Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ktoś przyniósł do urzędu nieszyfrowanego pendrajwa z wrażliwymi danymi obywateli. Bonus: nie był to pracownik. Kara od UODO.

15 czerwca 2023, 10:58 | W biegu | komentarzy 26

Temat nieszyfrowanych pendrajwów zaczyna pojawiać się coraz częściej (patrz też: Rzecznik Dyscyplinarny Izby Adwokackiej z karą od UODO. Wysłali pismo z informacją o dołączonym pendrive z wrażliwymi danymi. Przesyłka uszkodzona, pendrive zniknął)

Dość zawiły oryginalny opis nowej akcji możecie znaleźć w tym miejscu:

Do naruszenia ochrony danych osobowych doszło na skutek nieuprawnionego wykonania z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W. kopii danych osobowych w zakresie: nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali).

Jak doszło do naruszenia?

do Urzędu Miasta i Gminy W. został przyniesiony pendrive z polecenia pracownika przebywającego na zwolnieniu lekarskim. Ze wstępnych informacji wiemy, że na nośniku znajdują się dokumenty służbowe zawierające dane osobowe takie jak: umowy z osobami fizycznymi, umowy najmu, faktury, rozliczenia. Nośnik został dostarczony przez osobę trzecią, nie będącą pracownikiem Urzędu. Osoba ta nie posiada również upoważnienia. Podejrzewamy, że pracownik przebywający na zwolnieniu wykonał nieautoryzowaną i nieuprawnioną kopię dokumentów urzędowych na prywatny nośnik danych (…)

Jak się domyślacie pendrive nie był szyfrowany. Skala incydentu niby nie jest duża, jednak:

Na nośniku pojawiają się dane osobowe około 250 osób fizycznych i firm. Dokładna liczba osób jest trudna do oszacowania z uwagi na fakt, iż wiele nazwisk znajdujących się w dokumentach jest powtarzanych, a na samym nośniku przeanalizowano ponad ok. 2100 plików.

W każdym razie Urząd Ochrony Danych Osobowych nałożył na Urząd Gminy karę 10 000 zł.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcin

    40 zł kary od osoby … nie tak źle

    Odpowiedz
    • DariuszLublin

      Tylko czy te 40zl dostanie osoba której dane są na pendrive?

      Odpowiedz
      • Jmp

        Rozumiem, że nie ma dowodów, by te dane gdzieś indziej trafiły.

        Odpowiedz
      • Ryszard S. Klanu

        Nie dostanie nic jak nie pojdzie do sadu bo to nie jest zeby poszkodowanemu pomoc tylko, zeby zasilic budzet. A jak poszkodowany pojdzie do sadu to dostanie tyle, ze aby pokryc koszty sprawy bedzie musial dolozyc drugie tyle ile mu przyzna sad. Patrz inny wpis na tej stronie.

        Odpowiedz
      • Marcin

        A dlaczego ma dostać ta osoba?

        Odpowiedz
  2. Ktoś tu kogoś podpie…. doniósł na kogoś znaczy.

    Odpowiedz
    • M.

      Teraz to się nazywa zgłoszenie obywatelskie

      Odpowiedz
    • Max

      Jak to kto, sygnalista 😅

      Odpowiedz
  3. Posiadam stare książki telefoniczne. Czy rumburak zrobi z tego aferę? Ludzie, nie dajcie się ogłupić. Bezpieczenstwo IT to rozdmuchana sprawa, srednia krajowa max

    Odpowiedz
    • Mariusz

      Co to za pie… za przeproszeniem. Aby trafić do książki telefonicznej trzeba było wyrazić na to zgodę. Jedyne co się udostępniało w niej to numer telefonu, a nie adresy, numery rachunków itd.

      Odpowiedz
      • adam

        Za przeproszeniem nie widziałeś chyba starych książek telefonicznych. O zgodę nikt nie pytał. Było nazwisko, imię, adres, nr tel.

        Odpowiedz
      • Konrad

        Zmartwię Cię ale działało to na odwrót: musiałeś wykonać szereg czynności by zastrzec swój numer i mieć nadzieję, że skład książki nie nastąpi przed nabraniem mocy urzędowej złożonych dokumentów. I mylisz się, adresy przed ’97 były publikowane w KT

        Odpowiedz
      • Wiktor

        W książce telefonicznej był adres i numer tel

        Odpowiedz
    • Szypki Wonsz

      Rozdmuchana sprawa? To podaj nam swoje dane.

      Odpowiedz
  4. Luk

    Wszystko fajnie tylko dlaczego 3 osoba przyniosła pendrive nie do kolegów tego pana x, tylko do IODO tego urzędu?

    Odpowiedz
    • Konrad

      Być może przyniósł do właściwej osoby.
      Prawdopodobnie chcieli ustrzelić przebywającego na zwolnieniu Pana X a strzelili sobie w stopę ;)

      Odpowiedz
  5. Paweł

    Aż strach sobie przypominać co było przed RODO. Informatyka się rozwijała, były bardzo, bardzo długo dyskietki 3,5″, i płyty CD. To dopiero były wycieki. Brakowało tylko paragrafu. Tak samo w przychodni po nazwisku, w wypożyczalni kaset VHS również dowód. Przy umowie o abonament dowód + kserokopia. A gdzie to było wykorzystane, to się nigdy nie dowiem. O matko, co za czasy. Za stary jestem 😄

    Odpowiedz
    • Konrad

      Paragraf był (Ustawa o ochronie danych osobowych z 1997r.).
      Obowiązki nakładał podobne z tą różnicą, że przewidywana kara za naruszenie danych była niższa niż koszty wdrożenia procedur bezpieczeństwa, więc mało kto jej przestrzegał.

      Odpowiedz
      • Leszek

        Przed 97 rokiem już były wypożyczalnie, dyskietki i płyty CD.

        Odpowiedz
  6. Elekos

    Ciekawe : karę dostał urząd, czyli kto? Pracownicy nie odpowiadają zbiorowo nie ma takiego prawa. A więc zapłaci urzad, czyli instytucja publiczna, czyli my. Absurd. A gdzie jest odpowiedzialność urzędnicza i karna osoby. Cywilnej? Niech płaci ten, co skopiował i wyniósł, a nie my, jako społeczeństwo.

    Odpowiedz
  7. Lol

    „nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL”

    Wszystkie moje dane w CEIDG i na białej liście podatników dostępne dla wszystkich 24/h. Czy skoro na prywatnym pendrivie do którego trzeba mieć fizyczny dostęp to taka tragedia to czy powinienem się bać?

    To że udostępnienie tych danych jest (lub może) być szkodliwe bo ktoś weźmie kredyt to nie problem osób udostępniających tylko osób które traktują podanie tych danych jako dowód, że ta osoba jest tą za którą się podaje. PESELe wszędzie łażą na prawo i lewo część z nich w formie CEIDG lub innej ląduje w internecie ewentualnie dalej w umowach/wielu miejscach. Imię i nazwisko jest na facebooku. Na numer rachunku można co najwyżej przelać pieniądz.

    W mojej skromnej opinii takie traktowanie UODO to jest robienie słupków lub publicznego straszaka. Ale idzie to nie w tym kierunku, bo wolałbym czytać takie same artykuły dotyczące firm które celowo przekazują lub wykorzystują dane po za zgodą.

    Odpowiedz
    • Szymon

      Też racja. Do pendriva trzeba mieć fizyczny dostęp, poza tym osoba trzecia go przenosząca była zaufana czyli upoważniona.

      Odpowiedz
      • Ruda

        A kto ją niby upoważnił? I zaufana dla kogo? Poza tym zawsze istnieje ryzyko zagubienia, dlatego dane powinny być szyfrowane. Nie czas płakać, jak dojdzie do utraty czy wycieku, tylko trzeba przeciwdziałać za wczasy.

        Odpowiedz
  8. Zoltan

    To czym szyfrować pendrive? Nie wszyscy znajomi używają np. windowsa powyżej home aby użyć bitlockera.

    Odpowiedz
    • Ruda

      W urzędach powinno się raczej stosować wersję Enterprise. A przenoszenie takich danych na prywatny komputer jest niedopuszczalne.

      Odpowiedz
  9. Q

    Niedopuszczalne?
    Raczej technicznie niemożliwe albo drastyczne utrudnione.

    Odpowiedz

Odpowiedz