Nie milkną echa afery z wyciekiem danych tysiąca pracowników z dwóch kutnowskich instytucji, Miejskiego Ośrodka Sportu i Rekreacji oraz Miejskiego Ośrodka Pomocy Społecznej. Są wyniki audytu Urzędu Miasta Kutna przeprowadzonego w maju w MOSiR. Sprawdzamy czy wyciągnięto konsekwencje wobec osób odpowiedzialnych za ten incydent.
Przypomnijmy, dane osobowe ponad tysiąca osób znalazły się w niepowołanych rękach. Okazało się, że w połowie stycznia zgubił je pracownik łódzkiej firmy informatycznej. Na nośniku były dane Miejskiego Ośrodka Sportu i Rekreacji i Miejskiego Ośrodka Pomocy Społecznej. Paweł Ślęzak, dyrektor MOSiR zgłosił incydent do prezesa Urzędu Ochrony Danych Osobowych w lutym tego roku.
Pendrive miał napis MOSiR, były na nim dwa foldery z nazwami kutnowskich instytucji i miejscem. Jak twierdził Paweł Ślęzak foldery były zaszyfrowane. Znalazła go mieszkanka Tychów na Śląsku i po sprawdzeniu telefonu do MOSiR w Kutnie, powiadomiła instytucje, że ktoś zgubił nośnik. Wydała specjalne oświadczenie do akt sprawy w Urzędzie Ochrony Danych Osobowych.
Firma z Łodzi miała podpisane z instytucjami umowy powierzenia danych osobowych. Incydent do UODO zgłosiły obie miejskiej placówki. Procedura trwa. Firmie, która obsługiwała kutnowski samorząd i podległe mu instytucje grozi kara.
Sprawa wyszła na jaw kiedy pracownicy ośrodka sportu otrzymali listy z wyczerpującymi informacjami na temat zaginięcia nośnika z ich danymi.
W maju br. Piotr Ryś inspektor ochrony danych Urzędu Miasta Kutna przeprowadzał audyt w Miejskim Ośrodku Sportu i Rekreacji w Kutnie po wycieku tysięcy danych osobowych. W zakresie audytu znalazło się sprawdzenie środków technicznych, organizacyjnych, dokumentacji ochrony danych, sposobu realizowania obowiązków przez osoby upoważnione i odpowiedzialne za nadzór nad bezpieczeństwem informacji.
Audytor z kutnowskiego magistratu podjął następujące czynności: przejrzał dokumentację, dokonał oględzin obszarów przetwarzania, uzyskał wyjaśnienia od osób upoważnionych i od osób odpowiedzialnych za nadzór nad bezpieczeństwem informacji, zweryfikował realizowanie zasad określonych w polityce bezpieczeństwa w zakresie danych osobowych w MOSiR.
Piotr Ryś stwierdził, że regulacje w zakresie ochrony danych osobowych wdrożono zarządzeniem dyrektora MOSiR w Kutnie w 2018 roku. Inspektorem ochrony danych osobowych jest pracownik Paweł Markiewicz. Stwierdzono, iż administrator powołując inspektora nie dopełnił obowiązku wynikającego z artykułu 10 ustawy o ochronie danych osobowych, nie powiadomił Prezesa Urzędu Ochrony Danych Osobowych o powołaniu IOD w terminie 14 dni od jego powołania.
Paweł Markiewicz wykonując swoje obowiązki prowadził szkolenia w zakresie zakresu ochrony danych z pracownikami przyjmowanymi do pracy, zapoznawał ich zapisami polityki bezpieczeństwa w zakresie danych osobowych, dowodem na te czynności są zaświadczenie podpisane przez pracownika o zaznajomieniu z zasadami ochrony danych osobowych a w szczególności obowiązku zachowania tajemnicy danych osobowych oraz sposobu ich zabezpieczenia.
Agnieszka Jaroszczak zastępca dyrektora MOSiR podpisała 29 grudnia 2020 umowę z Agema HR sp. z o.o na powierzenie i przetwarzanie danych, stwierdzono. że zgodnie z zapisem umowy podmiot ten mógł przetwarzać dane w celu realizacji umowy głównej, a kolejną umowę o powierzeniu danych osobowych zawarto po incydencie, 8 lutego 2021 roku.
W odniesieniu do incydentu z 14 stycznia 2021 r. stwierdzono że dane osobowe przetwarzane przez MOSiR w programie AgemaHR udostępnił pracownikowi tej firmy w dniu 5 stycznia 2021 roku pracownik z MOSiR poprzez transmisję danych VPN na niezabezpieczony nośnik pamięci dostarczony przez pracownika firmy AgemaHR. Człowiek ten zatrudniony jest w MOSiR na podstawie umowy zlecenia. Jak ustalono przetwarzał on dane osobowe w MOSiR bez stosownego upoważnienia od 25 maja 2019 roku do 4 stycznia 2021 . Dopiero 4 stycznia 2021 dyrektor zawarł z nim umowę powierzenia danych osobowych, mimo że osobie fizycznej zatrudnionej na innej podstawie niż umowa o pracę powinno być wydane upoważnienie do przetwarzania danych osobowych, a co za tym idzie osoba ta powinna być przeszkolona zakresu ochrony danych osobowych w MOSiR i zapoznana z wszelką dokumentacją w tym zakresie.
Dyrektor ośrodka sportu o zaistniałym incydencie powiedział informacje 3 lutego. Wdrożona została procedura zgłaszania naruszeń danych osobowych wynikająca z przepisów. Poinformował on listownie (około 9 tys. zł na usługi pocztowe) wszystkie osoby, których dane były utracone o ryzyku negatywnych skutków zaistniałego naruszenia. Zagubiony nośnik z danymi odzyskano 8 lutego tego roku.
Jak wynika z wyjaśnień inspektora ochrony danych Pawła Markiewicza nie został on poinformowany przez dyrektora o zatrudnieniu pracownika na umowę-zlecenie, dlatego też nie przeszkolił go z zakresu ochrony danych oraz sposobów ich zabezpieczenia, nie został on również zapoznany z polityką bezpieczeństwa w zakresie danych osobowych w MOSiR w Kutnie. Markiewicz dopiero po otrzymaniu informacji o incydencie zagubionym mieniem nośnika z danymi osobowymi z MOSiR w Kutnie przez pracownika firmy AgemaHR 16 marca przeszkolił pracownika i zapoznał go z polityką bezpieczeństwa.
Z kolei wyjaśnił, że dane osobowe przetwarzane w zasobach płacowo-kadrowych przekazał pracownikowi firmy z Łodzi za zgodą i wiedzą zastępcy dyrektora MOSiR Agnieszki Jaroszczak.
Po przeanalizowaniu całości sprawy Piotr Ryś stwierdził, że zastępca dyrektora nie mając stosownej wiedzy o zabezpieczeniach i przesyle danych a także w jakim celu i z kim zawiera się umowę powierzenia danych nie powinna wyrażać zgody pracującemu na zlecenie mężczyźnie na przekazanie danych bez uprzedniej konsultacji tego z inspektorem ochrony danych Paweł Markiewicz.
Stwierdził również że firma AgemaHR, z którą podpisaną umowę powierzenia danych o mniejszym zakresie danych niż przekazano, zobowiązała się do zabezpieczenia tych danych poprzez stosowne stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych. Gubiąc niezabezpieczony nośnik z danymi MOSiR firma nie wywiązała się z paragrafu 5 umowy powierzenia danych z 29 grudnia 2020.
Piotr Ryś konkluduje audyt "Po ujawnieniu incydentu administrator dokonał wszelkich starań i czynności mających na celu minimalizację zagrożeń związanych z naruszeniem danych osobowych a wynikających z przepisów obowiązującego prawa.
Były pracownik MOSiRu zadał pytania dyrektorowi Miejskiego Ośrodka Sportu i Rekreacji w Kutnie czy wyciągnął jakiekolwiek konsekwencję służbowe wobec zastępcy dyrektora ds. administracyjno-finansowych (jeżeli tak to jakie), w związku ze stwierdzonymi w ww. zadaniach audytowych nieprawidłowościami.
- Dyrektor MOSiR upomniał ustnie Agnieszkę Jaroszczak zastępcę dyrektora do spraw administracyjno-finansowych wobec tego brak jest dokumentu potwierdzającego powyższe- odpowiada P. Ślęzak.
Wcześniej pisaliśmy o skardze na działania dyrektora Pawła Ślęzaka złożonej przez byłego pracownika. Po uznaniu jej za zasadną przez Radę Miasta Kutna, próbował on uzyskać informację od Zbigniewa Burzyńskiego prezydenta Kutna, jakie konsekwencje zostały wyciągnięte wobec dyrektora ośrodka. Skarga zasadna, stwierdzenie kilku nieprawidłowości w administrowaniu danymi osobowymi w miejskiej jednostce, ponadnormatywne wydatki z publicznych środków, na pewno mogą być podstawą konkretnego stanowiska prezydenta w tej sprawie.
Jak mówi nam mieszkaniec odmówiono mu udzielenia odpowiedzi w tej sprawie. Zatem pytamy publicznie prezydenta Kutna, w jaki sposób upomniał czy ukarał dyrektora MOSiR oraz jakie czynności kontrolne zostały podjęte w Miejskim Ośrodku Pomocy Społecznej w związku z wyciekiem danych jego byłych i obecnych pracowników.
Szatniarz Kutna14:50, 19.07.2021
RODO jak w PRL -u:))) https://youtu.be/2zJFhdZ6Ox4 14:50, 19.07.2021
Ja15:06, 19.07.2021
Za udostępnienie danych ponad 1000 osób nieuprawnionej osobie dyrektor „ upomniał ustnie” panią J. Śmiech na sali. Zwykły szeregowy pracownik już byłby na przysłowiowej zielonej trawce i zasilalby od kilku miesiecy grono bezrobotnych. 15:06, 19.07.2021
Kutni15:12, 19.07.2021
Pani J. to ta od tego mieszkania? Bezczynszowego? 15:12, 19.07.2021
Bezwstydnik16:00, 19.07.2021
Tak, dokładnie. I od zatrudniania swojej rodzinki, przypomnę: mąż, bracia, zięć, szwagier. Ale przecież w folwarku MOSiR nie ma nepotyzmu. Brak zahamowań i moralności ...
Ale to także wina Dyrektora, wszystko widział i zezwalał na to Pani J. 16:00, 19.07.2021
Los16:28, 19.07.2021
Może i na dyrektora mosir przyjdzie opamiętanie i przejrzy na oczy z kim do tej pory pracował? 16:28, 19.07.2021
Zoot20:21, 19.07.2021
Panie Dyrektorze na tyle tylko Pan wycenia strach ludzi, poniesione nieplanowane przez nas koszty, ciągła niepewność ze może kiedyś zapuka do naszych drzwi jakiś komornik? Tylko ustne upomnienie ma nas uchronić przed ewentualnym podobnym incydentem? Dla poszkodowanych jest to „kara” dziecinna. 20:21, 19.07.2021
i PO baletach15:13, 19.07.2021
Czyli nikt nic nie wiedział , nikt nikogo nie zatrudniał , nikt nie wie kto w jakim charakterze był zatrudniony, nikt nie wie kto kogo i kiedy powinien przeszkolić , nikt nigdzie nic nie zgłosił , normalnie ruski cyrk. I NIKT NIE PONIESIE ODOPWIEDZIALNOŚCI BO to wszystko robota krasnoludków. A to ustne upomnienie po którym nie ma śladu , a to prezio nie chce powiadomić zgłaszającego nieprawidłowości o wyciągniętych konsekwencjach w stosunku do dyr MOSiR . Toż to koledzy . I płaszcza nie ma i co mi zrobisz ? Mam władzę . 15:13, 19.07.2021
Donek10:09, 22.07.2021
Mało tego nagrodę dyrektor zara dostanie, brawo???? 10:09, 22.07.2021
An15:28, 19.07.2021
9000 zł. wydali na listy do ludzi. To może by oddali tez połowie Kutna za koszty z wymiana dowodów i kont bankowych. Kto winien niech oddaje. 15:28, 19.07.2021
ddd16:24, 19.07.2021
"nic sie nie stralo" nie przeszkolil bo nie wiedzial, nie wiedzial bo nie byl przeszkolony :P 16:24, 19.07.2021
Donald16:25, 19.07.2021
To jest kwintensencja samorządu kutnowskiego. Brak stanowczości w zarządzaniu podległym personelem. A to już jest spowodowane układami i wzajemnym trzymaniem się za pewne części ciała ... 16:25, 19.07.2021
Obserwatorka17:44, 19.07.2021
Dokładnie. Masz rację. Nie mogę tylko pojąć dlaczego Prezydent chroni ojca Dyrektora i udaje, że nic się nie stało. Panie Burzyński, z całym szacunkiem dla Pana, ale pytam czy Bozia Panu rozum odebrała??? 17:44, 19.07.2021
Ggg17:55, 19.07.2021
A ja się pytam Pana Dyrektora dlaczego Pan tak uporczywie chroni swoją podwładna? Za dużo swobody, błędnego zaufania i jest problem. Więcej kontroli i nadzoru by się zdało. 17:55, 19.07.2021
układziki , układy 07:07, 20.07.2021
Niestety nie mam do Burzyńskiego ani zaufania ani szacunku .Kwintesencja samorządu kutnowskiego to kamaryla, klan , towarzystwo wzajemnej adoracji. 07:07, 20.07.2021
Włodek19:18, 19.07.2021
Pawłowi włos z głowy nie spadnie, za dużo wódki ze Zbychem wypił. 19:18, 19.07.2021
Zong19:24, 19.07.2021
„Za zgoda i wiedza” pani J. przekazała dane (i to więcej niż musiała) nieupoważnionemu do tego człowiekowi. A pan dyrektor upomniał ja ustnie. Ludzie litości. To chyba żart.?Wśród tych danych były tez i moje. Jestem zdegustowany w jaki sposób traktuje się w mosir dane osobowe ludzi tam pracujących. Jak kartofle na polu. Można rzucić byle gdzie, byle jak. Kogo to obchodzi kto kartofla złapie. A gdybyśmy teraz wszyscy spłacali nie nasze kredyty? Co wtedy? A Pan daje tylko upomnienie ustne. Lekceważące. 19:24, 19.07.2021
gang07:11, 20.07.2021
Nie pisz , nie cudakuj tylko idź i prosto w oczy zapytaj Zibiego , tak po prostu niech ci powie ,że ojciec dyrektor jest wspaniały i musi pracować do końca świata i jeden dzień dłużej. 07:11, 20.07.2021
Wyborca15:08, 20.07.2021
Ludzie zbierzcie się w końcu razem w następne wybory wyjdźcie z domu i głosujcie. Nie pozwólcie żeby pracownicy samorządowi i ich rodziny znowu wybrali wam władzę Kutna. Choć chodzą plotki po mieście że już nawet pracownicy mają dość tych ludzi szczególnie Ci z najniższych stanowisk i nie będą na nich głosować. 15:08, 20.07.2021
Do redakcji15:29, 20.07.2021
Pani Olu opublikuję Pani odpowiedź Dyrektora Mosiru które znalazła się na facebookowym profilu radnego Roberta S.? To jest dopiero hit! Zapytanie dotyczy mieszkania służbowego zajmowanego przez pracownika Mosiru. 15:29, 20.07.2021
Ja15:50, 20.07.2021
O tak tak bardzo prosimy o publikacje Pani Redaktor. 15:50, 20.07.2021
Kkkk22:37, 20.07.2021
Pani Redaktor działa jak błyskawica. Artykuł już się ukazał. Dziękujemy. 22:37, 20.07.2021
to ja Fryderyk19:36, 21.07.2021
No hit jak trza , ona Oskara zasługuje?hahahahahahahahaha 19:36, 21.07.2021
znzny15:44, 20.07.2021
Piotr Ryś konkluduje audyt "Po ujawnieniu incydentu administrator dokonał wszelkich starań i czynności mających na celu minimalizację zagrożeń związanych z naruszeniem danych osobowych a wynikających z przepisów obowiązującego prawa. Wszycho na ten temat. 15:44, 20.07.2021
Popp15:48, 20.07.2021
No właśnie „po” jak już było POzamiatane. 15:48, 20.07.2021
Hanka16:34, 20.07.2021
A co z Mopsem tam taka cisza może zapytanie do Pani Dyrektor 16:34, 20.07.2021
romeo17:50, 21.07.2021
To nie o tą panią im chodzi. nie tak to inaczej a może się uda ją załatwić . co nie chopaki. pozdrawiam te sieroty z rady Kutna . i tych co nic nie wiedzieli albo im nie powiedzieli. ???????? 17:50, 21.07.2021
sekta13:08, 21.07.2021
Pan Burzyński strasznie jest przepisowy tylko dla zwykłych petentów dla swoich łagodny jak baranek i nawet chłopina nie jest w stanie podjąć decyzji . Taki równy chłop. 13:08, 21.07.2021
Prawo14:25, 21.07.2021
Upomnienie ustne ..., co to jest? To przecież nie jest kara porządkowa wynikająca z Kodeksu pracy. Upomnienie ustne to można zastosować za bardzo drobne, błahe przewinienia. Nie zaś za naruszenia związane z bezpieczeństwem danych osobowych ... To już jest proszę Państwa dno. Ale miejmy nadzieję, że przynajmniej będzie się od czego odbić. 14:25, 21.07.2021
znany22:21, 21.07.2021
art.108 KP przewiduje trzy formy ukarania pracownika: upomnienie, nagana i kara pieniężna. Więc nie wprowadzaj ludzi w błąd. 22:21, 21.07.2021
Prawo22:35, 21.07.2021
Do znany
Kara upomnienia o której mowa a art. 108 KP zgodnie z art. 110 KP musi mieć formę pisemną ze złożeniem do akt pracowniczych.
Jeszcze raz powtarzam kodeks pracy nie zna upomnienia ustnego! I radzę się dokształcić bo na wyższym stanowisku brak takiej elementarnej wiedzy jest żenujacy. Na marginesie, spójrz w lustro a odpowiedź kto jest mistrzem we wprowadzenie ludzi w błąd nadejdzie sama.
Art. 110 kp
"O zastosowanej karze pracodawca zawiadamia pracownika na piśmie, wskazując rodzaj naruszenia obowiązków pracowniczych i datę dopuszczenia się przez pracownika tego naruszenia oraz informując go o prawie zgłoszenia sprzeciwu i terminie jego wniesienia. Odpis zawiadomienia składa się do akt osobowych pracownika." 22:35, 21.07.2021
znany08:00, 22.07.2021
Czytasz jak chcesz jest wyraznie napisane w 108 ze kara upomnienia moze miec forme ustna i pisemna. no to sa fakty. 08:00, 22.07.2021
znzny08:07, 22.07.2021
do Prawo,
W powyższej kwestii Sąd Najwyższy wskazuje, że obowiązek zachowania formy pisemnej dotyczy tylko zawiadomienia pracownika o udzieleniu kary porządkowej, a nie jej nałożenia. Z powyższego wynika stanowisko, że samo nałożenie kary może nastąpić w formie ustnej, natomiast zawiadomienie pracownika o nałożeniu tej kary powinno nastąpić pisemnie. 08:07, 22.07.2021
Prawo09:48, 22.07.2021
Do znany:
Cytat z artykułu
"Dyrektor MOSiR upomniał ustnie Agnieszkę Jaroszczak zastępcę dyrektora do spraw administracyjno-finansowych wobec tego brak jest dokumentu potwierdzającego powyższe- odpowiada P. Ślęzak."
Właśnie art. 110 kp stanowiący o pisemności, co do zasady czyni kary porządkowe z kp pisemnymi, ponieważ fakt jej nałożenia musi być udokumentowany pisemnie.
A skoro dyrektor MOSiR odpowiedział, iż brak jest dokumentu potwierdzającego nałożenie upomnienia, to kara ta nie była karą porządkową z kp. Chyba, że MOSiR naruszył kp.
Jak zwykle kombinatorstwo ... 09:48, 22.07.2021
Sghn10:10, 22.07.2021
To kpina 10:10, 22.07.2021
Olek10:47, 22.07.2021
Przeczytałam już kilka razy art.108 KP i za nic nie mogę doczytać ze kary porządkowe MOGĄ być w firmie ustnej. Każdy widzi to, co chce zobaczyć. Polecam znanemu czytanie ze zrozumieniem. Art.110 KP mówi ze „o zastosowanej karze pracodawca zawiadamia pracownika na piśmie”. No właśnie „zawiadamia”, a nie „może zawiadomić”. Czyli forma pisemna MUSI być zachowana. Czy napisałem zrozumiale i czytelnie. Zreszta za takie naruszenie powinny być zachowane wszystkie trzy kary: upomnienie, nagana i kara pieniężna we wszystkich formach: pisemnej i ustnej. 10:47, 22.07.2021
Olek10:53, 22.07.2021
Upomnieć ustnie pracownika to można za spóźnienie. 10:53, 22.07.2021
Olek11:13, 22.07.2021
Zastosowanie kary polega na przedstawieniu pracownikowi PISEMNEJ informacji, w której pracodawca jest zobowiązany podać 3 obligatoryjne elementy tj. rodzaj naruszenia, datę naruszenia oraz informacje o prawie zgłoszenia w terminie 7 dni sprzeciwu od nałożonej kary. Jaśniej już się nie da tego przedstawić. 11:13, 22.07.2021
RODO19:36, 21.07.2021
MOPS??? Jaki MOPS tam nic nie zaszło!!!!!? 19:36, 21.07.2021
Ellooo19:56, 21.07.2021
Jakie dane przecież pendrive był zabezpieczony...? a za dane pracowników odpowiada administrator niezależnie od jakie firmy w tym pośredniczyły z kolei z tym wiąże się kara finansowa i to wcale nie mała.!!!! 19:56, 21.07.2021
RODOŚ20:18, 21.07.2021
8 0
Już jeden szatniarz z aquaparku robi karierę . to co z tym mieszkankiem dla syna? 20:18, 21.07.2021