Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę w wysokości 33 tys. zł na zakład pogrzebowy z Puław za naruszenie przepisów RODO. Sprawa wyszła na jaw w listopadzie 2022 roku, gdy policja znalazła na poboczu drogi dziesięć pudeł z dokumentami należącymi do przedsiębiorcy. Wśród nich były m.in. 82 upoważnienia zawierające dane osobowe członków rodzin osób zmarłych.
Jak doszło do wycieku danych?
Śledztwo wykazało, że pracownik zatrudniony w charakterze żałobnika, na polecenie pracodawcy, przewoził pudła z dokumentami na odkrytej pace samochodu. W trakcie transportu paczki wypadły, a pracownik nie zorientował się, że je zgubił, ponieważ nie sprawdził ich liczby przed wyjazdem.
Co więcej, okazało się, że przed transportem dokumenty były przechowywane w niezamykanym pomieszczeniu pod schodami w zakładzie pogrzebowym. To poważne zaniedbanie w zakresie ochrony danych osobowych.
UODO: Brak analizy ryzyka doprowadził do incydentu
W komunikacie UODO podkreślono, że administrator danych nie przeprowadził odpowiedniej analizy ryzyka, która mogłaby zapobiec incydentowi:
„Gdyby analiza ryzyka była zrobiona poprawnie, do incydentu mogłoby nie dojść. Gdyby bowiem administrator przeprowadził taką analizę, a ona uwzględniałaby zagrożenia związane z transportem dokumentacji, to mógłby wdrożyć procedurę dotyczącą transportu i cyklicznie sprawdzać, czy jest przestrzegana. To minimalizowałoby ryzyko naruszenia ochrony danych osobowych. Oczywiście i wtedy mogłoby dojść do incydentu. Niemniej w takiej sytuacji administrator mógłby wykazać, że przestrzegał RODO” – wskazał Urząd.
Ponadto przedsiębiorca nie mógł udowodnić, że sprawował faktyczny nadzór nad przetwarzaniem danych, co narusza zasadę rozliczalności (art. 5 ust. 2 RODO). Okazało się, że jedyną osobą upoważnioną do dostępu do danych był pracownik biurowy, jednak transport zlecono komuś innemu, co dodatkowo pogłębiło problem.
Wnioski dla przedsiębiorców
Sprawa ta pokazuje, jak ważne jest:
- prawidłowe zabezpieczanie dokumentów – zarówno w miejscu przechowywania, jak i podczas transportu,
- regularne analizy ryzyka i wdrażanie odpowiednich procedur,
- nadzór nad osobami mającymi dostęp do danych – zgodnie z zasadą rozliczalności.
Naruszenia RODO mogą prowadzić nie tylko do wysokich kar, ale także utraty zaufania klientów. W przypadku podmiotów takich jak zakłady pogrzebowe, gdzie przetwarzane są wrażliwe dane, odpowiednie zabezpieczenia są szczególnie istotne.
Czy Twoja firma jest przygotowana na podobne zagrożenia?
