• admin@kibc
• 15 kwietnia 2025
• Brak komentarzy

W świecie cyberbezpieczeństwa często mówimy o hakerach, złośliwym oprogramowaniu czy atakach phishingowych. Ale równie niebezpieczne okazują się… nieprzemyślane decyzje organizacyjne i brak podstawowych procedur. Przykład? Niedawny przypadek zakładu pogrzebowego z Puław, który został ukarany przez Prezesa UODO grzywną w wysokości 33 tysięcy złotych za niewdrożenie odpowiednich organizacyjnych i technicznych zabezpieczeń dla danych osobowych w dokumentach dotyczących pochówku. . I nie – nie chodziło o cyberatak. Wszystko zaczęło się od pudeł z dokumentami, które spadły z samochodu na pobocze drogi.

Brzmi absurdalnie? A jednak. I ta historia to podręcznikowy przykład tego, dlaczego analiza ryzyka to nie tylko biurokratyczna formalność.

Co się wydarzyło?

Jak informuje UODO, w listopadzie 2022 roku Policja natknęła się na 10 pudeł wypełnionych dokumentami leżącymi przy drodze. Jak się później okazało, należały one do lokalnego zakładu pogrzebowego i zawierały dane osobowe – m.in. imiona, nazwiska i numery dowodów tożsamości członków rodzin osób zmarłych. Dokumenty zostały przewożone przez pracownika zakładu na odkrytej pace samochodu. Bez zabezpieczenia. Bez policzenia zawartości. Bez jakiejkolwiek procedury.

Czego zabrakło? Analizy ryzyka.

Największym błędem okazał się brak przemyślanej analizy ryzyka. Zakład pogrzebowy nie ocenił potencjalnych zagrożeń związanych z transportem dokumentów papierowych, nie wdrożył procedur zabezpieczających dane, ani nie przeszkolił pracowników z zakresu ochrony danych osobowych.

Gdyby taka analiza została wykonana rzetelnie, z pewnością pojawiłby się w niej punkt dotyczący bezpiecznego przewożenia dokumentacji – np. w zamkniętym pojeździe, z nadzorem, z protokołem przekazania i odbioru.

Co więcej – nie zgłoszono incydentu

Mimo że dane osobowe wyciekły (potencjalnie mogły trafić do niepowołanych osób), administrator danych nie zgłosił naruszenia do Prezesa UODO – co jest jego obowiązkiem. To kolejny przykład braku świadomości i odpowiedzialności za przetwarzane dane.

Przypadek z Puław pokazuje, że naruszenia ochrony danych nie muszą wynikać z zaawansowanych cyberataków. Czasem wystarczy niedopilnowany pracownik, niezamykane pomieszczenie czy brak kontroli nad tym, kto ma dostęp do dokumentów. W tym przypadku:
– Nie było oceny ryzyka, a więc nikt nie przewidział możliwych problemów.
– Nie było procedur ani nadzoru nad transportem danych
– Nie było zgłoszenia incydentu, mimo realnego ryzyka naruszenia praw osób fizycznych.

Wnioski na przyszłość

📌 Analiza ryzyka to nie formalność – to narzędzie, które pomaga zapobiegać realnym incydentom.
📌 Papierowe dokumenty też wymagają ochrony – w końcu zawierają te same dane, co te przechowywane cyfrowo.
📌 Każda firma, niezależnie od branży, odpowiada za dane osobowe – także zakład pogrzebowy.
📌 Procedury, szkolenia i nadzór są obowiązkowe, jeśli nie chcemy narażać się na kary i – co ważniejsze – szkodzić ludziom, których dane przetwarzamy.
📌 Dobrze przeprowadzona analiza ryzyka naprawdę może oszczędzić wielu problemów.