WSA w Warszawie podtrzymał decyzję Prezesa UODO w sprawie przedsiębiorstwa pogrzebowego. Chodzi o sprawę zgubienia w transporcie danych klientów administratora.

Sprawa

Prezes UODO Mirosław Wróblewski nałożył łącznie 33 tys. zł kary za brak odpowiednich organizacyjnych i technicznych zabezpieczeń danych osobowych zawartych w dokumentach dotyczących pochówku oraz za brak zgłoszenia organowi nadzorczemu incydentu naruszenia ochrony danych osobowych. To właśnie wbrew obowiązkowi spoczywającemu na administratorze oraz na skutek niezidentyfikowania potencjalnych zagrożeń i niewdrożeniu właściwych zabezpieczeń technicznych oraz organizacyjnych doszło do zagubienia dokumentów w trakcie transportu między siedzibą administratora i miejscem docelowym.

Policja znalazła na poboczu drogi dokumenty należące do przedsiębiorstwa pogrzebowego zawierające dane osobowe jego klientów. Prokuratura ustaliła, że pracownik wyznaczony przez przedsiębiorcę przewoził pudła z dokumentami na tzw. odkrytej pace samochodu. Niestety pudła spadły w trakcie transportu. Natomiast po rozładunku pracownik nie zorientował się, że stracił część z nich w transporcie, ponieważ wcześniej ich nie policzył.

Przed transportem pudła z dokumentami były przechowywane niezgodnie z ustalonymi wewnętrznymi procedurami w niezamykanym pomieszczeniu pod schodami lokalu przedsiębiorstwa pogrzebowego. Natomiast analiza ryzyka przedłożona Prezesowi UODO wcale nie obejmowała zagrożeń, które mogą pojawić się w trakcie ewentualnego transportu dokumentów oraz oceny prawdopodobieństwa wystąpienia takiego zdarzenia i skutków wystąpienia zagrożenia dla osób fizycznych, których te dane dotyczą.

Przeprowadzanie poprawnej analizy ryzyka uwzględniającej zagrożenia związane z transportem dokumentacji mogłoby zapobiec incydentowi.

Wyrok

Powyższy tok rozumowania potwierdził WSA w Warszawie. Zdaniem sądu, Prezes UODO poprawnie uznał, że administrator, wbrew ciążącemu na nim obowiązkowi, nie przewidział ryzyka i w konsekwencji nie wdrożył odpowiednich środków bezpieczeństwa, które powinien zastosować podczas przewożenia dokumentacji papierowej zawierającej dane osobowe. Ponadto inny środek bezpieczeństwa, wskazany przez przedsiębiorcę w piśmie z 21 marca 2023 r. (tzn. przechowywanie dokumentów w zamkniętej szafie znajdującej się w zamykanym pomieszczeniu), w praktyce nie był stosowany. Nadto jedyną osobą posiadającą zgodę administratora na dostęp do danych osobowych był pracownik biurowy, tymczasem transport dokumentów został zlecony innemu pracownikowi zatrudnionemu w charakterze żałobnika.

Sąd uznał, że Prezes UODO poprawnie i niezwykle wyczerpująco zbadał problematykę incydentu naruszenia danych osobowych oraz przyznał, że Prezes UODO zastosował poprawną metodologię w zakresie ustalenia wymiaru nałożonych kar oraz rzetelnie uzasadnił swoje rozstrzygnięcie.

Sygn. akt II SA/Wa 1026/2

Sprawa DKN.5131.10.2023 opisana w komunikacie z 15.04.2025