Podstawa prawna naruszenia

Art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1, 2, art. 33 ust. 1 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Główną przyczyną naruszenia była brakująca analiza ryzyka i niewystarczające środki techniczne i organizacyjne. Zakład pogrzebowy nie przewidział ryzyk związanych z fizycznym transportem dokumentów, przechowywał je w niezamkniętym pomieszczeniu i nie wprowadził jasnych procedur kontrolnych. Dodatkowo zlekceważył obowiązek zgłoszenia incydentu UODO, co zwiększyło wymiar kary.

Opis wydarzeń

1. Zagubione pudła z dokumentami: 12 listopada 2022 r. Policja znalazła na poboczu drogi ok. 10 pudeł z dokumentami należącymi do zakładu pogrzebowego. Wśród nich było 82 upoważnienia zawierające imiona, nazwiska oraz serie i numery dowodów osobistych krewnych osób zmarłych.

2. Brak kontroli nad przewozem: Pracownik zatrudniony jako żałobnik wyniósł pudła z niezamkniętego pomieszczenia pod schodami i przewoził je na odkrytej pace samochodu, przykryte jedynie plandeką. Przed transportem nie policzył pudeł, więc nie zauważył, że część z nich wypadła.

3. Nieodpowiednie przechowywanie: Dokumenty przed transportem były przechowywane w otwartym pomieszczeniu, mimo że deklarowano przechowywanie w zamykanej szafie. Brak procedury transportu oznaczał, że nikt nie nadzorował bezpieczeństwa danych.

4. Brak analizy ryzyka: Dostarczona UODO analiza ryzyka nie zawierała opisu zagrożeń, oceny prawdopodobieństwa zdarzenia ani oceny skutków dla osób, których dane dotyczą, co świadczyło o powierzchownym podejściu do oceny ryzyka. Z tego powodu administrator nie przewidział ryzyka wynikającego z transportu dokumentów na otwartej pace i nie wdrożył adekwatnych środków zapobiegawczych.

5. Niezgłoszenie incydentu: Pomimo obowiązku zgłoszenia naruszenia do organu nadzorczego w ciągu 72 godzin administrator nie poinformował UODO o utracie dokumentów. Początkowo twierdził, że nie nastąpiło naruszenie, bo dokumenty szybko odzyskano. Następnie przyznał, że doszło do ujawnienia danych, lecz uznał, że ryzyko ich wykorzystania było znikome. UODO ustalił jednak, że czas utraty kontroli mógł trwać nawet kilka dni, a w wyjaśnieniach administratora liczba zagubionych upoważnień zmieniała się od 20 do 82. Organ nadzorczy zauważył też, że przynajmniej jedna nieuprawniona osoba mogła zapoznać się z danymi, a zatem ryzyko naruszenia praw i wolności osób fizycznych było realne.

6. Decyzja organu nadzorczego: Prezes UODO stwierdził naruszenie zasady poufności, integralności i rozliczalności a także obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych i obowiązek zgłoszenia incydentu, co poskutkowało dla zakładu pogrzebowego karą w wysokości 33 673 PLN.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Przeprowadzaj rzetelną analizę ryzyka: Przed przetwarzaniem danych osobowych identyfikuj zagrożenia związane z transportem, przechowywaniem i innymi operacjami. Określ prawdopodobieństwo i możliwe konsekwencje naruszeń, a następnie dopasuj środki techniczne i organizacyjne do stwierdzonego ryzyka.

2. Wdrażaj procedury transportu i przechowywania dokumentacji: Dokumenty zawierające dane osobowe powinny być przechowywane w zamykanych szafach lub pomieszczeniach i transportowane w zabezpieczonych pojazdach. Opracuj instrukcję obejmującą liczenie, pakowanie i zabezpieczanie dokumentów, a także nadzór nad przewozem.

3. Ograniczaj dostęp i stosuj zasadę „need-to-know”: Udzielaj upoważnień wyłącznie osobom, które muszą przetwarzać dane w ramach obowiązków służbowych. Każdy dostęp powinien być rejestrowany, a pracownicy powinni być świadomi odpowiedzialności za ochronę danych.

4. Dokumentuj i zgłaszaj naruszenia: Opracuj procedurę zgłaszania naruszeń ochrony danych w terminie 72 godzin organowi nadzorczemu oraz procedurę informowania osób, których dane dotyczą. Pamiętaj, że nawet jeśli incydent wydaje się drobny, obowiązek zgłoszenia spoczywa na administratorze, gdy istnieje ryzyko naruszenia praw lub wolności osób fizycznych.

5. Szkol pracowników z zakresu ochrony danych: Regularnie edukuj personel (w tym pracowników fizycznie transportujących dokumenty) w zakresie przepisów RODO, procedur bezpieczeństwa i reagowania na incydenty. Szkolenia powinny podkreślać wagę ochrony danych oraz skutki prawne naruszeń.

6. Regularnie testuj i udoskonalaj środki bezpieczeństwa: Należy cyklicznie testować, mierzyć i oceniać skuteczność stosowanych środków technicznych i organizacyjnych. Audyty i przeglądy powinny obejmować zarówno systemy informatyczne, jak i procedury dotyczące dokumentów papierowych.

7. Stosuj mechanizmy pseudonimizacji i szyfrowania: W przypadku dokumentów elektronicznych korzystaj z szyfrowania, a przy publikacji lub udostępnianiu danych stosuj pseudonimizację, aby ograniczyć identyfikowalność osób.

8. Uwzględniaj specyficzne regulacje i wytyczne: W swojej działalności śledź krajowe i europejskie przepisy oraz wytyczne organów nadzorczych. W kontekście usług pogrzebowych należy pamiętać o obowiązkach wynikających z ustawy o cmentarzach i chowaniu zmarłych oraz o przepisach sektorowych dotyczących dokumentacji medycznej.

9. Prowadź rejestr czynności przetwarzania i naruszeń: Rejestruj działania związane z przetwarzaniem danych oraz ewentualne incydenty. Taka ewidencja wspiera zasadę rozliczalności i ułatwia weryfikację zgodności z prawem.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu