Na prezydenta Konina można było... wziąć kredyt? MTBS opublikował jego dane

Numer i seria dowodu osobistego oraz imiona rodziców – takie dane prezydenta Konina opublikowało na swojej stronie Miejskie Towarzystwo Budownictwa Społecznego. Dostępne były najprawdopodobniej przez niemal rok.

Na swojej oficjalnej stronie Miejskie Towarzystwo Budownictwa Społecznego w zakładce „Podstawy prawne” opublikowało skan swojego aktu założycielskiego. Dokument (w wyniku aktualizacji) datowany na 26 stycznia 2021 zawierał dane osobiste prezydenta Konina Piotra Korytkowskiego. Każdy użytkownik Internetu mógł poznać numer i serię dowodu osobistego oraz imiona rodziców włodarza Konina. Screen tego dokumentu udostępniamy poniżej. Czarne prostokąty zakrywające dane naniesione zostały już przez nas, w oryginalnym pliku ich nie było.

– Ujawnienie danych osobowych może skutkować dużymi konsekwencjami dla osoby, której dane wyciekną, łącznie z zakładaniem „chwilówek" – komentuje Sebastian Strzech, prezes CompNet, firmy specjalizującej się w temacie ochrony danych osobowych. – W przypadku bezpieczeństwa najwięcej naruszeń jest spowodowanych przez człowieka, dlatego przede wszystkim należy uświadomić pracowników poprzez skuteczne i obowiązkowe szkolenia z „RODO" dla pracowników aby wiedzieli, co robić, żeby nie doszło do naruszenia.

Prezes MTBS dziękuje, ale nie wyjaśnia

Z pytaniem o tę sytuację zwróciliśmy się do prezesa MTBS Marka Libertowskiego. Niecałe dwie godziny po pierwszej rozmowie dotychczasowy plik został podmieniony dokumentem, który wspomnianych wyżej danych prezydenta Konina już nie zawiera. Prezes miejskiej spółki podziękował za zwrócenie uwagi na ten problem, ale jednocześnie nie chciał całej sytuacji w żaden sposób skomentować. Nie wiadomo więc, jak to się stało, że dokument, który nie został zanonimizowany, znalazł się na stronie, czy incydent ten został gdzieś zgłoszony i czy władze spółki podjęły jakieś kroki, by taka sytuacja nie miała miejsca w przyszłości.

Jak wyjaśnia Sebastian Strzech, pierwszym krokiem, który powinien podjąć MTBS, jest analiza naruszenia przez Administratora Danych lub Inspektora Ochrony Danych w samej spółce. – W następnym kroku to Inspektor Ochrony Danych powinien ocenić czy doszło do naruszenia danych osobowych. Czasami okazuje się, że jest konkretny przepis, który nakazuje udostępnianie danych osobowych, wówczas nie dochodzi do naruszenia. Jeżeli doszło do naruszenia, w którym dochodzi do wysokiego prawdopodobieństwa naruszenia praw i wolności osób, to najpóźniej do 72 godz. powinno być zgłoszenie do Urzędu Ochrony Danych Osobowych i/lub powiadomienie wszystkich osób, których danych osobowe zostały naruszone, wraz z informacją, jakie mogą być skutki dla tej osoby w przypadku naruszenia.

Duże kary za brak zgłoszenia naruszenia

Niezgłoszenie naruszenia może skutkować karami dla spółki, w której taka sytuacja miała miejsce. Sebastian Strzech wskazuje na przykład spółkę Enea, która o takim zdarzeniu nie poinformowała UODO i otrzymała karę w wysokości ponad 136 tys. zł. – Aby zminimalizować ryzyko wycieku należy uświadomić pracowników, że nie wolno zamiatać sprawy pod dywan, ponieważ może to skutkować ogromnymi konsekwencjami dla Administratora Danych oraz dla samego pracownika – mówi prezes CompNet i podkreśla, że równie ważne jest wdrożenie Polityki Ochrony Danych oraz wykonywanie okresowych audytów w tym zakresie.