Kohl Investments SA zajmuje się projektowaniem, produkcją i dystrybucją odzieży. Spółka zatrudnia niemal 1100 osób. Przy prowadzeniu tak dużego przedsiębiorstwa szczególnie istotne jest to, aby zapewnić wysoki poziom bezpieczeństwa danych osobowych pracowników, w tym zwłaszcza przetwarzanych przy okazji procesów rekrutacyjnych. Procesy te bowiem w sposób znaczący ingerują w prywatność zarówno obecnych, jak i potencjalnych pracowników.
Sławomir Rak, członek zarządu Kohl Investments SA, spotkał się z Olgą Dobosz, dyrektor ds. kadr i płac, i Łukaszem Zawiślakiem, prawnikiem, w celu omówienia sposobu dalszego postępowania w sprawie incydentu, który miał miejsce kilka dni wcześniej. Asystentka pani dyrektor, Joanna Braś, miała za zadanie przygotować formularze potrzebne do zgłoszenia na szkolenia BHP trzydziestu nowo zatrudnionych pracowników, a także uporządkować dokumentację, jaka została zgromadzona podczas zakończonego procesu rekrutacyjnego, w którym brało udział ponad stu kandydatów. Wspomniane formularze zawierały ich dane osobowe, tj. imię, nazwisko, datę i miejsce urodzenia, stanowisko, nazwę pracodawcy oraz termin rozpoczęcia pracy. Asystentka w ostatnim czasie miała bardzo dużo pracy, gdyż proces rekrutacyjny spółka prowadziła we własnym zakresie, bez wsparcia rekruterów zewnętrznych. Chciała dokończyć przygotowanie formularzy w domu (gdyż wiedziała, że bez nich nie będzie możliwe przeprowadzenie szkolenia), postanowiła więc zgrać robocze wersje dokumentów na niezaszyfrowany przenośny dysk zewnętrzny, który pospiesznie wrzuciła do torebki i opuściła miejsce pracy. Zabrała też ze sobą segregator z dokumentacją rekrutacyjną z nadzieją, że w jej porządkowaniu pomoże jej siostra. W domu zorientowała się jednak, że w torebce nie ma nośnika z danymi. Poprosiła więc siostrę o zajęcie się dokumentacją kandydatów odrzuconych w procesie rekrutacyjnym, sama natomiast wróciła do pracy w nadziei, że jednak dysk pozostał na biurku. Niestety dysku nie było. Po powrocie do domu siostra powiedziała jej, że dzwoniła do kilku osób, których numery telefonów były podane w formularzach rekrutacyjnych, proponując im zatrudnienie u swojego pracodawcy. Jednocześnie wyraziła zdziwienie, jak można było odrzucić tak doświadczone zawodowo osoby. Po dwóch dniach asystentka poinformowała dyrektor ds. kadr i płac o zaistniałej sytuacji, gdyż dysk się nie znalazł, a zbliżała się inwentaryzacja. Co więcej, dwie osoby, które uczestniczyły w procesie rekrutacyjnym, zgłosiły się do spółki z pretensjami, jak ich dane mogły zostać ujawnione zupełnie innej firmie, do której nie aplikowali. Niedoszli pracownicy grozili spółce zawiadomieniem organów ścigania.
W pierwszej części spotkania omówiono sposoby możliwie jak najszybszego rozwiązania tej kłopotliwej sytuacji (na gruncie obecnie obowiązujących przepisów – m.in. wypłatę ewentualnych rekompensat dla kandydatów). W trakcie rozmowy niepokój Sławomira Raka i Olgi Dobosz wzbudziło jednak to, co by było, gdyby incydent z dyskiem miał miejsce w chwili, gdy w Polsce będzie już stosowane RODO i nowe przepisy ustawowe o ochronie danych (obecnie na etapie projektu). Kwestie te zostały poruszone w drugiej części spotkania.