Kara UODO za zgubienie laptopa z danymi: Stołeczna Chorągiew ZHP została ukarana przez Prezesa Urzędu Ochrony Danych Osobowych karą w wysokości 24 555 zł za to, że nie zastosowała środków technicznych i organizacyjnych odpowiadających ryzyku dla danych przetwarzanych na przenośnych komputerach.
Instruktor ZHP zostawił w metrze plecak z laptopem, który zawierał miedzy innymi dane osobowe takie jak nazwiska i imiona harcerzy, imiona rodziców, daty urodzenia, numery rachunku bankowego, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia, przynależność do stowarzyszenia, czy przydział służbowy. Chorągiew zgłosiła zagubienie na policję oraz do Prezesa UODO.
Po rozpatrzeniu sprawy okazało się, że Chorągiew przeprowadziła analizę ryzyka dla danych osobowych, lecz nie obejmowała ona nieodpowiedniego przewożenia nośników z danymi. Uwzględniono je dopiero w analizie przeprowadzonej po utracie laptopa, i wtedy też okazało się, że trzeba zweryfikować działania „w zakresie szyfrowania dysków na komputerach służbowych wynoszonych poza budynki Administratora (…)”.
Prezes UODO uznał więc, że analiza ryzyka i wprowadzone na jej podstawie środki były niewystarczające, i nałożył na Chorągiew ZHP karę w pieniężną, a także nakazał wdrożenie odpowiednich środków ochrony danych w ciągu trzech miesięcy od dnia wydania decyzji. W uzasadnieniu decyzji zostało wskazane, że rolą administratora jest nie tylko jednorazowe opracowanie i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO, ale ważne jest regularne testowanie i ocenianie ich skuteczności pod kątem zapewnienia bezpieczeństwa przetwarzania danych osobowych.
