Zgubili pendrive z danymi osobowymi. Blisko 60 tys. zł kar

Jak czytamy na stronie UODO, na dwie instytucje miejskie w Kutnie nałożono kary 15 tys. zł i 20 tys. zł m.in. za niewdrożenie właściwych środków technicznych i organizacyjnych, w wyniku czego doszło do naruszenia ochrony danych osobowych. Karę w wysokości ponad 24 tys. zł nałożono na spółkę, która obsługiwała oba podmioty w zakresie zmiany programu kadrowo-płacowego.

Zaniedbanie, którego się dopuszczono, polegało na zgubieniu pendrive'a z danymi ok. 1,5 tys. osób. Choć wszystkie ukarane instytucje posiadały procedury związane z zabezpieczaniem danych osobowych, w toku prac nie zadbano właściwie o bezpieczeństwo danych.

Nie przeprowadzono też analizy ryzyka dla danych osobowych. W wyniku tego podczas przenoszenia danych do nowego systemu kadrowo-płacowego Miejskiego Ośrodka Pomocy Społecznej i Miejskiego Ośrodka Sportu i Rekreacji popełniono kosztowny błąd.

Pracownik MOPS, który pracował także w MOSiR, udostępnił dane pracownikowi spółki, która przeprowadzała proces przenoszenia danych do nowego systemu. Nagrano je na niezaszyfrowany nośnik USB. Część danych została zgrana na laptopa służbowego, ale pendrive nie został wyczyszczony.

Zgubienie pendrive'a miało miejsce w innym mieście. Znalazca najpierw ogłosił odnalezienie nośnika w mediach, a kiedy nikt się nie zgłosił, sprawdził jego zawartość. Osoba, która znalazła pendrive'a, domyśliła się, że umieszczone na nim dane dotyczą MOPS i MOSiR z Kutna, w związku z czym skontaktowała się z rzeczonymi instytucjami.

Na nośniku zapisano dane ok. 1 tys. byłych i obecnych pracowników i współpracowników MOSiR oraz dane 549 pracowników, emerytów i byłych pracowników, zleceniobiorców i uczestników prac interwencyjnych MOPS. Zakres danych dla obu instytucji różnił się, ale katalog danych był naprawdę rozbudowany.

Na zgubionym nośniku można było znaleźć m.in. takie dane, jak: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia.

Jak czytamy na stronie UODO, zdaniem prezesa UODO do naruszenia nie doszłoby, gdyby przeprowadzono analizę ryzyka dla procesu wymiany systemu kadrowo-płacowego. MOPS, MOSiR i spółka zmieniająca system, powinny zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy zostały odpowiednio zaszyfrowane.