UODO nałożył kary na instytucje w Kutnie za naruszenie ochrony danych osobowych

Prezes Urzędu Ochrony Danych Osobowych (UODO) ukarał dwie instytucje miejskie w Kutnie – Miejski Ośrodek Pomocy Społecznej (MOPS) oraz Miejski Ośrodek Sportu i Rekreacji (MOSiR) – grzywnami w wysokości odpowiednio 15 tys. zł i 20 tys. zł. Kary zostały nałożone za niewdrożenie odpowiednich środków technicznych i organizacyjnych, co doprowadziło do naruszenia ochrony danych osobowych.

Dodatkowo, spółka obsługująca te instytucje w zakresie zmiany programu kadrowo-płacowego została ukarana kwotą ponad 24 tys. zł. Przyczyną było zgubienie nieszyfrowanego pendrive’a zawierającego dane osobowe około 1,500 osób.

Zaniedbania w zabezpieczeniu danych

Wszystkie trzy podmioty posiadały procedury dotyczące zabezpieczania danych, jednak w trakcie przenoszenia danych do nowego systemu kadrowo-płacowego nie zastosowano skutecznych środków ochrony. Brakowało również analizy ryzyka dla danych osobowych w procesie zmiany systemu.

Pracownik MOPS, pracujący jednocześnie dla MOSiR, przekazał dane osobowe pracownikowi spółki odpowiedzialnej za transfer danych. Dane zostały zapisane na pendrive, który nie był zaszyfrowany. Następnie pracownik spółki zgrał część danych na służbowego laptopa, nie usuwając ich z nośnika, co było niezgodne z procedurami firmy.

Zgubiony pendrive i ujawnione dane

Podczas podróży do innego miasta pracownik spółki zgubił pendrive’a. Osoba, która go znalazła, najpierw próbowała zwrócić nośnik poprzez ogłoszenie w lokalnych mediach. Gdy to nie przyniosło skutku, otworzyła pliki i na podstawie nazw katalogów domyśliła się, że zawierają one informacje dotyczące MOPS i MOSiR w Kutnie, po czym skontaktowała się z tymi instytucjami.

Pendrive zawierał dane około tysiąca byłych i obecnych pracowników oraz współpracowników MOSiR, a także 549 osób związanych z MOPS, w tym pracowników, emerytów, zleceniobiorców i uczestników prac interwencyjnych.

    Brak analizy ryzyka i kontroli procesu

    Prezes UODO stwierdził, że gdyby przeprowadzono analizę ryzyka związaną z procesem wymiany systemu kadrowo-płacowego, naruszenia można byłoby uniknąć. Brak takiej analizy spowodował, że proces nie był kontrolowany, a procedury spółki odpowiedzialnej za transfer danych nie zostały zweryfikowane pod kątem adekwatności.

    – Obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na przeprowadzeniu analizy ryzyka i zastosowaniu odpowiednich środków technicznych i organizacyjnych. Powinny one również zweryfikować, czy dane zostały udostępnione w sposób uwzględniający ryzyko utraty nośnika oraz czy są odpowiednio zabezpieczone przed dostępem osób nieuprawnionych – podkreśla Prezes UODO.

    Konsekwencje i wnioski

    Gdyby dane były odpowiednio zabezpieczone, na przykład poprzez szyfrowanie lub zastosowanie haseł, można byłoby zapobiec naruszeniu ochrony danych. Sprawa ta podkreśla znaczenie starannego stosowania procedur bezpieczeństwa w procesach przetwarzania i transferu danych osobowych.

    Nałożone kary finansowe mają być przestrogą dla innych podmiotów, aby skrupulatnie przestrzegały przepisów RODO i dbały o bezpieczeństwo przetwarzanych danych. UODO apeluje o większą ostrożność i odpowiedzialność w zarządzaniu danymi osobowymi, zwłaszcza w kontekście współpracy z podmiotami zewnętrznymi.

    Add a comment

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *