Zgodnie z informacją podaną na stronie Urzędu Ochrony danych Osobowych („UODO”), Prezes UODO nałożył na dwóch pracodawców z sektora finansów publicznych (instytucje miejskie w Kutnie) kary w wysokości 15.000,00 zł i 20.000,00 zł, m.in. za niewdrożenie odpowiednich środków technicznych i organizacyjnych, w wyniku czego doszło do naruszenia ochrony danych osobowych (decyzja DKN.5131.35.2021).
Kara w wysokości 24.000,00 zł została nałożona przez Prezesa UODO także na spółkę obsługującą te instytucje w zakresie zmiany programu kadrowo-płacowego.
Pracownik MOPS, wykonujący jednocześnie pracę dla MOSiR zgubił nieszyfrowany nośnik danych, na którym znajdowały się dane osobowe około półtora tysiąca osób. Wśród danych byłych i obecnych pracowników i współpracowników placówek znajdujących się na nośniku były między innymi imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia.
Dane były przenoszone na pendrive przez pracownika spółek miejskich w związku z transferem przy zmianie systemu kadrowo-płacowego w wyżej wymienionych spółkach.
Pendrive został odnaleziony przez osobę postronną, która poinformowała o tym pokrzywdzonych, a ci zgłosili naruszenie do Prezesa UODO.
Prezes UODO zbadał sprawę i ustalił, że gdyby przeprowadzono analizę ryzyka dla procesu wymiany systemu kadrowo-płacowego, to nie doszłoby do naruszenia ochrony danych. Przez jej brak, nikt nie kontrolował tego procesu i nikt nie sprawdził, czy procedury spółki przeprowadzającej zmianę systemu płacowo-kadrowego są adekwatne.
Obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na dwuetapowym procesie, tj. na
- przeprowadzeniu analizy ryzyka
- i zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.
Podmioty powinny były zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe). Gdyby to zrobiono, można by było zapobiec wystąpieniu naruszenia ochrony danych.