4 godzin temu
Powodem kary nałożonej na Chorągiew Stołeczną ZHP było niedostosowanie środków technicznych i organizacyjnych do ryzyka związanego z przetwarzaniem danych osobowych na urządzeniach przenośnych.
Instruktor harcerski zostawił służbowego laptopa w metrze
Dane zostały naruszone, ponieważ instruktor harcerski zostawił w metrze plecak z laptopem należącym do Chorągwi. Na laptopie znajdowały się dane osobowe: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy). Reklama
Chorągiew zgłosiła incydent na Policję i do Prezesa UODO, a ten po analizie naruszenia wszczął postępowanie administracyjne. Wykazało ono, iż Chorągiew Stołeczna ZHP nie przeprowadziła kompleksowej analizy ryzyka.
Brakowało w niej scenariuszy dotyczących odpowiedniego przewożenia nośników danych poza budynki organizacji.
Dopiero po utracie laptopa uwzględniono to ryzyko i podjęto decyzję o "weryfikacji działań" związanych z szyfrowaniem dysków na komputerach służbowych wynoszonych poza organizację.
Kara finansowa w wysokości 24,5 tys. zł
W postępowaniu prezes UODO zadecydował o karze dla stołecznego ZHP w wysokości 24,5 tys. zł. Chorągiew została także zobowiązana do wdrożenia odpowiednich środków ochrony danych w ciągu trzech miesięcy od dnia wydania decyzji. Policja nie zajęła się sprawą, ponieważ nie doszło do kradzieży.
UODO podkreśla w komunikacie, iż obowiązkiem administratora danych jest nie tylko jednorazowe opracowanie środków technicznych i organizacyjnych, które umożliwią bezpieczne przetwarzanie danych osobowych. Administrator powinien też regularne testować, mierzyć i oceniać skuteczność wprowadzonych rozwiązań.
