Administrator zgłosił naruszenie Urzędowi Ochrony Danych Osobowych po tym, jak doszło do kradzieży służbowego komputera poza siedzibą administratora - użytkujący laptop pracownik przechowywał go w domu.
UODO stwierdził, że administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych. Miał więc świadomość ryzyka związanego z utratą sprzętu komputerowego wynoszonego poza urząd gminy, a nawet określił zabezpieczenia, jakie należy wdrożyć w celu ograniczenia tego ryzyka. Wśród tych zabezpieczeń wskazał m.in. na szyfrowanie.
Okazało się jednak, że zabezpieczeń nie zastosowano. Skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.
Dopiero po kradzieży laptopa administrator podjął działania, które miały zapobiec podobnym naruszeniom w przyszłości tj. zaszyfrował dyski twarde komputerów przenośnych.
- Zatem administrator dopiero po
wystąpieniu naruszenia zastosował się do wyników własnej analizy ryzyka
i określonego w niej sposobu postępowania z ryzykiem - zauważa UODO.
