Administrator powinien regularnie oceniać skuteczność środków ochrony. Informacja Prezesa UODO
Prezes UODO ukarał Chorągiew Stołeczną ZHP za to, że nie zastosowała środków technicznych i organizacyjnych odpowiadających ryzyku dla danych przetwarzanych na przenośnych komputerach.
Przepisy o ochronie danych osobowych (RODO) towarzyszą organizacjom pozarządowym niemal we wszystkich prowadzonych działaniach. NGO muszą stosować RODO i nie ma dla nich w tym zakresie żadnej "taryfy ulgowej". Świadczą o tym również nakładane na organizacje kary, o których informuje co jakiś czas Urząd Ochrony Danych Osobowych.
Poniżej prezentujemy w całości informację ze strony uodo.gov.pl, która opisuje przypadek ukarania Chorągwi Stołecznej ZHP. Informacja została opublikowana 2 grudnia 2024 roku. Może dostarczyć cennych informacji organizacjom pozarządowym, wskazując im jakich sytuacji powinny unikać oraz zwracając szczególną wagę na znaczenie regularnego testowania, mierzenia i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w organizacji pozarządowej.
Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków ochrony danych
Utracony laptop z danymi. Środki techniczne i organizacyjne nie były wystarczające.
Prezes UODO nałożył karę 24 tys. 555 zł na Chorągiew Stołeczną ZHP za to, że nie zastosowała środków technicznych i organizacyjnych odpowiadających ryzyku dla danych przetwarzanych na przenośnych komputerach.
Chorągiew została zobowiązana do wdrożenia odpowiednich środków ochrony danych w ciągu trzech miesięcy od dnia wydania decyzji.
Do naruszenia ochrony danych, którego skutkiem jest kara Prezesa UODO, doszło, gdy instruktor ZHP zostawił w metrze plecak z laptopem należącym do Chorągwi. Były tam dane osobowe: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy).
Chorągiew zgłosiła ten incydent na Policję i do Prezesa UODO, a ten po analizie naruszenia wszczął postępowanie administracyjne. Policja sprawą się nie zajęła, bo nie doszło do kradzieży, a do zagubienia plecaka.
Chorągiew przeprowadziła analizę ryzyka dla danych osobowych. Nie obejmowała ona jednak ryzyka nieodpowiedniego przewożenia nośników z danymi. Takie ryzyko uwzględniono w analizie dopiero po utracie laptopa. Wtedy też okazało się, że trzeba zweryfikować działania „w zakresie szyfrowania dysków na komputerach służbowych wynoszonych poza budynki Administratora (…)”.
Zatem, jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające. PUODO podkreślił, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO. Zgubienie laptopa to zdarzenie losowe. A w takiej sytuacji kluczowe jest jednak to, czy administrator regularnie testował, mierzył i oceniał skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.
Z pełną treścią decyzji Prezesa UODO można zapoznać się pod poniższym linkiem:
Zobacz oryginalną informację na stronie uodo.gov.pl: Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków ochrony danych.
Ochrona danych osobowych (RODO) w NGO
Informacje dla organizacji pozarządowych o ochronie danych osobowych znajdziecie w PORADNIK. Polecamy zacząć od artykułu: Ochrona danych osobowych w NGO. RODO w organizacji pozarządowej w 10 krokach.
Źródło: uodo.gov.pl
Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy.
