Zdaniem UODO Miejski Ośrodek Pomocy Społecznej oraz Miejski Ośrodek Sportu i Rekreacji nie wdrożyły odpowiednich środków technicznych i organizacyjnych podczas procesu przenoszenia danych osobowych do nowego systemu kadrowo-płacowego. Obie instytucje nie zadbały o to, by pendrive, na którym zapisane zostały poufne informacje, został zaszyfrowany. Nie przeprowadziły również analizy ryzyka dla danych osobowych. 

"Pracownik MOPS wykonujący jednocześnie pracę dla MOSiR udostępnił dane pracownikowi spółki, realizującej zlecenie transferu tych danych. Zostały one zgrane na pendrive, który nie był jednak szyfrowany. Następnie pracownik spółki zgrał część danych na służbowego laptopa. Po tej operacji pendrive nie został wyczyszczony, co przewidywała procedura tej firmy" - wskazano w komunikacie UODO. 

Pracownik spółki, będąc w innym mieście, zgubił nośnik z danymi. Osoba, która go znalazła, zamieściła w tej sprawie ogłoszenie w mediach społecznościowych, jednak z braku wiadomości zwrotnej od właściciela, zdecydowała się go otworzyć. W środku znalazła informacje MOPS i MOSiR w Kutnie, dzięki czemu wiedziała, komu zgłosić znalezienie nośnika.

"W ten sposób instytucje te zorientowały się, że pendrive zawierający dane osobowe został zgubiony. Zgłosiły to Prezesowi UODO. Pendrive zawierał dane około tysiąca byłych i obecnych pracowników i współpracowników MOSiR oraz dane 549 pracowników, emerytów oraz byłych pracowników, zleceniobiorców oraz uczestników prac interwencyjnych MOPS" - podał UODO.

Po zbadaniu sprawy Prezes UODO ustalił, że nie doszłoby do zgubienia nośnika i odczytania informacji poufnych, gdyby MOPS, MOSiR i obsługująca je spółka przeprowadziły analizę ryzyka dla procesu wymiany systemu kadrowo-płacowego. 

Zdaniem UODO zarówno MOPS, MOSiR, jak i spółka zmieniająca system kadrowo-płacowy powinny były zweryfikować, czy dane osobowe zostały udostępnione w sposób uwzględniający ryzyko utraty ich nośnika, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe). "Gdyby to zrobiono, można by było zapobiec wystąpieniu naruszenia ochrony danych" - ocenił UODO.

Na zgubionym nośniku znajdowały się nie tylko imiona, nazwiska i numery PESEL pracowników, ale również dane dotyczące zarobków, numery telefonów, zwolnień lekarskich, wykształcenia, a nawet imiona i nazwiska dzieci i rodziców. W związku z niedopełnieniem obowiązków Prezes UODO nałożył karę finansową na MOPS i MOSiR w Kutnie w wysokości 15 i 24 tys. złotych. Spółka realizująca transfer danych została ukarana kwotą 24 tys.

mk/