Poważna usterka w systemie obiegu dokumentacji w PLL LOT doprowadziła do upublicznienia danych osobowych członków personelu latającego. W wyniku omyłki, dokumentacja współpracowników została udostępniona innym osobom z ekipy. LOT przyznaje się do incydentu i zapewnia, że wypełnił wszystkie procedury, zgłaszając incydent do organów nadzorczych.
Blisko 300 członków załogi pokładowej otrzymało wiadomości, które w ogóle nie powinny do nich dotrzeć. Zamiast swoich dokumentów, pracownicy obsługi znaleźli w swoich skrzynkach szczegółowe dane dotyczące ich kolegów – czytamy w Wyborcza.biz
Personel pokładowy LOT-u wyraża swoje oburzenie. Po tym, jak akta pracownicze dostały się w niepowołane ręce, próby interwencji u zakładowego inspektora ochrony danych okazały się bezskuteczne. Zamiast wsparcia, natrafiono na automatyczną odpowiedź informującą o jego nieobecności. LOT oświadcza, że formalności zostały spełnione, jednak pracownicy mówią o "uderzaniu głową w mur".
Nie chodziło jedynie o imiona i nazwiska. Ujawniły się arkusze z ocenami rocznymi, które zawierają niezwykle osobiste informacje: oceny od przełożonych, zażalenia od pasażerów, a także wyniki wewnętrznych testów i egzaminów. Są to dane, które wewnątrz przedsiębiorstwa mogą przyczynić się do tworzenia niezdrowej atmosfery lub plotek.
Na przykład, pracownik o nazwisku Kowalski mógł bez trudu zaznajomić się z całą historią zawodową swojej koleżanki. Pracownicy zaczęli wymieniać się danymi i szybko pojęli, że jest to błąd ogólnosystemowy, a nie pojedyncza pomyłka.
Co ciekawe, problem dotknął wyłącznie stewardów i stewardess. Piloci uniknęli tego zamieszania, gdyż ich praca oraz postępy są oceniane przy pomocy całkowicie odmiennego systemu i innych formularzy.
Marcin Zadorecki, kierownik personelu pokładowego w LOT, potwierdził zajście w wewnętrznej komunikacji. Wyjaśnił, że winna była aplikacja do automatycznego rozsyłania raportów. Pomimo, że wysyłka została wstrzymana bezzwłocznie po wykryciu usterki, dla wielu było już za późno.
Dyrektor przyznał, że LOT usiłował zdalnie usunąć te wiadomości e-mail ze skrzynek pracowników, jednak część osób zdążyła już otworzyć i przeczytać poufne raporty swoich kolegów. Spółka oficjalnie potwierdziła, że zdarzenie miało miejsce i wszczęto procedury wyjaśniające.
Niemniej jednak, wystąpił problem w komunikacji. LOT twierdził, że zgłosił sprawę do Urzędu Ochrony Danych Osobowych, lecz Urząd odparł, że nie otrzymał żadnego powiadomienia od tych linii. Wyjaśnienie tego paradoksu znajduje się w strukturze właścicielskiej firmy.
Okazuje się, że LOT nie uważa się za administratora danych personelu, ponieważ formalnie go nie zatrudnia. Załogi latające w barwach narodowego przewoźnika są podwykonawcami zatrudnionymi przez spółki-córki. To te mniejsze podmioty, a nie główny LOT, miały prawny obowiązek poinformować UODO o wycieku.
Informatorzy podkreślają absurd ich sytuacji – formalnie są niezależnymi przedsiębiorcami na kontraktach B2B, lecz w ocenach pracowniczych (które właśnie wyciekły) rozlicza się ich z takich szczegółów, jak zgodność ubioru z regulaminem.
Mogli zapobiec wyciekowi jednym SMS-em
Gabriela Nowińska, specjalistka od RODO, zauważa, że wycieku można było uniknąć przy użyciu banalnie prostych metod. Wystarczyłoby dodatkowe zaszyfrowanie plików, na przykład zabezpieczenie ich hasłem wysyłanym SMS-em. Gdyby pliki były zaszyfrowane, błąd w adresie e-mail nie zakończyłby się ujawnieniem danych. Eksperci przypominają, że pracodawcy gromadzą o nas olbrzymią wiedzę i każda luka w zabezpieczeniach to ogromne ryzyko.
Osoby, których prywatne dane (skargi, rezultaty testów, numery PESEL) wyciekły, mają prawo dochodzić swoich praw w sądzie cywilnym. Odwołując się do art. 82 RODO, każdy, kto czuje się poszkodowany – czy to finansowo, czy po prostu emocjonalnie (uszczerbek niematerialny, np. stres lub utrata zaufania w miejscu pracy) – może domagać się rekompensaty bezpośrednio od firmy, która zawiniła – czytamy dalej w Wyborcza.biz
oprac. WM