Analiza ryzyka RODO powinna uwzględniać możliwość zgubienia laptopa z danymi osobowymi

Opracowanie: Michał Kowalski

Do wycieku danych osobowych doszło w wyniku zgubienia przez instruktora ZHP plecaka z laptopem należącym do Chorągwi oraz dokumentami papierowymi z danymi. W laptopie przechowywane były następujące dane osobowe:

• nazwiska i imiona,

• imiona rodziców,

• data urodzenia,

• numer rachunku bankowego,

• adres zamieszkania lub pobytu,

• numer PESEL,

• seria i numer dowodu osobistego,

• adres e-mail, dane dotyczące wynagrodzenia i majątku,

• numer telefonu,

• dane dotyczące zdrowia,

• przynależność do stowarzyszenia, przydział służbowy.

Laptop i dokumenty zostały zostawione w metrze. Zdarzenie zostało zgłoszone m.in. do Prezesa UODO, który w związku z tym wszczął postępowanie administracyjne.

W toku postępowania ustalono, że ZHP przeprowadził analizę ryzyka, niemniej jednak nie była ona wyczerpująco. Pominięto bowiem ryzyko nieodpowiedniego przewożenia nośników danych.Jednorazowe opracowanie i wdrożenie organizacyjnych i technicznych środków bezpieczeństwa okazało się niewystarczające.

Analiza ryzyka powinna uwzględniać także możliwość wystąpienia zdarzeń losowych. Gdyby w analizie tej uwzględniono możliwość zgubienia laptopa, wówczas zostałyby zastosowane odpowiednie zabezpieczenia w celu ochrony danych np. szyfrowanie pamięci masowej. Tymczasem brak w analizie doprowadził do naruszenia poufności danych osobowych.

W konsekwencji na Chorągiew Stołeczną ZHP nałożona została administracyjna kara pieniężna w wysokości 24 555 zł.