Kutno zapłaci za zgubienie pendrive z danymi pracowników

Zgubiony pendrive z danymi setek pracowników MOPS i MOSiR ujawnia poważne zaniedbania w ochronie danych osobowych. Jak doszło do tego incydentu i jakie są jego konsekwencje?

  • Joanna Gościńska
  • /
  • 6 listopada 2024

 Kara finansowa za zgubienie pendrive

Prezes Urzędu Ochrony Danych Osobowych nałożył kary finansowe na dwa miejskie ośrodki z Kutna oraz spółkę, która obsługiwała ich system kadrowo-płacowy, łącznie ponad 59 tysięcy złotych. Powodem sankcji było naruszenie przepisów o ochronie danych osobowych, które nastąpiło w wyniku zgubienia nieszyfrowanego pendrive’a zawierającego dane około 1.500 osób.

Kary wyniosły odpowiednio 15 tys. zł dla Miejskiego Ośrodka Pomocy Społecznej (MOPS), 20 tys. zł dla Miejskiego Ośrodka Sportu i Rekreacji (MOSiR) oraz 24 tys. zł dla firmy zajmującej się transferem danych w ramach aktualizacji systemu.

Incydent miał miejsce, gdy pracownik MOPS, pełniący również obowiązki dla MOSiR, przekazał dane pracownikowi spółki wykonującej transfer. Informacje te zapisano na nieszyfrowanym pendrivie, co stanowiło naruszenie procedur bezpieczeństwa. Pendrive trafił później na służbowy laptop pracownika spółki, jednakże po zakończeniu operacji nie został wyczyszczony. Następnie, podczas wyjazdu do innego miasta, pracownik spółki zgubił nośnik. Osoba, która go odnalazła, po bezskutecznym ogłoszeniu w lokalnych mediach, otworzyła pliki na urządzeniu i rozpoznała, że zawierają dane dotyczące MOPS i MOSiR w Kutnie. Skontaktowała się z tymi instytucjami, co umożliwiło im odkrycie zagubienia danych.

Jakie dane były na pendrive?

Na pendrivie znajdowały się szczegółowe dane osobowe ponad tysiąca pracowników i współpracowników MOSiR oraz 549 osób związanych z MOPS, w tym m.in. imiona, nazwiska, PESEL-e, numery kont bankowych, adresy zamieszkania, historia zatrudnienia oraz dane kontaktowe.

Analiza przeprowadzona przez UODO wykazała, że gdyby przed przetwarzaniem danych przeprowadzono analizę ryzyka, można by było uniknąć tego naruszenia. Procedura zmiany systemu kadrowo-płacowego nie uwzględniała takiej analizy, przez co zabrakło odpowiednich środków zabezpieczających. UODO podkreślił, że obowiązki związane z ochroną danych osobowych nie kończą się na formalnym wdrożeniu procedur – konieczne jest ich bieżące stosowanie oraz dostosowanie środków technicznych i organizacyjnych, aby skutecznie zapobiegać zagrożeniom dla bezpieczeństwa danych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!