Jak doszło do wycieku?
Historia brzmi jak czarny humor, ale dla klientów zakładu pogrzebowego to poważna sprawa. Pracownik wyznaczony do transportu dokumentacji przewoził pudła z danymi osobowymi na otwartej pace samochodu. Część z nich spadła podczas jazdy. Po rozładunku nikt się nie zorientował, że czegoś brakuje – bo wcześniej nikt pudeł nie policzył.
Dokumenty dotyczące pochówków – zawierające dane osobowe klientów, w tym informacje wrażliwe – znalazła przypadkiem policja. Prokuratura ustaliła szczegóły, a sprawa trafiła do Prezesa Urzędu Ochrony Danych Osobowych.
Kara za brak procedur i brak zgłoszenia
Prezes UODO Mirosław Wróblewski nałożył na przedsiębiorstwo pogrzebowe łącznie 33 tys. zł kary. Powody były dwa: brak odpowiednich zabezpieczeń organizacyjnych i technicznych oraz niezgłoszenie incydentu organowi nadzorczemu.
Co istotne, analiza ryzyka przedłożona przez firmę w ogóle nie uwzględniała zagrożeń związanych z transportem dokumentów. Nikt nie pomyślał, że przewożenie papierowych akt może wiązać się z ryzykiem ich utraty. Nikt nie ocenił prawdopodobieństwa takiego zdarzenia ani potencjalnych skutków dla osób, których dane dotyczą.
Gdyby firma przeprowadziła rzetelną analizę ryzyka, mogłaby wdrożyć proste zabezpieczenia: zamknięte pojemniki, transport w kabinie, lista kontrolna przed i po rozładunku. Zamiast tego dokumenty leżały pod schodami w niezamykanym pomieszczeniu, a potem jechały na odkrytej pace.
WSA potwierdza: kara słuszna
Przedsiębiorstwo odwołało się od decyzji UODO, ale Wojewódzki Sąd Administracyjny w Warszawie nie miał wątpliwości. Sąd uznał, że Prezes UODO poprawnie ocenił sytuację: administrator nie przewidział ryzyka i nie wdrożył odpowiednich środków bezpieczeństwa.
Co więcej, sąd zwrócił uwagę na jeszcze jeden problem. Firma twierdziła, że dokumenty były przechowywane w zamkniętej szafie w zamykanym pomieszczeniu. W praktyce jednak procedury wewnętrzne nie były stosowane – akta leżały pod schodami, a transport zlecono pracownikowi, który w ogóle nie miał dostępu do danych osobowych. Był zatrudniony jako żałobnik, nie jako pracownik biurowy.
WSA podkreślił, że Prezes UODO zastosował poprawną metodologię ustalania wymiaru kary i rzetelnie uzasadnił rozstrzygnięcie. Wyrok jest prawomocny.
Lekcja dla wszystkich administratorów danych
Ta sprawa to podręcznikowy przykład tego, jak nie chronić danych osobowych. I przestroga dla firm, które myślą, że RODO dotyczy tylko komputerów i serwerów.
Dokumenty papierowe podlegają tym samym zasadom ochrony co dane cyfrowe. Transport, przechowywanie, dostęp – wszystko musi być objęte analizą ryzyka. A kary za naruszenie RODO mogą być bolesne nawet dla małych firm.
33 tys. zł to dla zakładu pogrzebowego poważna kwota. Ale prawdziwy koszt to utrata zaufania klientów, którzy powierzyli firmie dane w najtrudniejszym momencie życia – przy pożegnaniu bliskiej osoby.
Co powinna zrobić każda firma?
Po pierwsze, analiza ryzyka musi obejmować wszystkie scenariusze – także te „oczywiste", jak transport dokumentów. Po drugie, procedury wewnętrzne muszą być stosowane w praktyce, nie tylko opisane na papierze. Po trzecie, dostęp do danych osobowych powinni mieć tylko upoważnieni pracownicy. Po czwarte, każdy incydent trzeba zgłosić do UODO w ciągu 72 godzin – nawet jeśli wydaje się błahy.
Przedsiębiorstwo pogrzebowe zapłaci 33 tys. zł za to, że ktoś nie pomyślał o zamknięciu pudeł. Droga lekcja z RODO.
Obserwuj nas w Google Discover
Podobają Ci się nasze treści?
Google Discover
