Dobrze przeprowadzona analiza ryzyka mogłaby pozwolić uniknąć utraty danych

Prezes UODO Mirosław Wróblewski nałożył 33 tys. zł kary na zakład pogrzebowy z Puław, który nie wdrożył odpowiednich organizacyjnych i technicznych zabezpieczeń dla danych osobowych w dokumentach dotyczących pochówku. W efekcie tych zaniedbań doszło do incydentu z utratą danych.

Do tego zakład nie zgłosił tego do Prezesa UODO, choć taki jest obowiązek. Chodzi o to, by dzięki pomocy UODO zminimalizować skutki incydentu dla osób, których utracone dane dotyczą, i wdrożyć odpowiednie postępowanie naprawcze. Teraz w decyzji Prezes UODO zobowiązuje zakład pogrzebowy do wdrożenia w ciągu 30 dni środków minimalizujących zagrożenie dla danych.

Co się stało? W listopadzie 2022 Policja znalazła na poboczu drogi niedaleko Puław 10 pudeł z dokumentami należącymi do zakładu pogrzebowego.  Wśród różnego rodzaju dokumentów dotyczących pochówku były 82 upoważnienia zawierające dane osobowe członków rodzin osób zmarłych. Prokuratura ustaliła, że osoba zatrudniona przez przedsiębiorcę w charakterze żałobnika, na jego polecenie, przewoziła pudła z dokumentami na tzw. odkrytej pace samochodu. I pudła z niej spadły. Pracownik nie zorientował się, że je stracił, bo ich wcześniej nie policzył.

Przed transportem pudła z dokumentami były przechowywane w niezamykanym pomieszczeniu pod schodami w zakładzie pogrzebowym

Dostarczona Prezesowi UODO analiza ryzyka dla danych nie zawierała opisu zagrożeń związanych z bezpieczeństwem przetwarzanych danych osobowych, oceny prawdopodobieństwa wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych ani też skutków wystąpienia zagrożenia dla osób fizycznych, których dane dotyczą.

W toku postępowania przed Prezesem UODO wyszło na jaw, że administrator danych, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyk i środków bezpieczeństwa, które powinien stosować podczas przewożenia i przechowywania dokumentacji papierowej zawierającej dane osobowe.

Gdyby analiza ryzyka była zrobiona poprawnie, do incydentu mogłoby nie dojść.  Gdyby bowiem administrator przeprowadził taką analizę, a ona uwzględniałaby zagrożenia związane z transportem dokumentacji, to mógłby wdrożyć procedurę dotyczącą transportu i cyklicznie sprawdzać, czy jest przestrzegana. To minimalizowałby ryzyko naruszenia ochrony danych osobowych. Oczywiście i wtedy mogłoby dojść do incydentu. Niemniej w takiej sytuacji administrator mógłby wykazać, że przestrzegał RODO.

Administrator nie był w stanie wykazać, że sprawował faktyczny nadzór nad przetwarzaniem danych osobowych w zakładzie pogrzebowym, stosownie do wynikającej z art. 5 ust. 2 rozporządzenia RODO zasady rozliczalności.

Jedyną osobą posiadającą zgodę Administratora na dostęp do danych osobowych był pracownik biurowy, tymczasem transport dokumentów został zlecony innemu pracownikowi.

Naruszenie ochrony danych osobowych, jakie wystąpiło w niniejszej sprawie, wbrew twierdzeniom Administratora skutkuje również ryzykiem naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem. W rozpatrywanym przypadku z danymi osobowymi zawartymi w upoważnieniach: imieniem i nazwiskiem / bądź nazwiskiem oraz numerem i serią dowodu osobistego mogła zapoznać się co najmniej jedna osoba nieuprawniona. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane osobowe możliwe jest zidentyfikowanie podmiotów danych. Należy więc uznać, że negatywne skutki tego mogły się zmaterializować. Nie można więc mówić o znikomym wpływie incydentu na prawa lub wolności osób fizycznych.

Ryzyko dla nich nie jest małe i nie zostało wyeliminowane. Dlatego właśnie Administrator miał obowiązek poinformować o incydencie Prezesa Urzędu Ochrony Danych Osobowych.

DKN.5131.10.2023