O wycieku danych jako pierwszy poinformował portal Niebezpiecznik.pl - zgodnie z jego informacjami dotyczył on danych policjantów (także z CBŚP), celników, pracowników Służby Ochrony Państwa, Administracji Skarbowej, Straży Granicznej, Straży Pożarnej (także ochotniczej), Inspekcji Transportu Drogowego, Straży Miejskiej, Straży Ochrony Kolei czy Służby Więziennej.
Chodziło o nazwiska, numery telefonów, numery PESEL, e-maile (służbowe lub prywatne), a także dokładne adresy miejsca pracy.
Do dwóch lat pozbawienia wolności
Zawiadomienie o podejrzeniu popełnienia przestępstwa złożył dyrektor RCB płk. Konrad Korpowski. W czwartek rzecznik Prokuratury Okręgowej w Warszawie Aleksandra Skrzyniarz poinformowała, że 22 kwietnia w sprawie wszczęto dochodzenie.
Dochodzenie wszczęto z art. 267 par. 2 Kodeksu karnego, w którym mowa o uzyskaniu - bez uprawnienia - dostępu do systemu informatycznego zawierającego dane funkcjonariuszy publicznych oraz z art. 107 ust. 1 ustawy o ochronie danych osobowych dotyczącego przetwarzania - bez uprawnienia - danych osobowych funkcjonariuszy publicznych. Oba przepisy zakładają karę nawet do dwóch lat pozbawienia wolności dla sprawców.
Obecnie gromadzony jest materiał dowodowy. Jak podkreślono, ze względu na dobro dochodzenia na jego obecnym etapie prokuratura nie będzie przekazywać szczegółowych informacji o poczynionych ustaleniach.
Do wycieku danych doszło w kwietniu tego roku w wyniku "potencjalnego nieuprawnionego dostępu" do danych osobowych osób, które zarejestrowały się na szczepienia przeciw COVID-19.
Dane "ponownie zabezpieczone"
Po zaistniałej sytuacji RCB zapewniało, że wszystkie dane zostały "ponownie i niezwłocznie" zabezpieczone, a dalsza możliwość wprowadzania ich w formularzu służącym do zgłaszania się do szczepień została zablokowana. W Centrum trwa wewnętrzna procedura wyjaśniająca. Planowany jest także dodatkowy audyt, którego celem będzie weryfikacja i usprawnienie procedur związanych z ochroną danych osobowych.
O sprawie oprócz prokuratury powiadomiono m.in. policję, zespół reagowania na incydenty bezpieczeństwa komputerowego CSIRT GOV, a także prezesa UODO. Urząd przyznał, że istnieje ryzyko związane z możliwością wykorzystania pobranych danych osobowych funkcjonariuszy przez osoby nieuprawnione, co może wiązać się z "wymierną szkodą dla funkcjonariuszy".