Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Ktoś przyniósł do urzędu nieszyfrowanego pendrajwa z wrażliwymi danymi obywateli. Bonus: nie był to pracownik. Kara od UODO.
Temat nieszyfrowanych pendrajwów zaczyna pojawiać się coraz częściej (patrz też: Rzecznik Dyscyplinarny Izby Adwokackiej z karą od UODO. Wysłali pismo z informacją o dołączonym pendrive z wrażliwymi danymi. Przesyłka uszkodzona, pendrive zniknął)
Dość zawiły oryginalny opis nowej akcji możecie znaleźć w tym miejscu:
Do naruszenia ochrony danych osobowych doszło na skutek nieuprawnionego wykonania z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W. kopii danych osobowych w zakresie: nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali).
Jak doszło do naruszenia?
do Urzędu Miasta i Gminy W. został przyniesiony pendrive z polecenia pracownika przebywającego na zwolnieniu lekarskim. Ze wstępnych informacji wiemy, że na nośniku znajdują się dokumenty służbowe zawierające dane osobowe takie jak: umowy z osobami fizycznymi, umowy najmu, faktury, rozliczenia. Nośnik został dostarczony przez osobę trzecią, nie będącą pracownikiem Urzędu. Osoba ta nie posiada również upoważnienia. Podejrzewamy, że pracownik przebywający na zwolnieniu wykonał nieautoryzowaną i nieuprawnioną kopię dokumentów urzędowych na prywatny nośnik danych (…)
Jak się domyślacie pendrive nie był szyfrowany. Skala incydentu niby nie jest duża, jednak:
Na nośniku pojawiają się dane osobowe około 250 osób fizycznych i firm. Dokładna liczba osób jest trudna do oszacowania z uwagi na fakt, iż wiele nazwisk znajdujących się w dokumentach jest powtarzanych, a na samym nośniku przeanalizowano ponad ok. 2100 plików.
W każdym razie Urząd Ochrony Danych Osobowych nałożył na Urząd Gminy karę 10 000 zł.
~ms
40 zł kary od osoby … nie tak źle
Tylko czy te 40zl dostanie osoba której dane są na pendrive?
Rozumiem, że nie ma dowodów, by te dane gdzieś indziej trafiły.
Nie dostanie nic jak nie pojdzie do sadu bo to nie jest zeby poszkodowanemu pomoc tylko, zeby zasilic budzet. A jak poszkodowany pojdzie do sadu to dostanie tyle, ze aby pokryc koszty sprawy bedzie musial dolozyc drugie tyle ile mu przyzna sad. Patrz inny wpis na tej stronie.
A dlaczego ma dostać ta osoba?
Ktoś tu kogoś podpie…. doniósł na kogoś znaczy.
Teraz to się nazywa zgłoszenie obywatelskie
Jak to kto, sygnalista 😅
Posiadam stare książki telefoniczne. Czy rumburak zrobi z tego aferę? Ludzie, nie dajcie się ogłupić. Bezpieczenstwo IT to rozdmuchana sprawa, srednia krajowa max
Co to za pie… za przeproszeniem. Aby trafić do książki telefonicznej trzeba było wyrazić na to zgodę. Jedyne co się udostępniało w niej to numer telefonu, a nie adresy, numery rachunków itd.
Za przeproszeniem nie widziałeś chyba starych książek telefonicznych. O zgodę nikt nie pytał. Było nazwisko, imię, adres, nr tel.
Zmartwię Cię ale działało to na odwrót: musiałeś wykonać szereg czynności by zastrzec swój numer i mieć nadzieję, że skład książki nie nastąpi przed nabraniem mocy urzędowej złożonych dokumentów. I mylisz się, adresy przed ’97 były publikowane w KT
W książce telefonicznej był adres i numer tel
Rozdmuchana sprawa? To podaj nam swoje dane.
Wszystko fajnie tylko dlaczego 3 osoba przyniosła pendrive nie do kolegów tego pana x, tylko do IODO tego urzędu?
Być może przyniósł do właściwej osoby.
Prawdopodobnie chcieli ustrzelić przebywającego na zwolnieniu Pana X a strzelili sobie w stopę ;)
Aż strach sobie przypominać co było przed RODO. Informatyka się rozwijała, były bardzo, bardzo długo dyskietki 3,5″, i płyty CD. To dopiero były wycieki. Brakowało tylko paragrafu. Tak samo w przychodni po nazwisku, w wypożyczalni kaset VHS również dowód. Przy umowie o abonament dowód + kserokopia. A gdzie to było wykorzystane, to się nigdy nie dowiem. O matko, co za czasy. Za stary jestem 😄
Paragraf był (Ustawa o ochronie danych osobowych z 1997r.).
Obowiązki nakładał podobne z tą różnicą, że przewidywana kara za naruszenie danych była niższa niż koszty wdrożenia procedur bezpieczeństwa, więc mało kto jej przestrzegał.
Przed 97 rokiem już były wypożyczalnie, dyskietki i płyty CD.
Ciekawe : karę dostał urząd, czyli kto? Pracownicy nie odpowiadają zbiorowo nie ma takiego prawa. A więc zapłaci urzad, czyli instytucja publiczna, czyli my. Absurd. A gdzie jest odpowiedzialność urzędnicza i karna osoby. Cywilnej? Niech płaci ten, co skopiował i wyniósł, a nie my, jako społeczeństwo.
„nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL”
Wszystkie moje dane w CEIDG i na białej liście podatników dostępne dla wszystkich 24/h. Czy skoro na prywatnym pendrivie do którego trzeba mieć fizyczny dostęp to taka tragedia to czy powinienem się bać?
To że udostępnienie tych danych jest (lub może) być szkodliwe bo ktoś weźmie kredyt to nie problem osób udostępniających tylko osób które traktują podanie tych danych jako dowód, że ta osoba jest tą za którą się podaje. PESELe wszędzie łażą na prawo i lewo część z nich w formie CEIDG lub innej ląduje w internecie ewentualnie dalej w umowach/wielu miejscach. Imię i nazwisko jest na facebooku. Na numer rachunku można co najwyżej przelać pieniądz.
W mojej skromnej opinii takie traktowanie UODO to jest robienie słupków lub publicznego straszaka. Ale idzie to nie w tym kierunku, bo wolałbym czytać takie same artykuły dotyczące firm które celowo przekazują lub wykorzystują dane po za zgodą.
Też racja. Do pendriva trzeba mieć fizyczny dostęp, poza tym osoba trzecia go przenosząca była zaufana czyli upoważniona.
A kto ją niby upoważnił? I zaufana dla kogo? Poza tym zawsze istnieje ryzyko zagubienia, dlatego dane powinny być szyfrowane. Nie czas płakać, jak dojdzie do utraty czy wycieku, tylko trzeba przeciwdziałać za wczasy.
To czym szyfrować pendrive? Nie wszyscy znajomi używają np. windowsa powyżej home aby użyć bitlockera.
W urzędach powinno się raczej stosować wersję Enterprise. A przenoszenie takich danych na prywatny komputer jest niedopuszczalne.
Niedopuszczalne?
Raczej technicznie niemożliwe albo drastyczne utrudnione.