Kolejne kary PUODO za zgubienie pendrive z danymi osobowymi zostały nałożone na dwie miejskie spółki w Kutnie. Pracownik MOPS, wykonujący jednocześnie pracę dla MOSiR zgubił nieszyfrowany nośnik z danymi osobowymi około półtora tysiąca osób. Wśród danych byłych i obecnych pracowników i współpracowników MOPS i MOSiR znajdujących się na nośniku były między innymi imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia. Dane były przenoszone przez pracownika spółek miejskich na pendrive w związku z transferem danych przy zmianie systemu kadrowo-płacowego w wyżej wymienionych spółkach.
Instytucje biorące udział w procedurze przenoszenia danych osobowych zorientowały się o ich zagubieniu dopiero po tym, jak skontaktował się z nimi znalazca pendrive z danymi.
Kary PUODO za zgubienie pendrive z danymi zostały nałożone w następującej wysokości: 15 000 i 20 000 złotych otrzymały obie miejskie spółki, a spółka obsługująca je w zakresie przeniesienia danych do nowego systemu kadrowo-płacowego została ukarana kwotą ponad 24 000 złotych. Prezes UODO ustalił w trakcie swoich czynności, że wszystkie trzy instytucje miały procedury dotyczące zabezpieczania danych, ale dane te nie były skutecznie zabezpieczone. Nie została też stworzona analiza ryzyka dla procesu zmiany systemu kadrowo-płacowego.
