W Kutnie zgubiono pendrive’a z danymi 1,5 tys. osób. Wszystko, żeby wziąć kredyt
W trakcie prac nad przeniesieniem danych do nowego systemu zgrano dane na niezabezpieczonego pendrive’a, którego później... zgubiono. Znajdowały się tam dane osobowe ok. 1,5 tys. osób. Było tam wszystko, co potrzeba przestępcy, aby wyłudzić kredyt lub podszyć się pod daną osobę.
Na co dzień wykonując obowiązki służbowe, a nawet zgrywając własne pliki na telefon, laptopa lub jakikolwiek nośnik często pomijamy wszelkie aspekty bezpieczeństwa, zakładając, że nic się nie stanie. Cóż statystycznie prawdopodobnie tak będzie, ale wystarczy jeden przypadek, a wrażliwe dane mogą trafić w niepowołane ręce. Doskonałym przykładem jest niedawna sytuacja z Kutna, gdzie w dwóch instytucjach, Miejskim Ośrodku Sportu i Rekreacji (MOSiR) oraz Miejskim Ośrodku Pomocy Społecznej (MOPS) zmieniano system kadrowo-płacowy, o poinformował Urząd Ochrony Danych Osobowych.
Pracownik MOPS, który jednocześnie wykonywał pracę również dla MOSiR udostępnił pracownikowi firmy wykonującej zlecenie transferu wszelkie niezbędne do tego procesu dane. Zostały one zgrane na pendrive’a, a następnie przeniesione na służbowego laptopa. Gdybyśmy zatrzymali się w tym miejscu, prawdopodobnie nie byłoby problemu. Niestety później nośnik nie został wyczyszczony, co przewidywała procedura firmy, a wszelkie znajdujące się na nim dane nie były zabezpieczone żadnym hasłem. Pracownik spółki pojechał do innego miasta i tam... zgubił pendrive’a. Urządzenie zostało znalezione przez przypadkową osobę, która poinformowała o tym w lokalnym mediach. Gdy nikt się nie zgłaszał po zgubę, postanowiła otworzyć nośnik i po zawartych tam informacjach domyśliła się, że zawiera ono dane MOSiR i MOPS z Kutna, w związku z czym skontaktowała się z instytucjami.
Jak przekazał UODO, pendrive zawierał dane około tysiąca byłych i obecnych pracowników i współpracowników MOSiR, a także dane 549 byłych i obecnych pracowników, emerytów, zleceniobiorców oraz uczestników prac interwencyjnych MOPS. Zakres danych, które mogły trafić w niepowołane ręce, jest wręcz niewyobrażalny (choć w zasadzie nie powinien dziwić, wszak to dane kadrowe). Jak przekazano, zakres danych w obu instytucjach był odmienny, jednak w sumie na niezabezpieczonym nośniku znalazły się takie dane jak: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia.
Sprawa znalezienia trafiła do prezesa UODO, który po zbadaniu sprawy ustalił, że doszło do naruszeń procedur, które są opracowane na wypadek przenoszenia danych osobowych. Nałożono w sumie trzy kary na łączną kwotę 59 tys. zł. Miejskie instytucje w Kutnie otrzymały kary 15 tys. zł i 20 tys. zł m.in. za "niewdrożenie odpowiednich środków technicznych i organizacyjnych w wyniku czego doszło do naruszenia ochrony danych osobowych". Najwyższą karę, 24 tys. zł, otrzymała firma, która realizowała zlecenie transferu danych w ramach zmiany systemu kadrowo-płacowego.
Źródło: UODO
***
Bądź na bieżąco i zostań jednym z 90 tys. obserwujących nasz fanpage - polub Geekweek na Facebooku i komentuj tam nasze artykuły!