Skradziono dysk twardy z wojewódzkiego urzędu. Były na nim dane niepełnosprawnych

9 stycznia br. na stronie Podkarpackiego Urzędu Wojewódzkiego w Rzeszowie opublikowano komunikat dotyczący naruszenia ochrony danych osobowych, które stwierdzono 10 lutego 2025 roku.

W dokumencie czytamy, że z siedziby Wojewódzkiego Zespołu do spraw Orzekania o Niepełnosprawności w Województwie Podkarpackim skradziono dysk twardy.

„Zdarzenie to doprowadziło do utraty poufności danych osobowych naszych Klientów (sprawy prowadzone w Oddziale zamiejscowym w Tarnobrzegu)” – stwierdzono w zawiadomieniu. Wśród rodzajów danych osobowych objętych naruszeniem ochrony znalazły się:

• numery PESEL i inne „dane identyfikacyjne";
• dane kontaktowe;
• adres zamieszkania;
• informacje dotyczące stanu zdrowia.

Wiadomo również, że o zdarzeniu poinformowano Prezesa UODO oraz Policję.

Nie pierwszy taki incydent

Kradzież fizycznych nośników niestety nie jest czymś zupełnie nowym. W 2019 roku skradziono laptopa z danymi osobowymi tysięcy osób, które brały udział w rekrutacji na studia w ramach Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie.

„Póki co należy więc przyjmować, że każdy, kto kiedyś składał papiery do SGGW jest w grupie ofiar, których dane znajdowały się na dysku skradzionego laptopa” – stwierdzono wówczas w artykule Niebezpiecznika.

W decyzji Prezesa UODO z 2020 roku możemy przeczytać, że zdarzenie objęło 81 624 rekordy.

„Powyższa liczba nie jest dokładną liczbą osób, których danych osobowych naruszenie dotyczy, gdyż w ciągu 5 lat ta sama osoba mogła podchodzić do innej rekrutacji, bądź kandydować na drugi stopień studiów” – podkreślono w dokumencie, z którego również wynika, że dane nie były szyfrowane.

W maju 2022 roku doszło z kolei do włamania do samochodu służbowego „osoby zajmującej kierownicze stanowisko i kradzieży jej służbowego komputera przenośnego” w jednej z polskich organizacji. Na nieszyfrowanym urządzeniu znajdowały się dane osobowe.

Wówczas PUODO podkreślił niezastosowanie się podmiotu do własnej analizy ryzyka, która dotyczyła szyfrowania dysków twardych.

Kradzież dysku z danymi. Urząd wydał zalecenia

W komunikacie Podkarpackiego Urzędu Wojewódzkiego w Rzeszowie wskazano, że w ramach środków zaradczych wdrożono:

• dodatkowy monitoring wizyjny;
• zwiększenie nadzoru pracowników Zespołu nad osobami trzecimi przebywającymi w pomieszczeniach Zespołu (sprzątanie pomieszczeń, usługi serwisowe);
• dodatkowe zabezpieczenie kluczy do pomieszczeń Zespołu.

Warto przy tym dodać, że art. 32 RODO zobowiązuje administratora do wdrożenia „odpowiednich środków organizacyjnych i technicznych” w celu zmniejszenia ryzyka naruszenia praw i wolności osób fizycznych. Wśród nich wymieniono m.in. szyfrowanie, co pokazuje jego szczególną rolę w zapewnianiu poufności informacji.

Zgodnie z komunikatem urzędu, osoby których dane uległy naruszeniu ochrony, powinny rozważyć m.in. następujące działania:

• zastrzeżenie numeru PESEL;
• zachowanie ostrożności wobec potencjalnych prób kontaktu;
• założenie konta w systemie informacji kredytowej lub gospodarczej, celem monitorowania swojej aktywności kredytowej (np. BIK lub ChrońPESEL – przyp. red.).

Środki zaradcze podjęte przez Urząd dobrze pokazują, że należy uwzględniać bezpieczeństwo fizyczne nośników danych.

Widzimy to również w niedawnej decyzji PUODO i późniejszym wyroku WSA: podtrzymano karę 33 tys. złotych dla przedsiębiorstwa pogrzebowego za zgubienie dokumentów z danymi osobowymi, które przewożono na „tzw. odkrytej pace samochodu”.

Przeprowadzanie poprawnej analizy ryzyka uwzględniającej zagrożenia związane z transportem dokumentacji mogłoby zapobiec incydentowi.
Komunikat UODO pt. „WSA podtrzymuje decyzję PUODO o nałożeniu kary na przedsiębiorstwo pogrzebowe"