Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Naruszenie danych osobowych przez Cabinet Office miało miejsce z powodu błędu w raporcie generującym plik CSV, który zawierał adresy korespondencyjne osób odznaczonych w ramach New Year Honours 2020. Błąd ten wynikał z braku odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych.

Opis wydarzeń

1. 27 grudnia 2019: O godzinie 22:30 opublikowano na stronie GOV.UK plik CSV zawierający adresy korespondencyjne odznaczonych osób.
2. 27 grudnia 2019, 22:59: Po wykryciu błędu przez członka zespołu komunikacji rządowej, link do pliku został usunięty, jednak plik pozostał dostępny w pamięci podręcznej.
3. 28 grudnia 2019, 00:51: Plik został trwale usunięty z serwera.
4. Łączny czas dostępności pliku: W trakcie 2 godzin i 21 minut plik został pobrany 3872 razy z 2798 unikalnych adresów IP.
5. 28-30 grudnia 2019: Powiadomiono osoby, których dane zostały ujawnione, za pomocą e-maili, telefonów oraz listów.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Aktualizacja systemu IT: System IT powinien zostać zaktualizowany i ponownie przetestowany, aby zapewnić, że generowane raporty nie zawierają danych osobowych.
2. Jasna linia odpowiedzialności: Należy wprowadzić jasne zasady dotyczące zatwierdzania dokumentów przeznaczonych do publikacji, w tym szczegółowe instrukcje umożliwiające innym sprawdzenie poprawności danych.
3. Procedury usuwania dokumentów: Jasne procedury dotyczące usuwania dokumentów opublikowanych przez pomyłkę, w tym procedury obowiązujące poza godzinami pracy.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu