Pendrive z danymi osobowymi to mała rzecz o wielkiej wartości. Ten kosztował 10 tysięcy złotych.
A dokładnie 10 tysięcy kary musi za niego zapłacić burmistrz, gdzie ten pendrive został przyniesiony do Urzędu Miasta i Gminy W.
Sytuacja musiała wyglądać kuriozalnie. Do Urzędu Miasta i Gminy W. weszła osoba postronna i przyniosła nośnik. Na nim znajdowały się dokumenty służbowe z danymi osobowymi. Były to między innymi umowy z osobami fizycznymi, umowy najmu, rozliczenia i faktury. Pliki nie były zaszyfrowane, pendrive nie miał żadnych zabezpieczeń.
Teraz nasuwa się pytanie: skąd osoba niezatrudniona w urzędzie miała te dane? Wszystko wskazuje na to, że pochodziły od pracowniczki urzędu, która przebywała na zwolnieniu lekarskim w chwili zdarzenia. Przyniósł je zaś były pracownik tego samego urzędu. W normalnej sytuacji nie byłoby nic dziwnego w proszeniu byłego kolegi czy koleżanki z pracy o pomoc, ale mówimy tu o danych o szczególnym znaczeniu. Do tego pendrive nie był własnością urzędu, o którym mowa.
Większość dokumentów na nośniku była pusta. Były to głównie wzory umów, w tym użyczenia boisk, powierzenia przetwarzania danych, zestawienia lokali, dane potrzebne do rozliczania czynszów i tym podobne. Większość z tych informacji i tak jest publicznie dostępna. Problem w tym, że były tam również dokumenty wypełnione. Były tam imiona, nazwiska, adresy, kwoty faktur, a w 10 przypadkach także numery PESEL osób. W sumie w ok. 2100 plików pojawiły się tam dane ok. 250 osób fizycznych i firm.
Zobacz: LinkedIn złamał RODO? Kara będzie wysoka… albo wcale
Ciężaru dodaje fakt, że pracowniczka urzędu przyszła do pracy około godziny 7, mimo że przebywała na zwolnieniu lekarskim, a Urząd Gminy i Miasta pracował tego dnia od 8:00. Nie zarejestrowała swojej obecności w miejscu pracy, zalogowała się na swoim komputerze o 6:58, a wylogowała o 7:32. Zostało to ustalone później i tylko dlatego, że w jej pracy znaleziono sporo błędów i potrzebna była kontrola. Urzędniczka podała więc hasło do swojego komputera (sic!) innemu pracownikowi urzędu.
Co się okazało? Po dokumentach ani śladu. Nie było ich ani lokalnie na komputerze, ani na serwerze urzędu. Logi z systemu wykazały, że zostały one celowo usunięte. Znalazły się nieco później, a jakże, na nośniku przyniesionym przez osobę trzecią. Pracowniczka Urzędu Miasta i Gminy W. skopiowała dane na prywatny nośnik, co w ogóle nie powinno być możliwe! Dalej prawdopodobnie modyfikowała je na prywatnym komputerze, być może chcą poprawić swoje wcześniejsze błędy, a następnie transport zleciła osobie trzeciej. Ile osób nieuprawnionych mogło mieć po drodze do nich dostęp?
Sprawa miała miejsce w maju 2022 roku. Pani K.B. jako Kierownik zgłosiła się do Inspektora Ochrony Danych z informacją o prawdopodobnym naruszeniu. Po tym wydarzeniu Burmistrz zlecił wdrożenie blokady portów USB komputerów w Urzędzie i szuka dodatkowych zabezpieczeń przed kopiowaniem plików. Wszyscy pracownicy Urzędu zostali wcześniej przeszkoleni i zobowiązani do przestrzegania RODO, podpisali też odpowiednie dokumenty, ale widać to nie wystarczyło.
UODO nałożył na Burmistrza Miasta W. karę wysokości 10 tysięcy złotych za nieprzestrzeganie RODO. Szczegóły i uzasadnienie można znaleźć w Decyzji. Nie stwierdzono, by z powodu naruszenia wystąpiła jakaś szkoda i miejmy nadzieję, że tak zostanie. Niech to będzie przestroga i gwarancja bezpieczeństwa – takie rzeczy nie uchodzą na sucho.
Z drugiej strony, zanim zaczniemy rzucać pomidorami w urzędy, spójrzmy na siebie. Obywatele sami swoich danych nie szanują. Nie chodzi nawet o to, że toniemy w oceanie ataków phishingowych. We wtorek odbierałam nowy dowód osobisty i gdy czekałam na swoją kolej, znalazłam wypełniony wniosek o wydanie nowego dokumentu. Chociaż… znalazłam to za dużo powiedziane. Wniosek leżał po prostu na stoliku, na którym można wypełniać dokumenty. Przypuszczam, że sporo osób przede mną go zobaczyło, może nawet zrobiło zdjęcie i te dane wykorzysta do czegoś niecnego.
Źródło zdjęć: Antonio Guillem / Shutterstock
Źródło tekstu: UODO, Sekurak, własne