Prezes Urzędu Ochrony Danych Osobowych nałożył kary w wysokości 15 tys. zł i 20 tys. zł na dwie samorządowe jednostki organizacyjne: miejski ośrodek pomocy społecznej oraz miejski ośrodek sportu i rekreacji. Przyczyną ukarania był przede wszystkim brak wdrożonych odpowiednich środków technicznych i organizacyjnych, co doprowadziło do naruszenia ochrony danych osobowych polegającego na zgubieniu nośnika z danymi osobowymi. Ukarana została także firma zapewniająca system kadrowo-płacowy dla jednostek.
Opracowanie: Michał Kowalski
Naruszenie ochrony danych miało miejsce w związku z przetwarzaniem danych osobowych polegającym na ich migracji do nowego systemu kadrowo-płacowego miejskiego ośrodka pomocy społecznej oraz miejskiego ośrodka sportu i rekreacji. W procesie tym wystąpiły nieprawidłowości, które poskutkowały utratą danych osobowych. Pracownik MOPS udostępnił dane osobowe pracownikowi spółki dokonującej migracji danych w systemie kadrowo-płacowym.
Dane te przeniesiono na niezaszyfrowany pendrive, a część z nich z zgrano na służbowego laptopa, pozostawiając jednak dane na nośniku.
Na nośniku zapisano dane ok. tysiąca byłych i obecnych pracowników i współpracowników MOSiR a także 549 pracowników, emerytów oraz byłych pracowników, zleceniobiorców oraz uczestników prac interwencyjnych MOPS Były to:
imiona, nazwiska,
imiona rodziców,
daty urodzenia
numery rachunków bankowych,
adresy zamieszkania lub pobytu,
numery ewidencyjne PESEL,
adresy e-mail,
dane dotyczące zarobków i/lub posiadanego majątku,
nazwiska rodowe matki,
serie i numery dowodów osobistych,
numery telefonu,
dane o urlopach,
zwolnieniach lekarskich,
dane dotyczące ukończonych szkół,
historia zatrudnienia,
imiona i nazwiska dzieci oraz ich daty urodzenia.
Pendrive został następnie zgubiony przez pracownika spółki. Nośnik został później odnaleziony przez osobę postronną, która poinformowała o tym MOPS i MOSiR. Jednostki dokonały następnie zgłoszenia naruszenia ochrony danych do Prezesa UODO.
W toku postępowania przeprowadzonego przez Prezesa UODO okazało się, że dla tego procesu nie przeprowadzono analizy ryzyka RODO. Gdyby taka analiza została przeprowadzona, wówczas administratorzy danych wraz z procesorem byliby w stanie zapewnić kontrolę procesu migracji w związku ze zmianą systemu kadrowo-płacowego i zminimalizować ryzyko naruszenia ochrony danych. Nie sprawdzono też procedur spółki przeprowadzającej migrację danych.
W toku analizy ryzyka jednostki powinny były zweryfikować, czy dane osobowe:
udostępniano w sposób uwzględniający ryzyko utraty ich nośnika,
odpowiednio zabezpieczono przed dostępem do nich osób nieuprawnionych (np. przez zabezpieczenie hasłem).
W następstwie stwierdzono nieprawidłowości Prezes UODO nałożył administracyjne kary pieniężne w kwotach:
15 tys. zł i 20 tys. zł na jednostki samorządowe,
24 tys. zł na spółkę przeprowadzającą migrację danych w systemie kadrowo-płacowym.
Decyzja Prezesa UODO DKN.5131.35.2021
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
