Ujawnienie danych osobowych na poboczu drogi, brak odpowiednich zabezpieczeń oraz niezgłoszenie incydentu do Urzędu Ochrony Danych Osobowych – to tylko niektóre z poważnych uchybień, jakich dopuścił się zakład pogrzebowy z Puław. Efektem była wysoka kara administracyjna w wysokości 33 tys. zł nałożona przez Prezesa UODO. Sprawa ta pokazuje, jak kosztowne mogą być błędy wynikające z braku analizy ryzyka oraz niewdrożenia procedur zapewniających bezpieczeństwo danych osobowych.
W listopadzie 2022 roku Policja znalazła na poboczu drogi w okolicach Puław 10 pudeł z dokumentacją pochodzącą z zakładu pogrzebowego. Wśród nich znajdowały się m.in. 82 upoważnienia zawierające dane osobowe członków rodzin osób zmarłych – w tym imię, nazwisko, a także numer i serię dowodu osobistego.
Prokuratura ustaliła, że pudła przewoził pracownik zakładu zatrudniony w charakterze żałobnika, który nie sprawdził liczby dokumentów przed transportem. Co więcej, pudła były przewożone na odkrytej pace samochodu i spadły w trakcie jazdy. Przed transportem były przechowywane w niezamykanym pomieszczeniu pod schodami.
Administrator danych nie zgłosił incydentu Prezesowi UODO, mimo że ciążył na nim taki obowiązek wynikający z RODO. Zgłoszenie mogłoby pomóc w ograniczeniu skutków naruszenia danych osobowych i wdrożeniu działań naprawczych. Prezes UODO w swojej decyzji zobowiązał zakład do podjęcia środków minimalizujących ryzyko dla danych w ciągu 30 dni.
Przedłożona UODO analiza ryzyka nie zawierała:
opisu zagrożeń związanych z bezpieczeństwem danych osobowych,
oceny prawdopodobieństwa wystąpienia incydentu,
opisu skutków potencjalnych zagrożeń dla osób fizycznych, których dane dotyczą.
W toku postępowania wyszło również na jaw, że administrator danych nie przewidział ryzyk związanych z transportem i przechowywaniem dokumentacji papierowej. Nie opracowano ani nie wdrożono żadnych procedur w tym zakresie.
Prawidłowo przeprowadzona analiza ryzyka mogła pomóc uniknąć naruszenia ochrony danych osobowych. Gdyby administrator przewidział zagrożenia związane z transportem dokumentacji, mógłby wdrożyć odpowiednie środki – np. procedury i kontrole cykliczne – które ograniczyłyby ryzyko utraty danych osobowych.
Brak takich działań świadczy o naruszeniu zasady rozliczalności wynikającej z art. 5 ust. 2 RODO, ponieważ administrator nie był w stanie wykazać, że sprawuje nadzór nad przetwarzaniem danych w zakładzie.
W zakładzie pogrzebowym jedynie pracownik biurowy miał zgodę administratora na dostęp do danych osobowych. Tymczasem transport powierzono innemu pracownikowi, co stanowiło naruszenie zasad ochrony danych.
Incydent skutkował ujawnieniem danych osobowych co najmniej jednej osobie nieuprawnionej, co może prowadzić do identyfikacji osób, których dane dotyczą, i naruszenia ich praw lub wolności. Tym samym nie można mówić o incydencie o znikomym wpływie – ryzyko naruszenia było realne i wymagało zgłoszenia.
Wnioski dla administratorów danych:
Sprawa zakładu pogrzebowego z Puław jest kolejnym dowodem na to, jak ważne jest:
prowadzenie rzetelnej analizy ryzyka,
wdrażanie procedur minimalizujących ryzyko utraty danych osobowych,
zapewnienie bezpieczeństwa danych również w przypadku dokumentacji papierowej,
zgłaszanie każdego naruszenia danych osobowych do UODO zgodnie z wymogami RODO.
www.uodo.gov.pl, DKN.5131.10.2023
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
