Adresy, telefony, numery PESEL - takie informacje o pracownikach służb państwowych znalazły się w pliku z zasobów Rządowego Centrum Bezpieczeństwa, który udostępniono wczoraj w internecie. Była to lista osób chętnych do przyjęcia szczepienia przeciw COVID-19. Treści w niej zawarte wskazywały na to, że obejmowała nazwiska funkcjonariuszy zgłaszanych od 12 do 20 kwietnia. Dotyczyła m.in.: policji, Straży Granicznej, Służby Ochrony Państwa oraz Centralnego Biura Śledczego Policji. Za wyciek informacji do znanego portalu odpowiedzialny jest pracownik RCB.
Nieszczelne systemy
Nieodległa historia zna już podobny przypadek. W 2020 r. zewnętrzny pracownik Krajowej Szkoły Sądownictwa i Prokuratury dopuścił się ujawnienia danych 50 tys. sędziów. Były to m.in. ich imiona, nazwiska oraz prywatne adresy e-mail i numery telefonów. Urząd Ochrony Danych Osobowych uznał jednak, że wina leży po stronie placówki, która nie zapewniła dostatecznych środków do zachowania tajności tych informacji. W lutym br. prezes UODO nałożył na szkołę karę w wysokości 100 tys. zł. Po upublicznieniu danych szkoły sądownictwa, ponad 400 sędziów i prokuratorów otrzymało pogróżki. Ryzyko wykorzystania danych z wtorkowego wycieku jest równie wysokie. Jeśli informacje trafiły w ręce przestępców, mogą przecież wykorzystać je np. do zaplanowania zemsty lub szantażu - SOP odpowiada za bezpieczeństwo najważniejszych osób w państwie, m.in. Prezydenta RP. Znając tak szczegółowe, prywatne dane, oszuści bez problemu zaciągną też fałszywe zobowiązania finansowe. W rozmowie z money.pl były szef CBA, obecny dyrektor CBŚ Paweł Wojtunik przyznał również, że „Jeśli na liście znaleźli się pracownicy operacyjni lub funkcjonariusze pracujący pod przykryciem, to można mówić o pełnej dekonspiracji. W takiej sytuacji zagrożone może być nawet życie tych osób”.
Kto za to odpowie?
W świetle przepisów RODO, za naruszenie ochrony danych odpowiada administrator danych osobowych, a zatem Rządowe Centrum Bezpieczeństwa. Należy jednak mieć na względzie, że pracownik przetwarzający dane znajdujące się w zasobach pracodawcy, również odpowiada za ich prawidłowe zabezpieczenie.
~ Mateusz Brocki, prawnik, specjalista ds. ochrony danych osobowych
Oznacza to, że za zdarzenie odpowiada RCB, ale wykazując szkodę, może wyciągnąć konsekwencje również bezpośrednio od pracownika, który popełnił błąd.
Odszkodowanie i „dyscyplinarka”
Zgodnie z Kodeksem pracy, jeżeli pracodawcy zostanie wyrządzona szkoda nieumyślna, odszkodowanie ustala się w wysokości wyrządzonej szkody, jednak nie może ono przewyższać kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu powstania zajścia. Z kolei umyślne spowodowanie wycieku danych zobowiązuje pracownika do naprawienia szkody w pełnej wysokości (tj. np. zwrot kosztów w związku z wyłudzeniem kredytów), która w takiej sytuacji może być ogromna. Sytuacja ta nie wyklucza również możliwości rozwiązania umowy o pracę bez wypowiedzenia, z winy pracownika (tzw. zwolnienie dyscyplinarne).
~ Mateusz Brocki, prawnik, specjalista ds. ochrony danych osobowych
Gdyby plik objęty był klauzulą tajności, pracownik Rządowego Centrum Bezpieczeństwa, który dopuścił się ujawnienia danych, mógłby ponieść karę od 3 miesięcy do 5 lat pozbawienia wolności. Prawdopodobnie lista nie została jednak objęta szczególną ochroną. Zgodnie z ustawą o ochronie danych osobowych, Prezes UODO może natomiast nałożyć na RCB karę w wysokości do 100 tys. zł.
Napisz komentarz
Komentarze