Administrator zgłosił naruszenie Urzędowi Ochrony Danych Osobowych po tym, jak doszło do kradzieży służbowego komputera poza siedzibą administratora - użytkujący laptop pracownik przechowywał go w domu.
UODO stwierdził, że administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych. Miał więc świadomość ryzyka związanego z utratą sprzętu komputerowego wynoszonego poza urząd gminy, a nawet określił zabezpieczenia, jakie należy wdrożyć w celu ograniczenia tego ryzyka. Wśród tych zabezpieczeń wskazał m.in. na szyfrowanie.
Okazało się jednak, że zabezpieczeń nie zastosowano. Skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.
Dopiero po kradzieży laptopa administrator podjął działania, które miały zapobiec podobnym naruszeniom w przyszłości tj. zaszyfrował dyski twarde komputerów przenośnych.
- Zatem administrator dopiero po
wystąpieniu naruszenia zastosował się do wyników własnej analizy ryzyka
i określonego w niej sposobu postępowania z ryzykiem - zauważa UODO.
Przy nakładaniu administracyjnej
kary pieniężnej Urząd uwzględnił fakt, że skradziony komputer został
odnaleziony, a przeprowadzona przez administratora analiza wykazała, że
od dnia kradzieży system operacyjny komputera nie był uruchamiany. Tym samym, pomimo że administrator utracił kontrolę nad danymi
osobowymi, a nieuprawniona osoba uzyskała do nich bezprawny dostęp, nie
było podstaw do uznania, że ktokolwiek poniósł szkodę z tym związaną.
Czytaj więcej
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą admi...
