- WIADOMOŚCI
Protokół kontroli ZUS w BIP. Upubliczniono dane pracowników
Czasami cyberatak nie musi być potrzebny do tego, aby dane osobowe stały się dostępne dla każdego zainteresowanego. Niestety wciąż możemy spotkać się z omyłkowymi publikacjami niezanonimizowanych dokumentów w Biuletynach Informacji Publicznych, co skutkuje naruszeniami ochrony danych. Tym razem taka sytuacja miała miejsce w jednej z gminnych jednostek budżetowych, która upubliczniła dane kilkudziesięciu osób.
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
„Naruszenie polegało na niezamierzonej publikacji dokumentu zawierającego dane osobowe – protokołu kontroli ZUS, na stronie Biuletynu Informacji Publicznej naszej jednostki” – czytamy w komunikacie Zespołu Oświaty Gminnej w Strzelinie z 31 marca 2026 roku. W dokumencie znajdowały się dane 81 byłych i obecnych pracowników ZOG.
Protokół kontroli był widoczny z poziomu sieci przez nieco ponad 6 dni. W tym czasie zarejestrowano 29 odsłon pliku. Wiadomo również, że Zespół Oświaty Gminnej w Strzelinie poinformował o zdarzeniu poszkodowane osoby oraz zgłosił naruszenie do UODO w ciągu 72 godzin (zgodnie z art. 33 ust. 1 RODO.
Zakres danych
Wśród rodzajów danych, które zostały opublikowane w BIP, znalazły się m.in.:
- imiona i nazwiska;
- numery PESEL;
- informacje dotyczące przebywania na zwolnieniu lekarskim;
- przychód (wraz z podstawą naliczania składek);
- wysokość naliczonych składek.
„Również 20 marca rozmawiałam z pracownikami, którzy zgłosili taka potrzebę, w celu dokładnego wyjaśnienia sytuacji Na bieżąco udzielam wyjaśnień osobom zwracającym się indywidualnie” – podkreśliła Dyrektor Zespołu Oświaty Gminnej w Strzelinie, co pokazuje ludzki aspekt obsługi incydentów z zakresu ochrony danych.
Nie pierwszy taki incydent
W marcu br. opisaliśmy omyłkowe publikacje danych osobowych w BIP przez kilkadziesiąt podmiotów publicznych. Niestety niektóre z nich nie podjęły mierzalnych działań (np. usunięcia dokumentu) pomimo dwukrotnego zawiadomienia. Kilka organizacji usunęło widoczność plików bez odpowiadania na nasze pytania – wobec tego nie wiemy, czy stwierdzono naruszenie ochrony danych osobowych oraz poinformowano poszkodowane osoby.
Nieco ponad tydzień temu Urząd Miasta w Nowym Tomyślu przypadkowo opublikował dane osób podlegających kwalifikacji wojskowej. Dokument zawierał m.in. adresy zamieszkania i numery PESEL. Na szczęście plik był widoczny z poziomu internetu zaledwie przez 30 minut.
„Kwestia nieprawidłowej anonimizacji jest przedmiotem licznych zgłaszanych organowi nadzorczemu naruszeń, jak i decyzji Prezesa UODO, co świadczy o tym, że nie zawsze jest dokonywana prawidłowo analiza ryzyka” – przekazał nam rzecznik prasowy UODO Karol Witkowski w marcu br.
Jak się chronić?
W sytuacji, gdy nasze dane osobowe mogły ulec naruszeniu ochrony, warto zastosować się do poniższych praktyk - zaleca się wdrożyć je w życie niezależnie od tego, czy nasze dane trafiły w niepowołane ręce:
- zastrzeżenie numeru PESEL;
- stosowanie dwuetapowego uwierzytelniania;
- ostrożność wobec prób kontaktu (szczególnie w sytuacjach, gdy jesteśmy nakłaniani do podjęcia nagłego działania – często może to być próba oszustwa);
- używanie unikalnych i skomplikowanych haseł.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Krajowy system e-Faktur - co musisz wiedzieć o KSEF?
Materiał sponsorowany