Le président de l’Office de protection des données personnelles a infligé des amendes de 15 000 et 20 000 PLN à deux institutions municipales de Kutno, entre autres pour ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une violation des données personnelles. Une clé USB non cryptée contenant les données personnelles d’environ 1 500 personnes a été perdue. Une amende de plus de 24 000 PLN a également été infligée à l’entreprise qui fournit des services à ces institutions, pour avoir modifié le programme de ressources humaines et de paie.
Les trois institutions disposaient de procédures de protection des données, mais lors du transfert des données vers le nouveau système de gestion des ressources humaines et de la paie du Centre municipal de protection sociale (MOPS) et du Centre municipal des sports et des loisirs (MOSiR), les données n’ont pas été efficacement protégées. Pour la procédure de changement du système de gestion des ressources humaines et de la paie du MOSiR et du MOPS, aucune analyse des risques pour les données personnelles n’a été réalisée.
Un employé de MOPS travaillant également pour MOSiR a partagé les données avec un employé de la société effectuant le transfert des données. Elles ont été copiées sur une clé USB, qui n’était cependant pas cryptée. L’employé de la société a ensuite copié une partie des données sur l’ordinateur portable de la société. Après cette opération, la clé USB n’a pas été effacée, comme le stipulait la procédure de cette société.
Un employé de l’entreprise s’est rendu dans une autre ville et a perdu cette clé USB. La personne qui l’a trouvée a d’abord publié une annonce dans les médias locaux, et comme cela n’a donné aucun résultat, cette personne a ouvert le support. En se basant sur les noms des dossiers, la personne a deviné qu’il contenait des informations concernant MOPS et MOSiR de Kutno et les a contactés.
Ainsi, ces institutions ont constaté que la clé USB contenant des données personnelles avait été perdue. Elles en ont informé le président du Bureau de protection des données personnelles. La clé USB contenait les données d’environ 1 000 anciens et actuels employés et collaborateurs du MOSiR et les données de 549 employés, retraités et anciens employés, contractants et participants aux travaux d’intervention du MOPS.
L’étendue des données des deux institutions était différente, mais au total, des données telles que les prénoms, les noms, les prénoms des parents, les dates de naissance, les numéros de compte bancaire, les adresses de résidence ou de domicile, les numéros d’identification PESEL, les adresses e-mail, les données sur les revenus et/ou les biens, les noms de famille de la mère, les séries et numéros de cartes d’identité, les numéros de téléphone, les données sur les vacances, les congés de maladie, les données sur les écoles terminées, les antécédents professionnels, les noms des enfants et leurs dates de naissance pouvaient être trouvés sur le support.
Le président de l’Office de protection des données personnelles a enquêté sur l’affaire et a constaté que si une analyse des risques avait été réalisée pour le processus de remplacement du système de gestion des ressources humaines et de la paie, il n’y aurait pas eu de violation de données personnelles. En l’absence de cette analyse, personne n’a contrôlé le processus et personne n’a vérifié si les procédures de l’entreprise effectuant le changement du système de gestion des ressources humaines et de la paie étaient adéquates.
Les obligations des personnes impliquées dans le traitement des données personnelles ne devraient pas s’arrêter à un processus en deux étapes, c’est-à-dire
- effectuer une analyse de risque
- et mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel traitées.
Tant MOPS que MOSiR et l’entreprise qui a modifié le système de gestion des ressources humaines et de la paie auraient dû vérifier que les données personnelles étaient partagées d’une manière qui prenait en compte le risque de perte de leur support et qu’elles étaient correctement protégées contre tout accès non autorisé (par exemple en utilisant le mot de passe requis pour ouvrir tous les fichiers ou dossiers de fichiers contenant des données personnelles). Si cela avait été fait, une violation de données personnelles aurait pu être évitée.