Wojewódzki Sąd Administracyjny w Warszawie podtrzymał decyzję Prezes Urzędu Ochrony Danych Osobowych, wydaną przez Mirosław Wróblewski, w sprawie naruszenia przepisów o ochronie danych osobowych przez przedsiębiorstwo pogrzebowe. Sprawa dotyczyła zgubienia dokumentów zawierających dane klientów w trakcie ich transportu.
Kara za brak zabezpieczeń i brak zgłoszenia incydentu
Prezes UODO nałożył na administratora danych łączną karę w wysokości 33 tys. zł. Sankcja obejmowała dwa naruszenia: brak odpowiednich zabezpieczeń technicznych i organizacyjnych dla dokumentacji zawierającej dane osobowe oraz niedopełnienie obowiązku zgłoszenia organowi nadzorczemu incydentu naruszenia ochrony danych. W ocenie organu do zdarzenia doszło wskutek nieprzewidzenia ryzyka oraz niewdrożenia adekwatnych środków bezpieczeństwa.
Okoliczności zdarzenia
Dokumenty należące do przedsiębiorstwa pogrzebowego, zawierające dane osobowe klientów, zostały znalezione przez policję na poboczu drogi. Postępowanie prokuratorskie wykazało, że pracownik przewoził pudła z dokumentami na odkrytej pace samochodu. W trakcie transportu część pudeł spadła, czego pracownik nie zauważył, ponieważ przed wyjazdem nie dokonał ich przeliczenia.
Dodatkowo ustalono, że przed transportem dokumentacja była przechowywana niezgodnie z wewnętrznymi procedurami — w niezamykanym pomieszczeniu pod schodami lokalu przedsiębiorstwa. Przedłożona Prezesowi UODO analiza ryzyka nie uwzględniała zagrożeń związanych z transportem dokumentów ani oceny prawdopodobieństwa ich wystąpienia i potencjalnych skutków dla osób, których dane dotyczą.
Znaczenie analizy ryzyka
Organ nadzorczy wskazał, że prawidłowo przeprowadzona analiza ryzyka — obejmująca także etap transportu dokumentacji — mogła zapobiec incydentowi. Brak identyfikacji zagrożeń i adekwatnych zabezpieczeń został uznany za istotne uchybienie po stronie administratora danych.
Stanowisko sądu
Powyższe ustalenia potwierdził Wojewódzki Sąd Administracyjny w Warszawie. Sąd uznał, że Prezes UODO trafnie ocenił, iż administrator nie przewidział ryzyka i nie wdrożył środków bezpieczeństwa wymaganych przy przewożeniu papierowej dokumentacji zawierającej dane osobowe. Podkreślono również, że deklarowane przez przedsiębiorcę zabezpieczenia — przechowywanie dokumentów w zamkniętej szafie w zamykanym pomieszczeniu — w praktyce nie były stosowane.
WSA zwrócił uwagę, że jedyną osobą upoważnioną do dostępu do danych był pracownik biurowy, podczas gdy transport dokumentów zlecono innemu pracownikowi, zatrudnionemu jako żałobnik, bez odpowiednich upoważnień. Sąd ocenił, że Prezes UODO w sposób wyczerpujący zbadał okoliczności sprawy, zastosował prawidłową metodologię przy ustalaniu wysokości kary oraz rzetelnie uzasadnił swoje rozstrzygnięcie.
Sygnatura i podstawa
Wyrok zapadł w sprawie o sygn. II SA/Wa 1026/2. Sprawa administracyjna prowadzona była pod numerem DKN.5131.10.2023 i została opisana w komunikacie Prezesa UODO z dnia 15 kwietnia 2025 r.
