Duński Urząd Ochrony Danych dowiedział się o sytuacji z zawiadomienia od gminy Lolland w grudniu 2020 r., kiedy pracownikowi gminy skradziono telefon służbowy.

Za pośrednictwem telefonu pracownik uzyskiwał dostęp do swojego służbowego konta e-mail , które zawierało informacje o nazwiskach kilku obywateli, numerach ubezpieczenia społecznego, zdrowiu i nadużyciach.

Telefon nie był chroniony hasłem i w związku z tym możliwy był dostęp do informacji, które były w telefonie. Gmina stwierdziła, że ​​przez wiele lat pracownicy mieli możliwość usunięcia obowiązkowych haseł dostępu, dzięki czemu telefony mogły być używane bez użycia hasła. Gmina natychmiast podjęła działania naprawcze w postaci nowych środków ostrożności i zmian w technicznej konfiguracji rozdawanych telefonów. 

Brak środków technicznych

Duński Urząd Ochrony Danych stwierdza, że ​​przetwarzanie danych osobowych przez gminę Lolland nie było zgodne z przepisami dotyczącymi odpowiedniego bezpieczeństwa.

W ocenie duńskiego organu ochrony danych osobowych administrator danych musi zakładać, że nie wszyscy pracownicy przez cały czas przestrzegają wewnętrznych wytycznych, że urządzenia mobilne muszą być zawsze chronione hasłem. Naprawdę skuteczna ochrona jest więc uzależniona od tego, aby takie hasło nie zostało ominięte, np. poprzez usunięcie hasła.

Również w ocenie duńskiego organu ochrony danych skradzione urządzenia mobilne są w większym stopniu niż dotychczas badane pod kątem danych osobowych.

Biorąc pod uwagę zagrożenia dla obywateli związane z przetwarzaniem danych osobowych przez gminę Lolland, duński organ ochrony danych jest zdania, że ​​nieuzasadnione jest to, że gmina nie zabezpieczyła swoich urządzeń mobilnych hasłem, którego pracownicy nie mogli sami wyłączyć.

Źródło https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/aug/lolland-kommune-indstilles-til-boede