Sprawa dotyczy zagubionego nieszyfrowanego pendrive’a z danymi osobowymi około 1.500 osób. Karę ponad 24 tys. zł otrzymała również spółka obsługująca te instytucje, w zakresie zmiany programu kadrowo-płacowego.
Wszystkie trzy instytucje miały procedury dotyczące zabezpieczania danych, ale w toku prac nad przeniesieniem danych do nowego systemu kadrowo-płacowego Miejskiego Ośrodka Pomocy Społecznej i Miejskiego Ośrodka Sportu i Rekreacji dane nie były skutecznie zabezpieczone. Dla samej procedury zmiany systemu kadrowo-płacowego w MOSiR i MOPS nie było też analizy ryzyka dla danych osobowych.
Zobacz również
Zgubiony pendrive
Pracownik MOPS, wykonujący jednocześnie pracę dla MOSiR, udostępnił dane pracownikowi spółki, realizującej zlecenie transferu tych danych. Zostały one zgrane na pendrive, który nie był jednak szyfrowany. Następnie pracownik spółki zgrał część danych na służbowego laptopa. Po tej operacji pendrive nie został wyczyszczony, co przewidywała procedura tej firmy.
Pracownik spółki pojechał do innego miasta i tam zgubił pendrive’a. Osoba, która go znalazła, najpierw dała ogłoszenie w lokalnych mediach, a że to nie dało rezultatu, otworzyła nośnik. Na podstawie nazw katalogów domyśliła się, że zawiera on informacje dotyczące MOPS i MOSiR z Kutna i się z nimi skontaktowała.
W ten sposób instytucje zorientowały się, że pendrive zawierający dane osobowe został zgubiony. Zgłosiły to Prezesowi UODO. Pendrive zawierał dane około tysiąca byłych i obecnych pracowników oraz współpracowników MOSiR oraz dane 549 pracowników, emerytów oraz byłych pracowników, zleceniobiorców i uczestników prac interwencyjnych MOPS.
#NMPoleca: Jak piękny design zwiększa konwersję w e-commerce? Tips & Tricks od IdoSell
Zakres danych obu instytucji był inny, ale w sumie na nośniku można było znaleźć m.in. takie dane jak:
Słuchaj podcastu NowyMarketing
- imiona, nazwiska,
- imiona rodziców,
- daty urodzenia,
- numery rachunków bankowych,
- adresy zamieszkania lub pobytu,
- numery ewidencyjne PESEL,
- adresy e-mail,
- dane dotyczące zarobków i/lub posiadanego majątku,
- nazwiska rodowe matki,
- serie i numery dowodów osobistych,
- numery telefonu,
- dane o urlopach, zwolnieniach lekarskich,
- dane dotyczące ukończonych szkół,
- historia zatrudnienia,
- imiona i nazwiska dzieci oraz ich daty urodzenia.
Obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych
Prezes UODO zbadał tę sprawę i ustalił, że gdyby przeprowadzono analizę ryzyka dla procesu wymiany systemu kadrowo-płacowego to nie doszłoby do naruszenia ochrony danych. Przez jej brak, nikt nie kontrolował tego procesu i nikt nie sprawdził czy procedury spółki przeprowadzającej zmianę systemu płacowo-kadrowego są adekwatne.
Obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na dwuetapowym procesie, tj. na:
- przeprowadzeniu analizy ryzyka,
- zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.
Zarówno MOPS, MOSiR, jak i spółka zmieniająca system kadrowo-płacowy powinny były zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe). Gdyby to zrobiono, można by było zapobiec wystąpieniu naruszenia ochrony danych.
źródło: UODO, opracowanie: Agata Drynko