Do niebezpiecznego incydentu doszło w Kutnie, gdzie w Miejskim Ośrodku Sportu i Rekreacji (MOSiR) oraz Miejskim Ośrodku Pomocy Społecznej (MOPS) doszło do zmiany systemu kadrowo-płacowego. W efekcie niezbędne było przeniesienie danych, które zostały zgrane na pendrive'a. Niestety urządzenie wraz z nieusuniętymi informacjami, które mogły skutkować poważnymi wyłudzeniami, zostało zgubione.
Pracownik MOPS, współpracujący również z MOSiR, udostępnił wszelkie niezbędne do tego proces dane osobie realizującej zlecenie ich transferu. Te zostały zgromadzone na pendrivie, który nie był jednak szyfrowany. Co więcej, nośnik nie został wyczyszczony, co - zgodnie z procedurami firmy - powinno zostać wykonane. Później okazało się, że pendrive został zgubiony w zupełnie innym mieście. Osoba, która go znalazła, poinformowała o tym lokalne media. Nikt jednak nie zgłosił się po swoją własność. Wtedy postanowiła podłączyć urządzenie do swojego komputera, a znajdujące się tam dane wskazywały na to, że nośnik należy właśnie do wspomnianych wcześniej spółek miejskich w Kutnie. Znalazca skontaktował się z instytucjami, a ich przedstawiciele poinformowali o sprawie Prezesa Urzędu Ochrony Danych Osobowych.
Prezes UODO przekazał natomiast, że na nośniku znajdowały się dane około tysiąca byłych i obecnych pracowników oraz współpracowników MOSiR, a także informacje o 549 byłych i obecnych pracownikach, emerytach, zleceniobiorcach oraz uczestnikach prac interwencyjnych MOPS. Na pendrivie znaleziono między innymi: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, imiona i nazwiska dzieci oraz ich daty urodzenia. W związku z tym Urząd Ochrony Danych Osobowych podjął decyzję o ukaraniu wszystkich trzech spółek. Miejskie instytucje w Kutnie otrzymały kary w wysokości 15 tys. złotych i 20 tys. złotych między innymi za "niewdrożenie odpowiednich środków technicznych i organizacyjnych w wyniku czego doszło do naruszenia ochrony danych osobowych". Największą kwotę będzie musiała zapłacić natomiast firma, która realizowała zlecenie transferu danych. W tym przypadku chodzi o karę w wysokości 24 tys. złotych.
Dziękujemy, że przeczytałaś/eś nasz artykuł.
Bądź na bieżąco! Obserwuj nas w Wiadomościach Google.