Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/11

Kraj:

Wielka Brytania

Data wydania decyzji:

26.09.2024 r.

Podmiot kontrolowany:

Police Service of Northern Ireland

Wysokość kary (EUR):

904.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lt. f), art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie wynikło z opublikowania pliku Excel w odpowiedzi na wniosek o dostęp do informacji publicznej, który — poza zamierzonymi danymi zbiorczymi — zawierał ukrytą zakładkę z pełnymi danymi osobowymi funkcjonariuszy i pracowników Policji Irlandii Północnej (PSNI). Osoby przygotowujące i zatwierdzające dokument nie zauważyły jej obecności, a procedury nie przewidywały sprawdzania plików pod kątem ukrytych danych ani obowiązku konwertowania ich do bezpieczniejszego formatu. W wyniku tego zdarzenia dane zostały nieświadomie ujawnione publicznie.

 

Opis wydarzeń

  1. Nieumyślne ujawnienie danych osobowych w pliku Excel: W dniu 8 sierpnia 2023 r. funkcjonariusz PSNI opublikował plik Excel w odpowiedzi na wniosek o dostęp do informacji publicznej, który zawierał ukrytą zakładkę z pełnymi danymi osobowymi 9 483 funkcjonariuszy i pracowników PSNI takimi, jak: imiona (inicjały), nazwiska, stopnie służbowe, przydziały, lokalizacje, typy kontraktów, numery służbowe i inne informacje identyfikujące. Zakładka ta nie została zauważona przez żadną z osób zaangażowanych w przygotowanie i zatwierdzenie odpowiedzi. Żadna procedura ani instrukcja nie nakładała obowiązku sprawdzenia plików pod kątem ukrytych danych, a pracownicy nie byli szkoleni w zakresie obsługi i ryzyk związanych z plikami Excel.
  2. Publiczny dostęp do danych: Plik został opublikowany na platformie WhatDoTheyKnow, która automatycznie udostępnia odpowiedzi podane do informacji publicznej w Internecie. Plik z danymi był dostępny od godziny 14:31 do 16:51, kiedy to PSNI zgłosiło problem i zażądało usunięcia dokumentu. Choć czas dostępności wydaje się krótki, to w zupełności wystarczył, by dane zostały pobrane przez osoby trzecie.
  3. Dane w rękach grup dysydenckich: W ciągu kilku dni od incydentu PSNI publicznie poinformowało, że dane znajdują się w posiadaniu Dysydenckich Republikanów – ugrupowań paramilitarnych sprzeciwiających się porządkowi politycznemu Irlandii Północnej. Uznano, że istnieje realne ryzyko, iż dane te zostaną użyte do zastraszania, śledzenia lub nawet fizycznego atakowania funkcjonariuszy oraz ich rodzin.
  4. Konsekwencje osobiste dla funkcjonariuszy i pracowników: Wielu pracowników doświadczyło silnego stresu, konieczności zmiany miejsca zamieszkania, podjęcia dodatkowych środków bezpieczeństwa (takich jak systemy alarmowe, monitoring czy fizyczna ochrona). Część funkcjonariuszy musiała przerwać pracę w dotychczasowych jednostkach, a niektórzy zostali objęci programami ochrony. Uruchomiono specjalną grupę wsparcia, która obsłużyła ponad 3 950 zgłoszeń od osób zaniepokojonych swoim bezpieczeństwem.
  5. Podjęcie działań kryzysowych i organizacyjnych: W odpowiedzi na incydent utworzono specjalną strukturę dowodzenia, która objęła działania zaradcze. Zmieniono numery identyfikacyjne służbowe, ograniczono ich widoczność w dokumentacji, wdrożono nowe wytyczne dotyczące przekazywania danych, przeszkolono personel i wprowadzono obowiązek publikacji dokumentów wyłącznie w formacie PDF lub CSV, bez możliwości załączania plików Excel.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wprowadzenie obowiązku konwersji dokumentów do formatu PDF lub CSV: Wszystkie pliki zawierające dane osobowe przed publikacją powinny być eksportowane do formatów uniemożliwiających przypadkowe ujawnienie ukrytych danych.
  2. Zastosowanie kontroli plików pod kątem ukrytych danych: Rekomendowane jest wdrożenie rutynowej procedury sprawdzania dokumentów (szczególnie Excel) na obecność ukrytych zakładek, danych źródłowych oraz metadanych.
  3. Opracowanie szczegółowych wytycznych dotyczących obsługi plików zawierających dane osobowe: Dokumentacja wewnętrzna powinna zawierać jasne kroki dotyczące analizy, anonimizacji i weryfikacji danych przed publikacją.
  4. Przeprowadzenie szkoleń dla wszystkich pracowników posiadających dostęp do danych: Szkolenia powinny obejmować tematykę ukrytych danych w plikach elektronicznych, ryzyk związanych z publikacją oraz świadomości zagrożeń.
  5. Regularny przegląd i aktualizacja procedur udostępniania danych: Proces obsługi wniosków o udostępnienie danych powinien być cyklicznie audytowany i dostosowywany do aktualnych standardów bezpieczeństwa danych.
  6. Minimalizacja zakresu danych przetwarzanych na potrzeby udostępniania danych: Należy analizować każdorazowo, czy zakres danych używanych do przygotowania odpowiedzi jest niezbędny, i ograniczać go do minimum.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO