosunku pracy.

Można było tego uniknąć dzięki skutecznej koncepcji usuwania danych i zrównoważonemu zarządzaniu prawami osób, których dane dotyczą. O tym, co należy wiedzieć, można dowiedzieć się tutaj.

Sprawa - odszkodowanie na podstawie art. 82 GDPR

Stan faktyczny sprawy, którą musiał rozstrzygnąć Sąd Pracy w Neuruppin, był następujący: Powódka była pracownikiem pozwanego. Zatrudniona była na stanowisku asystenta ds. zarządzania biurem, ale posiadała również tytuł naukowy z zakresu biologii.

W ramach rozwiązania stosunku pracy powód zwrócił uwagę pozwanemu, że powód nadal figuruje na stronie internetowej pozwanego, w szczególności jako biolog. Jednocześnie w piśmie wskazano, że wzmianki na stronie internetowej nie miały być już przechowywane, a nadto, że powód zwrócił się do Państwowego Pełnomocnika ds. Ochrony Danych Osobowych po upływie wszystkich wyznaczonych dotychczas terminów.

Na stronie internetowej pozwanego nadal jednak pojawiały się treści dotyczące powódki, w których była ona opisywana jako współpracujący biolog. Powódka zażądała wówczas oświadczenia o zaprzestaniu działalności oraz zadośćuczynienia pieniężnego. Pozwany złożył oświadczenie i zapłacił powódce 150 euro.

Powódka złożyła następnie pozew i domagała się przed sądem 5.000 euro odszkodowania.

Sąd zasądził na rzecz powoda roszczenie w wysokości 1.000 euro (pomniejszone o wypłaconą kwotę) na podstawie art. 82 GDPR. Wymagania art. 82 GDPR (naruszenie GDPR (prawa osoby, której dane dotyczą), wynikająca z tego szkoda i odpowiedzialność) zostały spełnione. Sąd nie uznał za konieczne udowodnienie konkretnej szkody. Kwota została ustalona w oparciu o aktualne orzecznictwo.

Sąd Pracy w Neuruppin kontynuuje ten temat Orzeczenie na korzyść przyjaznej dla pracowników interpretacji przepisów o ochronie danych osobowych przez sądy pracy i imponująco pokazuje wysokie ryzyko dla firm, jeśli chodzi o (domniemane) naruszenia ochrony danych. Szczególnie wybuchowy jest fakt, że łączna kwota roszczeń odszkodowawczych może szybko wzrosnąć, jeśli naruszenie dotyczy kilku pracowników.

Środki ochronne dla pracodawców

Aby uchronić się przed takimi odszkodowaniami, pracodawcy muszą nie tylko dysponować skuteczną koncepcją usuwania danych, ale także zrównoważonym zarządzaniem prawami osób, których dane dotyczą.

Koncepcja kasowania według DSGVO

RODO zawiera nie tylko wymogi dotyczące gromadzenia i przechowywania danych, ale także ich usuwania, a nawet czyni to obowiązkowym. Jest to również monitorowane przez odpowiedzialne organy nadzorcze. W przypadku naruszeń, nawet bez osób, których dane dotyczą, jako powodów Wysokie grzywny.

Przechowywanie danych jest dozwolone tylko przez okres niezbędny do realizacji celu (ograniczenie przechowywania i ograniczenie celu przetwarzania). Administrator danych może wykorzystać koncepcję usuwania danych do określenia zasad dotyczących tego, kiedy jakie dane mają zostać usunięte. Oznacza to, że koncepcja usuwania danych jest zawsze indywidualnie dostosowana do danego administratora. Aby opracować taką koncepcję usuwania danych, konieczna jest dokładna analiza operacji przetwarzania i danych, których to dotyczy.

Należy również zauważyć, że dane są naprawdę usuwane na końcu, tj. uczynione nierozpoznawalnymi.

Zarządzanie prawami osób, których dane dotyczą, zgodnie z GDPR

Na stronie Prawa osób, których dane dotyczą na mocy RODO służyć zapewnieniu osobom, których dane dotyczą, kontroli nad ich danymi. W firmie musi istnieć odpowiednia infrastruktura, szczególnie w odniesieniu do wniosków o udzielenie informacji. Jeśli wnioski o udzielenie informacji nie zostaną spełnione w wystarczającym stopniu, również w tym przypadku mogą zostać nałożone grzywny.

Wniosek o udzielenie informacji może okazać się w praktyce bardzo obszerny i skomplikowany. Administrator musi najpierw zidentyfikować osobę, której dane dotyczą, przestrzegać terminów przy udzielaniu odpowiedzi, a także rozważyć zakres wniosku.

Aby trwale to zrealizować, zgodnie z GDPR niezbędne są odpowiednie procesy ochrony danych. Administrator danych powinien być przygotowany na wnioski o udzielenie informacji, zanim dotrze do niego pierwszy z nich. Niezbędne są do tego zarówno możliwości techniczne, jak i kadrowe.

Nasi eksperci chętnie pomogą Ci w tym zakresie!

DSB buchen
pl_PLPolski