W połowie marca br. w Biuletynie Informacji Publicznej Zespołu Oświaty Gminnej w Strzelinie przez kilka dni publicznie dostępny był dokument zawierający dane osobowe pracowników – w tym numery PESEL, informacje o zwolnieniach lekarskich oraz dane finansowe związane ze składkami. Wyciek danych dotyczył 81 byłych i obecnych pracowników jednostki. Czy osoby za to odpowiedzialne poniosą konsekwencje służbowe? Jakie działania podjęto po zdarzeniu i co zrobiono, aby do podobnych sytuacji nie dochodziło w przyszłości? O tym rozmawiamy z dr Anną Dziatczyk, dyrektor strzelińskiego ZOG-u.
Czy potwierdza Pani, że w Zespole Oświaty Gminnej w Strzelinie doszło do wycieku danych osobowych, w tym numerów PESEL pracowników?
– Doszło do niezamierzonej publikacji dokumentu, zawierającego dane osobowe w Biuletynie Informacji Publicznej jednostki. Dokument zawierał m.in. numery PESEL.
Anna Dziatczyk, dyrektor Zespołu Oświaty Gminnej w Strzelinie
Ilu pracowników dotyczy ten incydent?
– Zdarzenie dotyczyło 81 obecnych i byłych pracowników Zespołu Oświaty Gminnej w Strzelinie.
Kiedy dokładnie doszło do wycieku i kiedy został on wykryty?
– Dokument był dostępny publicznie w okresie od wczesnych godzin popołudniowych 11 marca do 17 marca do godz. 15.10). Niezwłocznie po wykryciu publikacji, dokument został usunięty ze strony BIP.
Czy incydent został stwierdzony przez kierownictwo ZOG-u czy zgłosili go pracownicy/osoby trzecie?
– Zdarzenie zostało wykryte wewnętrznie.
Jaka była przyczyna naruszenia?
– Przyczyną był niezamierzony błąd ludzki polegający na przekazaniu do publikacji dokumentu bez uprzedniej weryfikacji jego treści pod kątem anonimizacji danych osobowych. Nie stwierdzono przesłanek wskazujących na cyberatak, awarię systemu ani nieuprawniony dostęp.
Jakie dokładnie kategorie danych osobowych wyciekły? Czy był to tylko numer PESEL, czy również imiona i nazwiska, adresy, numery telefonów, dane o wynagrodzeniu, stanie zdrowia itp.?
– W opublikowanym dokumencie znajdowały się dane identyfikacyjne o różnym zakresie: imię i nazwisko, numer PESEL, kod tytułu ubezpieczenia (oznaczający pracownika podlegającego ubezpieczeniom społecznym i ubezpieczeniu zdrowotnemu oraz osoby, którym wynagrodzenie zostało wypłacone po faktycznym ustaniu zatrudnienia), kod świadczenia przerwy (określający rodzaj przyznanego zasiłku) – bez wskazania jednostki chorobowej, informacje dotyczące okresu przebywania na zwolnieniu lekarskim (okres niezdolności do pracy), przychód oraz podstawy naliczenia składek, wysokość naliczonych składek.
Jakie działania podjęto po wykryciu wycieku danych osobowych pracowników (zabezpieczenie systemów, zablokowanie dostępu, zmiana haseł, zawiadomienie policji/prokuratury)?
– Po wykryciu zdarzenia dokument został niezwłocznie usunięty ze strony internetowej. Zgodnie z obowiązującymi przepisami naruszenie zostało zgłoszone do Urzędu Ochrony Danych Osobowych w ustawowym terminie. Osoby, których dane dotyczyły, zostały poinformowane w sposób wielokanałowy – korespondencją, drogą elektroniczną oraz telefonicznie. Inspektor Ochrony Danych zapewnił również bieżące wsparcie informacyjne. Wprowadzono dodatkowe działania organizacyjne, w tym szkolenia oraz doprecyzowanie procedur publikacji dokumentów.
Czy i w jakim terminie fakt naruszenia danych osobowych pracowników został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (UODO)?
– Zdarzenie zostało zgłoszone do Urzędu Ochrony Danych Osobowych w ustawowym terminie, zgodnie z obowiązującymi przepisami.
Cały artykuł zamieściliśmy w 13 (1298) wydaniu papierowym Słowa Regionu.
Dodając komentarz przestrzegaj norm dyskusji i niezależnie od wyrażanych poglądów nie zamieszczaj obraźliwych wpisów. Jeśli widzisz komentarz, który jest hejtem, kliknij