Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował o nałożeniu kolejnej kary finansowej w tym roku. Tym razem, ukaranym podmiotem jest Chorągiew Stołeczna Związku Harcerstwa Polskiego (ZHP). Biorąc pod uwagę charakter działalności ukaranego podmiotu, kara wydaje się dość wysoka – 24 555 zł.
Pierwotną przyczyną wszczęcia postępowania przez organ nadzorczy było zgubienie przez instruktora ZHP komputera przenośnego, który zawierał dane osobowe m.in. harcerzy. Powodem nałożenia kary przez regulatora było jednak niewdrożenie właściwych środków technicznych i organizacyjnych odpowiadających ryzyku związanemu z przetwarzaniem danych na przenośnych komputerach. Dodatkowo organ nadzorczy wyznaczył ZHP termin trzech miesięcy na wdrożenie niezbędnych środków służących ochronie danych osobowych.
Zagubiony laptop
Nieprawidłowości zostały ujawnione w związku z naruszeniem ochrony danych osobowych, które miało miejsce w maju 2023 roku. Wówczas jeden z instruktorów ZHP zgubił w metrze plecak, w którym znajdował się laptop służbowy oraz faktury związane z działalnością organizacji. Na fakturach znajdowały się dane osób wystawiających faktury, zaś w laptopie dokumenty zawierające dane osobowe pracowników ZHP, wolontariuszy i dzieci, w tym numery PESEL, numery rachunków bankowych, a także dane o stanie zdrowia (dane szczególnych kategorii). Administrator miał stwierdzić, że nie jest w stanie oszacować liczby osób, których dane zostały objęte przedmiotowym naruszeniem.
Nieprawidłowości w ZHP
W toku postępowania Prezes UODO ustalił, że ZHP nie wdrożyła odpowiednich środków technicznych i organizacyjnych związanych z wykorzystaniem przenośnych komputerów do przetwarzania danych. Przeprowadzona przez organizację analiza ryzyka nie uwzględniała ryzyka związanego z niewłaściwym transportem urządzeń zawierających dane i przypadkową ich utratą. Zagadnienia związane z bezpieczeństwem służbowych komputerów przenośnych zostały poddane analizie ryzyka dopiero po wystąpieniu naruszenia ochrony danych. Również dopiero po wystąpieniu tego niefortunnego zdarzenia, organizacja rozpoczęła działania w celu wdrożenia szyfrowania danych na urządzeniach służbowych.
Niezbędne regularne testowanie
Organ nadzorczy wskazał w wydanej decyzji, że administrator powinien w sposób ciągły badać możliwość wystąpienia zdarzeń losowych zagrażających bezpieczeństwu danych, takich jak na przykład zagubienie komputera przenośnego, co miało miejsce w tej sprawie. Rola administratora nie może przy tym ograniczać się do jednorazowego opracowania procedur i środków mających zapewnić realizację wymogów wynikających z przepisów RODO. W ocenie Prezesa UODO, administrator powinien regularnie testować i sprawdzać wdrożone środki, zapewniając, że pozostają one adekwatne do ryzyka, którym są objęte dane osobowe, które są przez niego przetwarzane.
Źródło:
https://uodo.gov.pl/pl/138/3446
Decyzja organu nadzorczego:
