Subskrybuj nas na Youtube
Zapisz się na newsletter
Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) wobec jednego z przedsiębiorstw pogrzebowych. Sprawa dotyczyła zgubienia w trakcie transportu dokumentów zawierających dane osobowe klientów firmy. Prezes UODO, Mirosław Wróblewski, nałożył na firmę pogrzebową łączną karę w wysokości 33 tys. zł. Podstawą była zarówno niewystarczająca ochrona organizacyjna i techniczna danych, jak i brak zgłoszenia incydentu naruszenia danych organowi nadzorczemu.
Jak doszło do incydentu?
W listopadzie 2022 r. policjanci odnaleźli na poboczu drogi w okolicach Puław dziesięć kartonów z dokumentami należącymi do zakładu pogrzebowego. Wśród nich znajdowały się m.in. 82 upoważnienia zawierające dane osobowe członków rodzin osób zmarłych.
Śledztwo wykazało, że pracownik zatrudniony jako żałobnik, działając na polecenie przedsiębiorcy, przewoził kartony na odkrytej przestrzeni ładunkowej samochodu. W trakcie jazdy część pudeł spadła z pojazdu. Pracownik nie zauważył ich utraty, ponieważ przed transportem nie sprawdził liczby przewożonych kartonów.
Dodatkowo ustalono, że przed przewozem dokumenty były przechowywane w niezamykanym pomieszczeniu pod schodami w siedzibie zakładu pogrzebowego, co również naruszało podstawowe zasady bezpieczeństwa danych.
Orzeczenie WSA
Sąd w Warszawie stwierdził, że Prezes UODO rzetelnie przeanalizował incydent i poprawnie ustalił wymiar kary. Administrator nie przewidział zagrożeń związanych z transportem dokumentów i nie zastosował wymaganych środków bezpieczeństwa. Środek ochrony wskazany przez firmę – przechowywanie dokumentów w zamykanej szafie w zamykanym pomieszczeniu – nie był faktycznie stosowany. Dodatkowo transport powierzył pracownikowi, który nie miał uprawnień do dostępu do danych osobowych.
Sygn. akt II SA/Wa 1026/2
