Jak poinformował UODO w komunikacie, wójt został ukarany „za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych”.
Zgodnie z informacjami przekazanymi przez UODO, administrator zgłosił do urzędu naruszenie ochrony danych osobowych polegające na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza urzędem gminy, gdyż użytkujący laptop pracownik przechowywał go w domu.
UODO podkreślił przy tym, że w urzędzie gminy Dobrzyniewo Duże były opracowane odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz została przeprowadzona analiza ryzyka, w której administrator odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.
„Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację. Ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka wskazano m.in. na szyfrowanie. Jednak, jak wykazało postępowanie, skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane, przynajmniej na tym komputerze” – czytamy w komunikacie.
Jak zaznaczono w komunikacie, zgodnie z RODO dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, czemu służyć powinno wdrożenie odpowiednich środków organizacyjnych i technicznych.
„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Administrator w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych może zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych komputera, a ich określenie powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów przenośnych użytkowanych poza organizacją administratora” – czytamy w komunikacie.
Z ustaleń UODO wynika, że w gminie Dobrzyniewo Duże administrator prowadził odpowiednią dokumentację od momentu rozpoczęcia stosowania RODO, dokonywał analizy ryzyka i miał świadomość konieczności zastosowania odpowiednich środków organizacyjnych i technicznych zapewniających bezpieczeństwo przetwarzania danych osobowych przetwarzanych przy użyciu przenośnego sprzętu komputerowego. Jednak dopiero po incydencie w urzędzie gminy podjęto działania mające na celu uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych.
„Zatem administrator dopiero po wystąpieniu naruszenia zastosował się do wyników własnej analizy ryzyka i określonego w niej sposobu postępowania z ryzykiem. Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych, tym samym nieumyślnie naruszył przepisy o ochronie danych osobowych. Przy nakładaniu administracyjnej kary pieniężnej uwzględniono również fakt, że skradziony komputer został odnaleziony, a przeprowadzona przez administratora analiza wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany. Tym samym, pomimo że administrator utracił kontrolę nad danymi osobowymi, a nieuprawniona osoba uzyskała do nich bezprawny dostęp, nie było podstaw do uznania, że na dzień wydania przedmiotowej decyzji administracyjnej, osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia” – konkluduje UODO.