UODO (Pologne) 6 juin 2022
Alertée par la préfecture de police, l’autorité de contrôle polonaise a effectué un contrôle auprès d’un employeur suspecté de ne pas avoir respecté, vis-à-vis de ses salariés, la réglementation relative à la protection des données à caractère personnel.
Effectivement, au cours de son enquête, l’autorité de contrôle a constaté que l’employeur avait perdu un certificat de travail, élément faisant partie du dossier personnel des employés et contenant de nombreuses données personnelles.
L’employeur n’avait pas notifié la violation à l’autorité de contrôle, considérant que l’incident ne « constituait pas une violation de données à caractère personnel, car ne comportait aucun risque de violation des droits ou libertés » du salarié, en dépit du grand nombre de données personnelles et du fait que le document n’a jamais été retrouvé.
Rappelant la définition d’une « violation de données à caractère personnel » de l’article 4 du RGPD ainsi que l’obligation de notification lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques (article 33), l’autorité de contrôle polonaise a considéré que la perte en question était, de part la nature du document perdu, une violation de données, et qu’ainsi l’employeur avait manqué à l’obligation prévue à l’article 33 en s’abstenant de notifier la violation à l’autorité de contrôle dans les 72 heures après avoir pris connaissance de l’existence de la violation.
Compte tenu de ce qui précède, l’autorité de contrôle a infligé à l’employeur une amende d’un montant de 3400 euros.
Lien vers la décision : ici
