Potężna kara dla harcerzy. Bo zgubili laptopa

Powodem kary nałożonej na Chorągiew Stołeczną ZHP było niedostosowanie środków technicznych i organizacyjnych do ryzyka związanego z przetwarzaniem danych osobowych na urządzeniach przenośnych.

Dane zostały naruszone, ponieważ instruktor harcerski zostawił w metrze plecak z laptopem należącym do Chorągwi. Na laptopie znajdowały się dane osobowe: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy).

Chorągiew zgłosiła incydent na policję i do prezesa UODO, a ten po analizie naruszenia wszczął postępowanie administracyjne. Wykazało ono, że Chorągiew Stołeczna ZHP nie przeprowadziła kompleksowej analizy ryzyka. Brakowało w niej scenariuszy dotyczących odpowiedniego przewożenia nośników danych poza budynki organizacji. Dopiero po utracie laptopa uwzględniono to ryzyko i podjęto decyzję o "weryfikacji działań" związanych z szyfrowaniem dysków na komputerach służbowych wynoszonych poza organizację.

Bez udziału policji

W postępowania prezes UODO zadecydował o karze dla stołecznego ZHP w wysokości 24 tys. 555 zł. Chorągiew została także zobowiązana do wdrożenia odpowiednich środków ochrony danych w ciągu trzech miesięcy od dnia wydania decyzji. Policja nie zajęła się sprawą, ponieważ nie doszło do kradzieży.

UODO podkreśla w komunikacie, że obowiązkiem administratora danych jest nie tylko jednorazowe opracowanie środków technicznych i organizacyjnych, które umożliwią bezpieczne przetwarzanie danych osobowych. Administrator powinien też regularne testować, mierzyć i oceniać skuteczność wprowadzonych rozwiązań.

Źródło: PAP