Zakład pogrzebowy ukarany za brak ochrony danych
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył 33 tys. złotych kary na zakład pogrzebowy z Puław. Powodem był brak wdrożenia odpowiednich organizacyjnych i technicznych zabezpieczeń dla danych osobowych w dokumentach dotyczących pochówku. W efekcie tych zaniedbań doszło do incydentu z utratą danych. Przedsiębiorca, mimo obowiązku, nie zgłosił problemu urzędowi.
W listopadzie 2022 r. policja znalazła na poboczu drogi niedaleko Puław 10 pudeł z dokumentami należącymi do zakładu pogrzebowego. Wśród różnego rodzaju treści dotyczących pochówku były 82 upoważnienia zawierające dane osobowe członków rodzin osób zmarłych. Prokuratura ustaliła, że osoba zatrudniona przez przedsiębiorcę w charakterze żałobnika, na jego polecenie, przewoziła pudła z dokumentami na tzw. odkrytej pace samochodu. I pudła z niej spadły. Pracownik nie zorientował się, że je stracił, bo ich wcześniej nie policzył. Przed transportem pudła z dokumentami były przechowywane w niezamykanym pomieszczeniu pod schodami w zakładzie pogrzebowym
Dostarczona prezesowi UODO analiza ryzyka dla danych nie zawierała opisu zagrożeń związanych z bezpieczeństwem przetwarzanych danych osobowych, oceny prawdopodobieństwa wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych ani też skutków wystąpienia zagrożenia dla osób fizycznych, których dane dotyczą.
Zaniedbania administratora danych
W toku postępowania przed prezesem UODO wyszło na jaw, że administrator danych, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyk i środków bezpieczeństwa, które powinien stosować podczas przewożenia i przechowywania dokumentacji papierowej zawierającej dane osobowe.
Gdyby analiza ryzyka była zrobiona poprawnie, do incydentu mogłoby nie dojść. Gdyby bowiem administrator przeprowadził taką analizę, a ona uwzględniałaby zagrożenia związane z transportem dokumentacji, to mógłby wdrożyć procedurę dotyczącą transportu i cyklicznie sprawdzać, czy jest przestrzegana. To minimalizowałby ryzyko naruszenia ochrony danych osobowych. Oczywiście i wtedy mogłoby dojść do incydentu. Niemniej w takiej sytuacji administrator mógłby wykazać, że przestrzegał RODO.
Zobacz również: Poradnik UODO o naruszeniach ochrony danych osobowych
Administrator nie był w stanie wykazać, że sprawował faktyczny nadzór nad przetwarzaniem danych osobowych w zakładzie pogrzebowym, stosownie do wynikającej z art. 5 ust. 2 rozporządzenia RODO zasady rozliczalności. Okazało, że jedyną osobą posiadającą zgodę administratora na dostęp do danych osobowych był pracownik biurowy, tymczasem transport dokumentów został zlecony innemu pracownikowi.
- Naruszenie ochrony danych osobowych, jakie wystąpiło w niniejszej sprawie, wbrew twierdzeniom Administratora skutkuje również ryzykiem naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem - podkreśla prezes UODO. Dodaje, że w rozpatrywanym przypadku z danymi osobowymi zawartymi w upoważnieniach: imieniem i nazwiskiem / bądź nazwiskiem oraz numerem i serią dowodu osobistego mogła zapoznać się co najmniej jedna osoba nieuprawniona. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane osobowe możliwe jest zidentyfikowanie podmiotów danych. Należy więc uznać, że negatywne skutki tego mogły się zmaterializować. Nie można więc mówić o znikomym wpływie incydentu na prawa lub wolności osób fizycznych. - Ryzyko dla nich nie jest małe i nie zostało wyeliminowane. Dlatego właśnie administrator miał obowiązek poinformować o incydencie prezesa Urzędu Ochrony Danych Osobowych.
