Harcerze muszą zapłacić karę. Chodzi o zgubienie służbowego laptopa

2 tygodni temu
Zdjęcie: INTERIA.PL


Chorągiew Stołeczna Związku Harcerstwa Polskiego (ZHP) została ukarana przez prezesa Urzędu Ochrony Danych Osobowych (UODO) Mirosława Wróblewskiego. Na organizację nałożono karę finansową w wysokości 24,5 tys. zł za to, iż nie zastosowała odpowiednich środków ochrony danych. Wszystko przez zgubienie w metrze służbowego laptopa.


Powodem kary nałożonej na Chorągiew Stołeczną ZHP było niedostosowanie środków technicznych i organizacyjnych do ryzyka związanego z przetwarzaniem danych osobowych na urządzeniach przenośnych.


Instruktor harcerski zostawił służbowego laptopa w metrze


Dane zostały naruszone, ponieważ instruktor harcerski zostawił w metrze plecak z laptopem należącym do Chorągwi. Na laptopie znajdowały się dane osobowe: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy). Reklama


Chorągiew zgłosiła incydent na Policję i do Prezesa UODO, a ten po analizie naruszenia wszczął postępowanie administracyjne. Wykazało ono, iż Chorągiew Stołeczna ZHP nie przeprowadziła kompleksowej analizy ryzyka.
Brakowało w niej scenariuszy dotyczących odpowiedniego przewożenia nośników danych poza budynki organizacji.
Dopiero po utracie laptopa uwzględniono to ryzyko i podjęto decyzję o "weryfikacji działań" związanych z szyfrowaniem dysków na komputerach służbowych wynoszonych poza organizację.


Kara finansowa w wysokości 24,5 tys. zł


W postępowaniu prezes UODO zadecydował o karze dla stołecznego ZHP w wysokości 24,5 tys. zł. Chorągiew została także zobowiązana do wdrożenia odpowiednich środków ochrony danych w ciągu trzech miesięcy od dnia wydania decyzji. Policja nie zajęła się sprawą, ponieważ nie doszło do kradzieży.
UODO podkreśla w komunikacie, iż obowiązkiem administratora danych jest nie tylko jednorazowe opracowanie środków technicznych i organizacyjnych, które umożliwią bezpieczne przetwarzanie danych osobowych. Administrator powinien też regularne testować, mierzyć i oceniać skuteczność wprowadzonych rozwiązań.
Idź do oryginalnego materiału