Wojewódzki Sąd Administracyjny w Warszawie utrzymał decyzję Prezesa UODO o nałożeniu kary 33 tys. zł na przedsiębiorstwo pogrzebowe za naruszenie przepisów o ochronie danych osobowych. Sprawa dotyczyła zagubienia dokumentów zawierających dane klientów w trakcie transportu, co ujawniło poważne braki w zakresie analizy ryzyka i stosowania odpowiednich zabezpieczeń.
Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II SA/Wa 1026/2) utrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych, nakładającą na przedsiębiorstwo pogrzebowe karę w wysokości 33 tys. zł. Sankcja dotyczyła braku odpowiednich zabezpieczeń technicznych i organizacyjnych oraz niezgłoszenia incydentu naruszenia danych osobowych do organu nadzorczego.
WSA potwierdził, że przedsiębiorca nie przewidział ryzyka związanego z transportem papierowej dokumentacji zawierającej dane klientów, a także nie wdrożył właściwych środków ochrony.
Do naruszenia doszło podczas przewożenia dokumentów na tzw. odkrytej pace samochodu. W trakcie transportu pudła zawierające dane osobowe wypadły, a pracownik – który nie był upoważniony do przetwarzania tych danych – nie zauważył utraty części dokumentacji. Dokumenty odnalazła policja na poboczu drogi.
Ustalono również, że przed transportem dokumenty były przechowywane w niezamykanym pomieszczeniu, co stanowiło dodatkowe naruszenie ustalonych procedur wewnętrznych.
Jak wskazał Prezes UODO, analiza ryzyka przeprowadzona przez przedsiębiorcę nie obejmowała zagrożeń związanych z transportem dokumentacji. Administrator nie uwzględnił prawdopodobieństwa utraty dokumentów ani skutków potencjalnego naruszenia dla osób, których dane dotyczyły.
WSA w pełni podzielił tę ocenę, uznając, że takie zaniechanie stanowi naruszenie obowiązków wynikających z art. 5 i 32 RODO. Sąd podkreślił, że właściwe zidentyfikowanie ryzyk mogłoby zapobiec incydentowi.
Sąd administracyjny uznał, że Prezes UODO prawidłowo ocenił zarówno stopień winy administratora, jak i wysokość kary. W uzasadnieniu wskazano, że przedsiębiorca nie wdrożył procedur faktycznie zapewniających bezpieczeństwo danych, a rozwiązania deklarowane w polityce ochrony danych (np. przechowywanie w zamykanej szafie) nie były stosowane w praktyce.
Dodatkowo transport dokumentów zlecono osobie nieupoważnionej, co pogłębiło naruszenie zasad poufności i odpowiedzialności za dane.
Przeczytaj więcej na temat naruszeń ochrony danych.
Źródło: UODO
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
