W listopadzie 2022 roku policja znalazła na poboczu drogi dokumenty zawierające dane osobowe (imię i nazwisku, numer i seria dowodu) pozwalające na jednoznaczną identyfikację konkretnych osób. Dokumenty należały do przedsiębiorstwa pogrzebowego działającego w Puławach. 

Pudła wypadły z paki, kierowca się nie zorientował

Prokuratura ustaliła, że pracownik wyznaczony przez przedsiębiorcę przewoził pudła z dokumentami na tzw. odkrytej pace samochodu, z której spadły w trakcie jazdy. Nawet po rozładunku   pracownik nie zorientował się, że stracił część dokumentów z danymi osobowymi klientów zakładu pogrzebowego, ponieważ nie policzył ich przed podróżą.

Czytaj więcej

Policja upubliczniła dane kobiety po aborcji. Komendant słono zapłaci
Dane osobowe
Policja upubliczniła dane kobiety po aborcji. Komendant słono zapłaci

Ujawnione nieprawidłowości nie ograniczały się zresztą do zgubienia dokumentów. Okazało się, że przed transportem pudła były przechowywane niezgodnie z ustalonymi wewnętrznymi procedurami -  w niezamykanym pomieszczeniu pod schodami w lokalu przedsiębiorstwa pogrzebowego.  

Większość zarzutów Prezesa UODO pod adresem administratora, czyli przedsiębiorstwa pogrzebowego, dotyczyło analizy ryzyka przedłożonej organowi po incydencie. Nie zawierała ona kluczowych elementów, jak np. ocena prawdopodobieństwa wystąpienia zdarzeń stwarzających ryzyko dla bezpieczeństwa danych. W dokumentacji administratora brakowało również analiz i procedur związanych z zarządzaniem ryzykiem w transporcie dokumentacji papierowej zawierającej dane osobowe. Zdaniem PUODO, administrator nie było w stanie wykazać, że sprawuje rzeczywisty nadzór nad procesami przetwarzania danych.

Kara za lekceważenie RODO

Prezes UODO Mirosław Wróblewski nałożył na przedsiębiorstwo pogrzebowe łącznie 33 tys. zł kary za brak odpowiednich organizacyjnych i technicznych zabezpieczeń danych osobowych zawartych w dokumentach dotyczących pochówku oraz za brak zgłoszenia organowi nadzorczemu incydentu naruszenia ochrony danych osobowych. 

Czytaj więcej

„Pokaż żonkę”. Jest donos do prokuratury ws. zdjęć nagich Polek
Dane osobowe
„Pokaż żonkę”. Jest donos do prokuratury ws. zdjęć nagich Polek

Puławska firma odwołała się od decyzji PUODO, lecz WSA w Warszawie potwierdził prawidłowość toku rozumowania organu nadzorczego i podtrzymał decyzję o nałożeniu kary. Zdaniem sądu, Prezes UODO poprawnie uznał, że administrator, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyka i w konsekwencji nie wdrożył odpowiednich środków bezpieczeństwa, które powinien zastosować podczas przewożenia dokumentacji papierowej zawierającej dane osobowe. Ponadto inny środek bezpieczeństwa, wskazany przez przedsiębiorcę w piśmie z 21 marca 2023 r. (tzn. przechowywanie dokumentów w zamkniętej szafie znajdującej się w zamykanym pomieszczeniu), w praktyce nie był stosowany. Jedyną osobą posiadającą zgodę administratora na dostęp do danych osobowych był pracownik biurowy, a tymczasem transport dokumentów został zlecony innemu pracownikowi zatrudnionemu w charakterze żałobnika.

Wyrok WSA nie jest prawomocny. Przedsiębiorstwu pogrzebowemu przysługuje skarga kasacyjna do NSA.

sygn. akt II SA/Wa 1026/2