Sprawa miała swój początek w listopadzie 2022 roku, kiedy policja znalazła na poboczu drogi niedaleko Puław dziesięć pudeł z dokumentami należącymi do zakładu pogrzebowego. Wśród nich były m.in. 82 upoważnienia zawierające dane osobowe członków rodzin osób zmarłych.
Prokuratura ustaliła, że osoba zatrudniona przez przedsiębiorcę w charakterze żałobnika, na jego polecenie, przewoziła pudła z dokumentami na tzw. odkrytej pace samochodu. I pudła z niej spadły. Pracownik nie zorientował się, że je stracił, bo ich wcześniej nie policzył. Okazało się też, że przed transportem pudła z dokumentami były przechowywane w niezamykanym pomieszczeniu pod schodami w zakładzie pogrzebowym.
Czytaj więcej
W zeszłym roku dziesięciokrotnie wzrosła suma kwot nałożonych kar. Chciałbym, aby do przestrzegania przepisów o ochronie danych osobowych administr...
UODO: Gdyby analiza ryzyka była zrobiona poprawnie, do incydentu mogłoby nie dojść
Jak czytamy w komunikacie, w toku postępowania przed Prezesem Urzędu Ochrony Danych Osobowych wyszło na jaw, że administrator danych, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyk i środków bezpieczeństwa, które powinien stosować podczas przewożenia i przechowywania dokumentacji papierowej zawierającej dane osobowe.
„Gdyby analiza ryzyka była zrobiona poprawnie, do incydentu mogłoby nie dojść. Gdyby bowiem administrator przeprowadził taką analizę, a ona uwzględniałaby zagrożenia związane z transportem dokumentacji, to mógłby wdrożyć procedurę dotyczącą transportu i cyklicznie sprawdzać, czy jest przestrzegana. To minimalizowałby ryzyko naruszenia ochrony danych osobowych. Oczywiście i wtedy mogłoby dojść do incydentu. Niemniej w takiej sytuacji administrator mógłby wykazać, że przestrzegał RODO” - wskazał UODO.
Tymczasem administrator nie był w stanie wykazać, że sprawował faktyczny nadzór nad przetwarzaniem danych osobowych w zakładzie pogrzebowym, stosownie do wynikającej z art. 5 ust. 2 rozporządzenia RODO zasady rozliczalności. Jak zauważono, jedyną osobą posiadającą zgodę administratora na dostęp do danych osobowych był pracownik biurowy, tymczasem transport dokumentów został zlecony innej osobie.
Czytaj więcej
Centrum Medyczne Ujastek z Krakowa ma zapłacić ponad 1,1 mln zł kary za zamontowanie urządzeń rejestrujących obraz w dwóch salach oddziału neonatol...
