Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył kary finansowe na dwie instytucje miejskie w Kutnie – Miejski Ośrodek Pomocy Społecznej (MOPS) i Miejski Ośrodek Sportu i Rekreacji (MOSiR) – oraz na firmę obsługującą te instytucje w zakresie wymiany systemu kadrowo-płacowego. Przyczyną były uchybienia w zabezpieczeniu danych osobowych, które doprowadziły do zgubienia nieszyfrowanego pendrive’a z informacjami o około 1,500 osobach.
Szczegóły incydentu
Podczas przenoszenia danych do nowego systemu kadrowo-płacowego, pracownik MOPS, który jednocześnie pracował dla MOSiR, przekazał dane osobowe pracownikowi spółki zajmującej się transferem informacji. Dane zostały zapisane na pendrive, który nie był szyfrowany, a następnie część informacji została przeniesiona na laptop pracownika spółki. Pendrive nie został wyczyszczony po zakończeniu operacji, co przewidywała procedura firmy.
W wyniku zaniedbania pracownik spółki zgubił nośnik w innym mieście. Osoba, która znalazła pendrive, początkowo próbowała odnaleźć właściciela przez ogłoszenia w lokalnych mediach. Po ich nieskuteczności, postanowiła otworzyć nośnik i na podstawie nazw katalogów domyśliła się, że dane dotyczą MOPS i MOSiR w Kutnie. Skontaktowała się z instytucjami, co pozwoliło im ustalić, że doszło do zgubienia danych osobowych.
Rodzaj ujawnionych danych
Pendrive zawierał szeroki zakres danych osobowych, w tym m.in. imiona, nazwiska, numery PESEL, numery dowodów osobistych, numery kont bankowych, adresy zamieszkania, daty urodzenia, dane dotyczące zarobków oraz inne wrażliwe informacje. Obejmuje to dane pracowników, byłych pracowników, zleceniobiorców oraz uczestników prac interwencyjnych.
Decyzja PUODO
PUODO ustalił, że naruszenie ochrony danych wynikło z braku odpowiedniej analizy ryzyka oraz zastosowania środków technicznych i organizacyjnych, które mogłyby zapobiec takiemu incydentowi. Spółka oraz instytucje miejskie nie zadbały o szyfrowanie danych ani o kontrolę nad transferem informacji na nośnikach przenośnych. PUODO nałożył na MOPS i MOSiR kary w wysokości 15 tys. zł i 20 tys. zł, a na spółkę obsługującą te instytucje – 24 tys. zł.
Wnioski i zalecenia PUODO
Prezes UODO zwrócił uwagę, że procedury zabezpieczenia danych osobowych powinny obejmować:
1. Przeprowadzenie analizy ryzyka związanej z przetwarzaniem danych w nowym systemie.
2. Wdrożenie adekwatnych środków ochrony technicznej, takich jak szyfrowanie i zabezpieczenia hasłami, które minimalizują ryzyko dostępu do danych przez osoby nieuprawnione.
Zdaniem PUODO, odpowiednie procedury i weryfikacja środków ochrony mogłyby zapobiec incydentowi.