Prezes Urzędu Ochrony Danych Osobowych ustalił, że wszystkie trzy instytucje miały procedury dotyczące zabezpieczania danych, ale w toku prac nad przeniesieniem danych do nowego systemu kadrowo-płacowego miejskiego ośrodka pomocy społecznej i miejskiego ośrodka sportu i rekreacji dane nie były skutecznie zabezpieczone. Dla samej procedury zmiany systemu kadrowo-płacowego w MOSiR i MOPS nie było też analizy ryzyka dla danych osobowych.

 

Pracownik zgubił pendrive

Pracownik MOPS, wykonujący jednocześnie pracę dla MOSiR, udostępnił dane pracownikowi spółki, realizującej zlecenie transferu tych danych. Zostały one zgrane na pendrive, który nie był jednak szyfrowany. Następnie pracownik spółki zgrał część danych na służbowego laptopa. Po tej operacji pendrive nie został wyczyszczony, co przewidywała procedura tej firmy.

Pracownik spółki pojechał do innego miasta i tam zgubił pendraive. Osoba, która go znalazła, najpierw dała ogłoszenie w lokalnych mediach, a że to nie dało rezultatu, otworzyła nośnik. Na podstawie nazw katalogów domyśliła się, że zawiera on informacje dotyczące MOPS i MOSiR z Kutna i się z nimi skontaktowała.

W ten sposób instytucje te zorientowały się, że pendrive zawierający dane osobowe został zgubiony. Zgłosiły to prezesowi UODO. Pendrive zawierał dane około tysiąca byłych i obecnych pracowników i współpracowników MOSiR oraz dane 549 pracowników, emerytów oraz byłych pracowników, zleceniobiorców oraz uczestników prac interwencyjnych MOPS.

Zakres danych obu instytucji był inny, ale w sumie na nośniku można było znaleźć m.in. takie dane jak: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia.

Sprawdź w LEX: Jakie obowiązki w kontekście ochrony danych spoczywają na pracodawcy podczas wyposażenia swoich pracowników w telefony służbowe? >

 

Brak analizy ryzyka

Prezes UODO ustalił, że gdyby przeprowadzono analizę ryzyka dla procesu wymiany systemu kadrowo-płacowego, to nie doszłoby do naruszenia ochrony danych. Przez jej brak, nikt nie kontrolował tego procesu i nikt nie sprawdził, czy procedury spółki przeprowadzającej zmianę systemu płacowo-kadrowego są adekwatne.

Obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na dwuetapowym procesie, tj. na

  1. przeprowadzeniu analizy ryzyka
  2. i zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.

Zarówno MOPS, MOSiR, jak i spółka zmieniająca system kadrowo-płacowy powinny były zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe). Gdyby to zrobiono, można by było zapobiec wystąpieniu naruszenia ochrony danych.

Zobacz w LEX: Bezpieczeństwo przetwarzania danych na przenośnych nośnikach pamięci w kontekście obowiązków Prezesa Sądu >

 

Cena promocyjna: 44.25 zł

|

Cena regularna: 59 zł

|

Najniższa cena w ostatnich 30 dniach: 53.1 zł