Numer 9.
Pod koniec marca 2012 r. na zgliszczach ugaszonej przez straż pożarną altany śmietnikowej warszawska straż miejska znalazła nadpalone dokumenty, zawierające dane osobowe osób z całej Polski. Nie podano, jaka instytucja dopuściła się takiego zaniedbania. Dokumenty zabezpieczono i przekazano policji. Na tym wszelkie informacje się kończą. Można jedynie spekulować, która instytucja w tak dziwaczny sposób chciała usunąć dane osobowe w wersji papierowej. Biorąc pod uwagę to, że nie ujawniono źródła przecieku można przypuszczać, że chodzi o jakąś instytucję państwową.
Numer 8.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Udostępnienie na stronie internetowej elektronicznego dziennika urzędowego województwa podkarpackiego listy biegłych sądowych wraz z ich wszystkimi danymi osobowymi. Dane takie jak numery PESEL, adresy zamieszkania i telefony komórkowe mógł pobrać każdy. Najbardziej szokujące było to, że pod dokumentem podpisał się prezes Sądu Okręgowego w Przemyślu. Korzystając z udostępnionej listy oskarżeni z łatwością mogli dotrzeć do orzekających w ich sprawach biegłych i wpłynąć na ich opinie.
Numer 7.
Udostępnienie przez informatyka Urzędu Skarbowego Warszawa-Śródmieście danych osobowych ok. 400 podatników. Urząd Skarbowy, chcąc przypomnieć podatnikom o możliwości składania zeznań podatkowych za pośrednictwem internetu, przesłał im taką informację drogą mailową, ujawniające tym samym dane osobowe wszystkich adresatów wiadomości. Poza ujawnieniem danych osobowych, złamano jednocześnie tajemnicę skarbową określoną w ordynacji podatkowej. Urząd stwierdził jedynie, że ich pracownik zrobił to przez nieuwagę i w związku z tym nie można wyciągnąć wobec niego konsekwencji, a jedynie przestrzec i pouczyć.
Numer 6.
Kradzież hakerska danych osobowych ok. 1 500 studentów Akademii Morskiej w Szczecinie i udostępnienie ich w serwisie Twitter. Były to dane takie jak imię, nazwisko, adres mailowy, numer telefonu. Dane te zostały wykradzione z Biura Karier, co wyraźnie wskazuje na wyjątkowo słabe zabezpieczenia informatyczne uczelni. Władze uczelni zgłosiły sprawę na policję. Swoje niedopatrzenie tłumaczyły tym, że dane były zabezpieczane zewnętrznym oprogramowaniem, które to zabezpieczenie zostało złamane. Najciekawsze jest to, że policja bada kto wykradł dane, ale nie wyciągnęła żadnych konsekwencji wobec uczelni, która dane w sposób niewystarczający zabezpieczyła.
Numer 5.
Ściągnięcie kilkuanastu tysięcy CV z serwisu terazpraca.pl. Osoba, która weszła w posiadanie tej bazy danych oferowała jej sprzedaż. Co ciekawe, sprawę ujawniło radio RMF FM, które poinformowało GIODO o incydencie. GIODO przeprowadził kontrolę w serwisie terazpraca.pl, informując jednocześnie, że osoby poszkodowane powinny zgłaszać się na policję, a osoby, które zechcą kupić skradzioną bazę danych będą de facto łamały prawo, gdyż posiadanie danych osobowych przez osobę nieuprawnioną jest zgodnie z ustawą przestępstwem.
Numer 4.
Wyciek danych osobowych 155 klientów ubezpieczyciela Link4. Dane zostały udostępnione na zewnątrz z powodu błędnego zaadresowanie poczty elektronicznej przez jednego z pracowników. Dane trafiły do pracownika firmy botak.com.pl. Wśród przekazanych danych znalazły się imiona i nazwiska właścicieli pojazdów, marki i modele samochodów oraz ich numery rejestracyjne. Najbardziej przerażające było to, że firma Link4 nie zorientowałaby się w swojej pomyłce gdyby nie osoba, która otrzymała omyłkowego maila. Odnosząc się do doniesień medialnych GIODO poinformował jedynie, że w wyniku incydentu tylko jedna osoba weszła w nieuprawnione posiadanie danych osobowych i firma Link4 poprosiła ją o ich usunięcie. W związku z tym GIODO nie widzi potrzeby podejmowania dalszych kroków i ma nadzieję, że osoba ta usunie dane.
Numer 3.
Bardzo słabe zabezpieczenia jednego z największych dostawców usług multimedialnych (internet, telewizja, telefon) – firmy Multimedia Polska. Jeden z klientów firmy, korzystając ze swojej amatorskiej wiedzy informatycznej uzyskał dostęp do danych 700 tysięcy klientów firmy. Klient odkrył między innymi, że główny administrator ds. bezpieczeństwa systemu informatycznego, czyli osoba z najwyższymi uprawnieniami, posiadał prosty pięcioliterowy login i równie proste, siedmioznakowe hasło. Na straży tak wielkiej bazy danych nie było żadnych innych zabezpieczeń.
Numer 2.
Wyciek danych osobowych ok. 1 000 dziennikarzy z elektronicznego biura prasowego KS Legia Warszawa. Klub wykrył wyciek niedługo po tym jak do niego doszło, ale ze względu na to, że ustawa o ochronie danych osobowych nie nakłada na niego takiego obowiązku, nie ujawniał tego faktu. Zawiadomienie o podejrzeniu popełnienia przestępstwa klub złożył dopiero kilka dni po wypłynięciu pierwszych informacji o incydencie. Wykradzione, jak się później okazało, dane osobowe zawierały imiona, nazwiska, adresy, a nawet numery PESEL. Złodziej danych oferował ich sprzedaż za 500 zł. Miał już nawet na nie kupca, który jednak zrezygnował z zakupu, gdy się dowiedział, że zbiór nie zawiera numerów kart kredytowych
Moim zdaniem bezapelacyjnym numerem 1 jest jeden z największych incydentów, wg GIODO, do jakiego doszło w Polsce. Bank PEKAO SA udostępnił na stronie internetowej www.zainwestujwprzyszłość.pl 1,5 tysiąca CV nadesłanych przez osoby szukające pracy w banku. Po wypłynięciu informacji bank oczywiście za zaistniałą sytuację przepraszał ale winą za całe zajście obarczył firmę zewnętrzną, która w niewystarczający sposób zabezpieczyła dane osobowe. Po kontroli GIODO ocenił, że największą odpowiedzialność za incydent ponosi firma, która stworzyła stronę internetową. Nie mógł jednak podać szczegółów gdyż bank złożył ostatecznie zawiadomienie o podejrzeniu popełnienia przestępstwa i zostało wszczęte postępowanie prokuratorskie.