Około 300 osób z personelu pokładowego otrzymało wiadomości, które nigdy nie powinny do nich trafić. Zamiast własnych dokumentów, stewardzi znaleźli w skrzynkach szczegółowe raporty dotyczące ich współpracowników - czytamy w Wyborcza.biz
Personel pokładowy LOT-u jest zbulwersowany. Po tym, jak dokumentacja pracownicza trafiła w niepowołane ręce, próby interwencji u firmowego inspektora RODO spełzły na niczym. Zamiast pomocy, zastano automatyczną sekretarkę z informacją o wolnym. LOT zapewnia, że procedury dopełniono, ale pracownicy mówią o "odbijaniu się od ściany".
Przykładowo, pracownik o nazwisku Kowalski mógł bez problemu zapoznać się z pełną historią zawodową swojej koleżanki. Pracownicy zaczęli wymieniać się informacjami i szybko zrozumieli, że to błąd systemowy, a nie jednostkowa pomyłka.
Co ciekawe, problem dotknął wyłącznie stewardów i stewardessy. Piloci uniknęli tego zamieszania, ponieważ ich praca i postępy są oceniane za pomocą zupełnie innego systemu oraz innych arkuszy.
Marcin Zadorecki, szef personelu pokładowego w LOT, potwierdził incydent w wewnętrznej korespondencji. Wyjaśnił, że zawiniła aplikacja do automatycznego rozsyłania raportów. Choć wysyłkę wstrzymano natychmiast po wykryciu awarii, dla wielu było już za późno.
Dyrektor przyznał, że LOT próbował zdalnie usuwać te maile ze skrzynek pracowników, ale część osób zdążyła już otworzyć i przeczytać poufne raporty swoich kolegów. Firma oficjalnie potwierdziła, że incydent miał miejsce i uruchomiono procedury wyjaśniające.
Pojawił się jednak zgrzyt komunikacyjny. LOT twierdził, że zgłosił sprawę do Urzędu Ochrony Danych Osobowych, ale Urząd odpowiedział, że żadnego zgłoszenia od tej linii nie otrzymał. Wyjaśnienie tego paradoksu kryje się w strukturze własnościowej firmy.
Okazuje się, że LOT nie czuje się administratorem danych personelu, bo formalnie ich nie zatrudnia. Załogi latające w barwach narodowego przewoźnika są podwykonawcami zatrudnionymi przez spółki-córki. To te mniejsze podmioty, a nie główny LOT, miały prawny obowiązek poinformować UODO o wycieku.
Informatorzy podkreślają absurd swojej sytuacji - formalnie są niezależnymi przedsiębiorcami na kontraktach B2B, ale w ocenach pracowniczych (które właśnie wyciekły) rozlicza się ich z takich detali jak regulaminowy ubiór.
Mogli uniknąć wycieku jednym SMS-em
Gabriela Nowińska, ekspertka od RODO, punktuje, że wycieku można było uniknąć banalnie prostymi metodami. Wystarczyłoby dodatkowe szyfrowanie plików, np. zabezpieczenie ich hasłem wysyłanym SMS-em. Gdyby pliki były zaszyfrowane, pomyłka w adresie e-mail nie skończyłaby się ujawnieniem danych. Specjaliści przypominają, że pracodawcy gromadzą o nas gigantyczną wiedzę i każdy błąd w zabezpieczeniach to ogromne ryzyko.
Osoby, których prywatne dane (skargi, wyniki testów, PESEL-e) wyciekły, mają prawo walczyć o swoje interesy w sądzie cywilnym. Powołując się na art. 82 RODO, każdy, kto poczuł się pokrzywdzony - czy to finansowo, czy po prostu psychicznie (szkoda niemajątkowa, np. stres lub utrata zaufania w pracy) - może żądać odszkodowania bezpośrednio od firmy, która zawiniła - czytamy dalej w Wyborcza.biz
oprac. WM
