W komunikacie z 21.4.2021 roku RCB poinformowało o ponownym zabezpieczeniu danych. Zamknięto także możliwość rejestracji na szczepienia w formularzu, którego dotyczyło naruszenie bezpieczeństwa danych. Przyczyny wycieku danych są aktualnie badane.
Z udostępnianych informacji wynika, że przyczyną wycieku był prawdopodobnie błąd pracownika RCB, który wgrał plik z danymi funkcjonariuszy do serwisu wizualizacji danych. Wyszukiwanie danych dotyczących szczepień, możliwe było uzyskanie dostępu do pliki z danymi funkcjonariuszy.
Plik obejmował dane takie, jak:
- imiona i nazwiska,
- numery PESEL,
- numery telefonów,
- adresy e-mail,
- miejsce pracy (nazwa jednostki).
O naruszeniu bezpieczeństwa danych poinformowano Prezesa Urzędu Ochrony Danych Osobowych, a także powiadomiono Prokuraturę Okręgową w Warszawie o możliwości popełnienia przestępstwa.
Prezes UODO poinformował jedynie, że do Urzędu wpłynęło zgłoszenie naruszenia ochrony danych osobowych, a sprawa jest aktualnie analizowana. Zbierane są dodatkowe materiały i informacje w sprawie. Dalsze działania UODO zależne są od informacji, jakie przekaże RCB.
Prezes UODO w wydanym komunikacie przypomniał także wskazówki dotyczące postępowania mającego na celu zmniejszenie ryzyka kradzieży tożsamości oraz jego skutków.
Sprawą zajął się także Rzecznik Praw Obywatelskich, występując 23.4.2021 r. do dyrektora Rządowego Centrum Bezpieczeństwa o udzielenie informacji o podjętych oraz planowanych działaniach w sprawie. Jak zwrócił uwagę RPO w niniejszym piśmie: „zostały zatem ujawnione istotne, szczególne dane osobowe, które mogą być wykorzystane w sposób nieuprawniony. W przypadku funkcjonariuszy publicznych jeszcze większe zagrożenie wiąże się z możliwością wkroczenia w życie prywatne poprzez niechciane telefony czy korespondencję, a nawet wykorzystanie możliwości kontaktu do wywierania wpływu lub podejmowanie działań w celu pozbawienia ich zaufania publicznego.”
Nie jest to pierwszy wyciek danych funkcjonariuszy publicznych. Rok temu mieliśmy bowiem do czynienia z ujawnieniem danych z Krajowej Szkoły Sądownictwa i Prokuratury dotyczącym danych sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Z tego powodu, w lutym bieżącego roku Prezes UODO nałożył na KSSIP maksymalną karę pieniężną dopuszczalną przez przepisy dotyczące ochrony danych osobowych, w wysokości 100.000 złotych.
Podobnie, jak w przypadku sędziów, czy prokuratorów, dane funkcjonariuszy służb mundurowych mogą być przedmiotem zainteresowania środowisk przestępczych. Istnieje nie tylko ryzyko kradzieży tożsamości, ale także poważniejszych naruszeń, jak poniesienie szkód majątkowych, czy stanie się podmiotem prześladowania ze strony osób, co do których funkcjonariusze podejmowali czynności służbowe. O napływie wielu wulgarnych wiadomości e-mail informowały osoby, których dane zostały ujawnione z systemu KSSIP.