Do naruszenia ochrony danych, którego skutkiem jest kara Prezesa UODO, doszło, gdy instruktor ZHP zostawił w metrze plecak z laptopem należącym do Chorągwi. Były tam dane osobowe: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy).

Chorągiew zgłosiła ten incydent na Policję i do Prezesa UODO, a ten po analizie naruszenia wszczął postępowanie administracyjne. Policja sprawą się nie zajęła, bo nie doszło do kradzieży, a do zagubienia plecaka.

Chorągiew przeprowadziła analizę ryzyka dla danych osobowych. Nie obejmowała ona jednak ryzyka nieodpowiedniego przewożenia nośników z danymi. Takie ryzyko uwzględniono w analizie dopiero po utracie laptopa. Wtedy też okazało się, że trzeba zweryfikować działania „w zakresie szyfrowania dysków na komputerach służbowych wynoszonych poza budynki Administratora (…)”.

Zatem, jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające. Prezes UODO podkreślił, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO. Zgubienie laptopa to zdarzenie losowe. A w takiej sytuacji kluczowe jest jednak to, czy administrator regularnie testował, mierzył i oceniał skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

Oprócz zapłacenia kary chorągiew została zobowiązana do wdrożenia odpowiednich środków ochrony danych w ciągu trzech miesięcy od dnia wydania decyzji.