Prezes UODO nałożył 33 tys. zł kary na zakład pogrzebowy z Puław, który nie wdrożył odpowiednich organizacyjnych i technicznych zabezpieczeń dla danych osobowych w dokumentach dotyczących pochówku. W efekcie tych zaniedbań doszło do incydentu z utratą danych. Do tego zakład nie zgłosił tego do Prezesa UODO, choć taki jest obowiązek. Prezes UODO zobowiązał zakład pogrzebowy do wdrożenia w ciągu 30 dni środków minimalizujących zagrożenie dla danych.
W listopadzie 2022 r. Policja znalazła na poboczu drogi niedaleko Puław 10 pudeł z dokumentami należącymi do zakładu pogrzebowego. Wśród różnego rodzaju dokumentów dotyczących pochówku były 82 upoważnienia zawierające dane osobowe członków rodzin osób zmarłych. Prokuratura ustaliła, że osoba zatrudniona przez przedsiębiorcę w charakterze żałobnika, na jego polecenie, przewoziła pudła z dokumentami na tzw. odkrytej pace samochodu i pudła z niej spadły. Pracownik nie zorientował się, że je stracił, bo ich wcześniej nie policzył. Przed transportem pudła z dokumentami były przechowywane w niezamykanym pomieszczeniu pod schodami w zakładzie pogrzebowym
Dostarczona Prezesowi UODO analiza ryzyka dla danych nie zawierała opisu zagrożeń związanych z bezpieczeństwem przetwarzanych danych osobowych, oceny prawdopodobieństwa wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych ani też skutków wystąpienia zagrożenia dla osób fizycznych, których dane dotyczą. W toku postępowania przed Prezesem UODO wyszło na jaw, że administrator danych, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyk i środków bezpieczeństwa, które powinien stosować podczas przewożenia i przechowywania dokumentacji papierowej zawierającej dane osobowe.
Dostarczona Prezesowi UODO analiza ryzyka dla danych nie zawierała opisu zagrożeń związanych z bezpieczeństwem przetwarzanych danych osobowych, oceny prawdopodobieństwa wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych ani też skutków wystąpienia zagrożenia dla osób fizycznych, których dane dotyczą.
W toku postępowania przed Prezesem UODO wyszło na jaw, że administrator danych, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyk i środków bezpieczeństwa, które powinien stosować podczas przewożenia i przechowywania dokumentacji papierowej zawierającej dane osobowe.
Gdyby analiza ryzyka była zrobiona poprawnie, do incydentu mogłoby nie dojść. Gdyby bowiem administrator przeprowadził taką analizę, a ona uwzględniałaby zagrożenia związane z transportem dokumentacji, to mógłby wdrożyć procedurę dotyczącą transportu i cyklicznie sprawdzać, czy jest przestrzegana. To minimalizowałby ryzyko naruszenia ochrony danych osobowych. Oczywiście i wtedy mogłoby dojść do incydentu. Niemniej w takiej sytuacji administrator mógłby wykazać, że przestrzegał RODO.
Administrator nie był w stanie wykazać, że sprawował faktyczny nadzór nad przetwarzaniem danych osobowych w zakładzie pogrzebowym, stosownie do wynikającej z art. 5 ust. 2 rozporządzenia RODO zasady rozliczalności. Jedyną osobą posiadającą zgodę Administratora na dostęp do danych osobowych był pracownik biurowy, tymczasem transport dokumentów został zlecony innemu pracownikowi.
Naruszenie ochrony danych osobowych, jakie wystąpiło w niniejszej sprawie, zdaniem UODO wbrew twierdzeniom Administratora skutkuje również ryzykiem naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem. W rozpatrywanym przypadku z danymi osobowymi zawartymi w upoważnieniach: imieniem i nazwiskiem / bądź nazwiskiem oraz numerem i serią dowodu osobistego mogła zapoznać się co najmniej jedna osoba nieuprawniona. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane osobowe możliwe jest zidentyfikowanie podmiotów danych. Należy więc uznać, że negatywne skutki tego mogły się zmaterializować. Nie można więc mówić o znikomym wpływie incydentu na prawa lub wolności osób fizycznych.
Źródło: UODO
