Z systemu Zakładu Ubezpieczeń Społecznych nastąpił wyciek wrażliwych danych osobowych kilkuset osób. Incydent ten miał miejsce, gdy jedna z pracownic przesłała te informacje na prywatny adres e-mail osoby, która nie jest już zatrudniona w instytucji, lecz nadal należy do związku zawodowego. ZUS zareagował natychmiast, zgłaszając sprawę do Prezesa Urzędu Ochrony Danych Osobowych oraz prokuratury.
Szczegóły incydentu
Dane osobowe prawie 300 płatników, głównie osób fizycznych, zostały ujawnione z Zakładu Ubezpieczeń Zdrowotnych. Według informacji serwisu Prawo.pl, który jako pierwszy doniósł o całej sprawie, dane te obejmują numery PESEL, numery dowodów osobistych oraz rachunki bankowe.
Przyczyna wycieku
Nie był to atak ze strony cyberprzestępców, lecz naruszenie procedur przez jedną z pracownic ZUS, która jest również członkiem jednego z związków zawodowych działających w zakładzie. Według doniesień nieoficjalnych portalu polsatnews.pl, chodzi o Związkową Alternatywę. Pracownica przekazała informacje dotyczące pracowników na prywatny adres e-mail wiceprzewodniczącej związku zawodowego, która wcześniej pracowała w ZUS i pełniła funkcję przewodniczącego związku w zakładzie - wyjaśnia portal Prawo.pl. Rzecznik prasowy ZUS, Paweł Żebrowski, potwierdził doniesienia o wycieku danych dla polsatnews.pl. Incydent miał miejsce w drugiej połowie marca.
Działania podjęte przez ZUS
"System bezpieczeństwa w Zakładzie Ubezpieczeń Społecznych wykrył incydent związany z naruszeniem danych osobowych przez pracownika. Sprawa została zgłoszona m.in. do Prezes Urzędu Ochrony Danych Osobowych. ZUS zobowiązany jest także do złożenia odpowiedniego zawiadomienia do prokuratury"
- czytamy w oświadczeniu przesłanym przez rzecznika. Paweł Żebrowski zaznaczył, że ZUS będzie informować osoby dotknięte tym incydentem. Choć nie ma podejrzeń o próby nadużycia danych osobowych do celów nielegalnych czy oszukańczych, sam fakt przesyłania lub przetwarzania danych osobowych płatników ZUS w celach niezwiązanych z ich zgłoszonym zastosowaniem może być traktowany jako przestępstwo.
Konsekwencje dla sprawcy
Rzecznik poinformował, że wobec kobiety podjęto odpowiednie kroki dyscyplinarne. Zostanie ona zwolniona dyscyplinarnie. Zgodnie z art. 107 ustawy o ochronie danych osobowych, osoba, która przetwarza dane osobowe bez upoważnienia lub w sposób niedopuszczalny, podlega grzywnie, karze ograniczenia wolności lub nawet pozbawienia wolności do dwóch lat.
