Kutno zapłaci za zgubienie pendrive z danymi pracowników
Zgubiony pendrive z danymi setek pracowników MOPS i MOSiR ujawnia poważne zaniedbania w ochronie danych osobowych. Jak doszło do tego incydentu i jakie są jego konsekwencje?
- Joanna Gościńska
- /
- 6 listopada 2024
Kara finansowa za zgubienie pendrive
Prezes Urzędu Ochrony Danych Osobowych nałożył kary finansowe na dwa miejskie ośrodki z Kutna oraz spółkę, która obsługiwała ich system kadrowo-płacowy, łącznie ponad 59 tysięcy złotych. Powodem sankcji było naruszenie przepisów o ochronie danych osobowych, które nastąpiło w wyniku zgubienia nieszyfrowanego pendrive’a zawierającego dane około 1.500 osób.
Kary wyniosły odpowiednio 15 tys. zł dla Miejskiego Ośrodka Pomocy Społecznej (MOPS), 20 tys. zł dla Miejskiego Ośrodka Sportu i Rekreacji (MOSiR) oraz 24 tys. zł dla firmy zajmującej się transferem danych w ramach aktualizacji systemu.
Incydent miał miejsce, gdy pracownik MOPS, pełniący również obowiązki dla MOSiR, przekazał dane pracownikowi spółki wykonującej transfer. Informacje te zapisano na nieszyfrowanym pendrivie, co stanowiło naruszenie procedur bezpieczeństwa. Pendrive trafił później na służbowy laptop pracownika spółki, jednakże po zakończeniu operacji nie został wyczyszczony. Następnie, podczas wyjazdu do innego miasta, pracownik spółki zgubił nośnik. Osoba, która go odnalazła, po bezskutecznym ogłoszeniu w lokalnych mediach, otworzyła pliki na urządzeniu i rozpoznała, że zawierają dane dotyczące MOPS i MOSiR w Kutnie. Skontaktowała się z tymi instytucjami, co umożliwiło im odkrycie zagubienia danych.
Jakie dane były na pendrive?
Na pendrivie znajdowały się szczegółowe dane osobowe ponad tysiąca pracowników i współpracowników MOSiR oraz 549 osób związanych z MOPS, w tym m.in. imiona, nazwiska, PESEL-e, numery kont bankowych, adresy zamieszkania, historia zatrudnienia oraz dane kontaktowe.
Analiza przeprowadzona przez UODO wykazała, że gdyby przed przetwarzaniem danych przeprowadzono analizę ryzyka, można by było uniknąć tego naruszenia. Procedura zmiany systemu kadrowo-płacowego nie uwzględniała takiej analizy, przez co zabrakło odpowiednich środków zabezpieczających. UODO podkreślił, że obowiązki związane z ochroną danych osobowych nie kończą się na formalnym wdrożeniu procedur – konieczne jest ich bieżące stosowanie oraz dostosowanie środków technicznych i organizacyjnych, aby skutecznie zapobiegać zagrożeniom dla bezpieczeństwa danych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?