Do naruszenia ochrony danych, którego skutkiem jest kara Prezesa UODO, doszło, gdy instruktor ZHP zostawił w metrze plecak z laptopem należącym do Chorągwi. Były tam dane osobowe: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy).
Chorągiew zgłosiła ten incydent na policję i do Prezesa UODO, a ten po analizie naruszenia wszczął postępowanie administracyjne. Policja sprawą się nie zajęła, bo nie doszło do kradzieży, a do zagubienia plecaka.
Czytaj więcej
Administrator nie może wyręczać się pracownikiem w ustalaniu sposobów zabezpieczenia danych - uznał Naczelny Sąd Administracyjny i podtrzymał 10 tys. zł kary nałożonej na Prezesa Sądu Rejonowego w Zgierzu.
Administrator cały czas musi testować bezpieczeństwo danych osobowych
Chorągiew przeprowadziła analizę ryzyka dla danych osobowych. Nie obejmowała ona jednak ryzyka nieodpowiedniego przewożenia nośników z danymi. Takie ryzyko uwzględniono w analizie dopiero po utracie laptopa. Wtedy też okazało się, że trzeba zweryfikować działania „w zakresie szyfrowania dysków na komputerach służbowych wynoszonych poza budynki Administratora (…)”.
Jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające.
