Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/54

Kraj:

Polska

Data wydania decyzji:

12.11.2024 r.

Podmiot kontrolowany:

Chorągiew Stołeczna ZHP

Wysokość kary (EUR):

5.625

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Chorągiew Stołeczną ZHP wynikło z niezastosowania odpowiednich środków technicznych i organizacyjnych. W szczególności nie wdrożono zabezpieczeń takich jak szyfrowanie dysków twardych komputerów przenośnych oraz regularnego testowania skuteczności tych środków.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: 17 maja 2023 r. Chorągiew Stołeczna ZHP zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (UODO) naruszenie ochrony danych osobowych, które miało miejsce 14 maja 2023 r.
  2. Okoliczności naruszenia: Naruszenie nastąpiło na skutek zagubienia plecaka w środku transportu publicznego, w którym znajdowały się dokumenty (faktury) oraz laptop będący własnością Chorągwi Stołecznej ZHP. Zgubiony laptop nie posiadał szyfrowania dysków.
  3. Dane osobowe: Utracone dane obejmowały m.in. nazwiska, imiona, numery PESEL, adresy zamieszkania, numery rachunków bankowych, dane dotyczące zdrowia oraz inne informacje osobiste.
  4. Kategorie osób: W wyniku zdarzenia naruszone zostały dane pracowników, dzieci (uczestników wypoczynku), ich rodziców/opiekunów prawnych oraz kontrahentów.
  5. Działania po naruszeniu: Po zgłoszeniu naruszenia, Chorągiew Stołeczna ZHP przeprowadziła analizę ryzyka oraz wdrożyła dodatkowe środki bezpieczeństwa, takie jak szyfrowanie dysków twardych komputerów przenośnych.
  6. Kara: W wyniku zaistniałej sytuacji nałożono na Chorągiew Stołeczną ZHP administracyjną karę pieniężną w wysokości 24 555 PLN oraz nakazano dostosowanie operacji przetwarzania danych do przepisów RODO poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania przy wykorzystaniu komputerów przenośnych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie szyfrowania: Zaleca się wdrożenie szyfrowania dysków twardych wszystkich komputerów przenośnych wykorzystywanych do przetwarzania danych osobowych.
  2. Regularne testowanie: Należy regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.
  3. Szkolenia: Zaleca się przeprowadzanie regularnych szkoleń dla pracowników i wolontariuszy w zakresie ochrony danych osobowych.
  4. Procedury bezpieczeństwa: Konieczne jest opracowanie i wdrożenie procedur dotyczących bezpiecznego przewożenia i przechowywania dokumentów oraz sprzętu zawierającego dane osobowe.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO