Brak odpowiednich środków technicznych i organizacyjnych może powodować problemy

PUODO nałożył na dwie instytucje miejskie w Kutnie kary 15 tys. zł i 20 tys. zł, m.in. za niewdrożenie odpowiednich środków technicznych i organizacyjnych w wyniku czego doszło do naruszenia ochrony danych osobowych. Zgubiono nieszyfrowanego pendrive’a z danymi osobowymi około 1.500 osób. Karę ponad 24 tys. zł otrzymała również spółka obsługująca te instytucje, w zakresie zmiany programu kadrowo-płacowego.

Wszystkie trzy instytucje miały procedury dotyczące zabezpieczania danych, ale w toku prac nad przeniesieniem danych do nowego systemu kadrowo-płacowego miejskiego ośrodka pomocy społecznej i miejskiego ośrodka sportu i rekreacji dane nie były skutecznie zabezpieczone. Dla samej procedury zmiany systemu kadrowo-płacowego w MOSiR i MOPS nie było też analizy ryzyka dla danych osobowych.

Pracownik MOPS wykonujący jednocześnie pracę dla MOSiR udostępnił dane pracownikowi spółki, realizującej zlecenie transferu tych danych. Zostały one zgrane na pendrive, który nie był jednak szyfrowany. Następnie pracownik spółki zgrał część danych na służbowego laptopa. Po tej operacji pendrive nie został wyczyszczony, co przewidywała procedura tej firmy.

Pracownik spółki pojechał do innego miasta i tam zgubił tego pendrive’a. Osoba, która go znalazła, najpierw dała ogłoszenie w lokalnych mediach, a że to nie dało rezultatu, otworzyła nośnik. Na podstawie nazw katalogów domyśliła się, że zawiera on informacje dotyczące MOPS i MOSiR z Kutna i się z nimi skontaktowała.

W ten sposób instytucje te zorientowały się, że pendrive zawierający dane osobowe został zgubiony. Zgłosiły to Prezesowi UODO. Pendrive zawierał dane około tysiąca byłych i obecnych pracowników i współpracowników MOSiR oraz dane 549 pracowników, emerytów oraz byłych pracowników, zleceniobiorców oraz uczestników prac interwencyjnych MOPS.

Zakres danych obu instytucji był inny, ale w sumie na nośniku można było znaleźć m.in. takie dane jak: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia.

Prezes UODO zbadał tę sprawę i ustalił, że gdyby przeprowadzono analizę ryzyka dla procesu wymiany systemu kadrowo-płacowego, to nie doszłoby do naruszenia ochrony danych. Przez jej brak, nikt nie kontrolował tego procesu i nikt nie sprawdził, czy procedury spółki przeprowadzającej zmianę systemu płacowo-kadrowego są adekwatne.

 Obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na dwuetapowym procesie, tj. na

1. przeprowadzeniu analizy ryzyka
2. i zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.

Zarówno MOPS, MOSiR, jak i spółka zmieniająca system kadrowo-płacowy powinny były zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe). Gdyby to zrobiono, można by było zapobiec wystąpieniu naruszenia ochrony danych.

DKN.5131.35.2021