W money.pl opisaliśmy sytuację naszej czytelniczki, która dostała pismo z ZUS zawiadamiające ją o tym, że doszło do naruszenia ochrony jej danych osobowych. Okazało się, że jej dane osobowe zostały udostępnione na profilu innego pacjenta na Platformie Usług Elektronicznych ZUS.
Za takie sytuacje firmom i instytucjom grożą poważne kary. Zapytaliśmy UODO, ile w ubiegłym roku było przypadków naruszeń danych osobowych, a także jakie kary w związku z tym nałożono i w jakiej wysokości. Z danych, które otrzymaliśmy z UODO wynika, że w 2022 roku do urzędu zgłoszono łącznie 12 772 przypadki wycieku danych osobowych. Tymczasem w 2021 roku było ich 12 946. Dla porównania dwa lata temu ten problem dotyczył 7,5 tys. zgłoszeń.
W 2022 roku UODO nałożył rekordową karę
Adam Sanocki rzecznik prasowy UODO w przesłanej do nas odpowiedzi wyjaśnia, że większość kar, które w 2022 roku nałożył UODO jest bezpośrednio związana z naruszeniami ochrony danych.
"Nie są one jednak nakładane ze względu na sam fakt naruszenia ochrony danych, ale w związku z tym, że postępowania administracyjne wszczęte w związku z zaistnieniem takiego incydentu wykazało poważne naruszenie przepisów o ochronie danych osobowych" - informuje rzecznik.
Jakie instytucje i firmy dostały kary za wyciek danych w ubiegłym roku?
UODO ukarał m.in. Santander Bank Polska za nie powiadomienie o naruszeniu danych osobowych osób, których to dotyczyło. Bank dostał za to karę w wysokości ponad 545 tys. zł. Wyciek danych polegał na tym, że były pracownik banku mimo zakończenia pracy w tej instytucji, miał nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W wyniku tego mógł przeglądać znajdujące się na profilu dane pracowników banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy pięciokrotnie logował się do platformy.
W ubiegłym roku UODO nałożył również najwyższą jak dotąd karę w wysokości 4,9 mln zł na spółkę Fortum Marketing and Sales Polska. Spółka została ukarzana za "niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego". W praktyce, naruszenie ochrony danych polegało na skopiowaniu danych klientów przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmian w systemie teleinformatycznym.
Dalsza część artykułu pod materiałem wideo
Numery ksiąg wieczystych były widoczne przez 48 godzin
W 2022 roku UODO nałożył także karę w wysokości 8 tys. zł, na wójta gminy Dobrzyniewo Duże za "niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych".
W tym wypadku chodziło o kradzież służbowego laptopa z danymi osobowymi, na którym nie było odpowiednich zabezpieczeń dotyczących poufności danych. Do kradzieży doszło poza siedzibą gminy, ponieważ pracownik gminy korzystający z laptopa przechowywał go w domu.
W kilku przypadkach nałożenie kary przez UODO miało także związek, z tym że nie zgłoszono faktu naruszenia ochrony danych osobowych, mimo że jest taki obowiązek. Ten przypadek dotyczył m.in. Głównego Geodety Kraju, na którego nałożono karę w wysokości 60 tys. zł.
Przypomnijmy, na początku kwietnia 2022 roku przez ponad 48 godzin w serwisie geoportal.gov.pl prowadzonym przez Głównego Geodetę Kraju, widoczne były numery ksiąg wieczystych. Co ciekawe, UODO nie dowiedział się o tym fakcie od Głównego Geodety Kraju, tylko z mediów.
Jak wyjaśnia rzecznik UODO "posiadając numer księgi wieczystej, w łatwy sposób można było ustalić szereg danych właścicieli nieruchomości w tym ich m.in. ich numery PESEL, imiona, nazwiska, imiona rodziców, adres nieruchomości".
W przypadku wycieku danych liczy się czas reakcji
Jak przypomina Adam Sanocki, do UODO należy przede wszystkim zgłaszać naruszenia, w przypadku których jest duże prawdopodobieństwo, że będzie to miało niekorzystny wpływu na osoby, których wyciek danych dotyczy.
- Chodzi przede wszystkim o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej, czy naruszenia tajemnic prawnie chronionych. Może mieć to miejsce, gdy zakres ujawnionych danych obejmuje np. informacje znajdujące się w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, czy adres - informuje rzecznik.
Dodaje, że w przypadku informacji o wycieku danych osobowych, bardzo ważny jest czas reakcji. Chodzi o to, aby osoby, których dane zostały ujawnione, czy skradzione mogły jak najszybciej podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.
- Takimi działaniami może być założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie większej ostrożności podczas podawania danych przez internet lub telefon, aby osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych – tłumaczy.
Jeśli chcesz być na bieżąco z najnowszymi wydarzeniami ekonomicznymi i biznesowymi, skorzystaj z naszego Chatbota, klikając tutaj.