Brak wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących przed naruszeniem ochrony danych osobowych to hasło klucz, które przewija się wielokrotnie w kontekście ochrony danych osobowych i ich wycieku. Nie inaczej było w przypadku ostatniej kary nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych na dwie, kutnowskie instytucje miejskie.
Brak wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących przed naruszeniem ochrony danych osobowych – pod tym lakonicznym hasłem kryje się kilka nieprawidłowości wykrytych na etapie zmiany systemu kadrowo-płacowego i niewłaściwego zabezpieczenia tego procesu. Tamtejsze Miejski Ośrodek Sportu i Rekreacji oraz Miejski Ośrodek Pomocy Społecznej przeprowadzały zmianę systemu, w toku prac niewłaściwie zabezpieczono jednak dane, które miały być przeniesione do nowego programu. Jak czytamy na stronie UODO:
“Pracownik MOPS wykonujący jednocześnie pracę dla MOSiR udostępnił dane pracownikowi spółki, realizującej zlecenie transferu tych danych. Zostały one zgrane na pendrive, który nie był jednak szyfrowany. Następnie pracownik spółki zgrał część danych na służbowego laptopa. Po tej operacji pendrive nie został wyczyszczony, co przewidywała procedura tej firmy. Pracownik spółki pojechał do innego miasta i tam zgubił tego pendrive’a. Osoba, która go znalazła, najpierw dała ogłoszenie w lokalnych mediach, a że to nie dało rezultatu, otworzyła nośnik. Na podstawie nazw katalogów domyśliła się, że zawiera on informacje dotyczące MOPS i MOSiR z Kutna i się z nimi skontaktowała.
Efektem zaniedbania ze strony wspomnianych placówek jest kara od PUODO w wysokości 15 tys. zł oraz 20 tys. zł. Karę w wysokości 24 tys. zł otrzymała także spółka obsługująca te instytucje w procesie zmiany systemu kadrowo-płacowego.
Na zgubionym pendriv’ie znajdowały się dane ok. 1,5 tys. osób związanych obecnie lub w przeszłości z MOPS, w tym: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia.
W toku postępowania UODO stwierdził, że co prawda wszystkie strony posiadały procedury dotyczące zabezpieczenia danych, ale brakowało analizy ryzyka dla procesu zmiany systemu kadrowo-płacowego. W efekcie nikt nie kontrolował całego procesu, jak również stopnia przygotowania procedur po stronie firmy wykonującej zmianę systemu. Instytucje zgłosiły fakt naruszenia ochrony danych po kontakcie ze strony osoby, która odnalazła zgubiony pendrive. Dopiero wówczas zorientowały się, że wspomniany nośnik w ogóle znalazł się w niewłaściwych rękach.
“Zarówno MOPS, MOSiR, jak i spółka zmieniająca system kadrowo-płacowy powinny były zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe). Gdyby to zrobiono, można by było zapobiec wystąpieniu naruszenia ochrony danych” – czytamy w uzasadnieniu decyzji.
Najnowsze komentarze