Po 1 stycznia 2022 roku z agencji i departamentów federalnych wyciekły dane osobowe dotyczące ponad 150 000 Kanadyjczyków, wynika z informacji przekazanych przez rząd federalny w odpowiedzi na zapytanie posła konserwatywnego Luca Bertholda. Berthold pytał również, czy w każdym przypadku stwierdzenia wycieku danych zawiadamiano komisarza ds. ochrony prywatności.
W 14-miesięcznym okresie stwierdzono 21 158 wycieków danych w 117 departamentach i agencjach federalnych. 70 proc. przypadków dotyczyło agencji podatkowej. CRA odnotowało 14 484 wycieki, przy czym poszkodowanych było 53 667 osób.
Z analizy wynikło, że nie każdy, kogo prywatne dane zostały naruszone, został powiadomiony. Powiadomienia nie było, jeśli sprawę uznano za przypadek „niskiego ryzyka”.
CRA stwierdziło, że w ostatnich latach widać znaczny wzrost przypadków nieautoryzowanego używania danych osobowych podatników. Agencja zgłosiła 110 naruszeń z powodu niewłaściwego postępowania pracowników, np. nieautoryzowanego dostępu do danych lub przekazania danych. Do tego w 1089 przypadkach ujawnienie danych nastąpiło na skutek wysłania maila do błędnego odbiorcy.
Prawie 90 proc. naruszeń danych osobowych (12 917 przypadków) wynikało z przejęcia konta osoby indywidualnej, a 70 przypadków – przejęcia kont firmowych.
W jednym z wycieków Canada Mortgage and Housing Corporation (CMHC) pomyłkowo wysłało mailem dane osobowe i kwoty pożyczek pozostałe do spłaty dotyczące 45 000 właścicieli nieruchomości. Mail zawierał plik MS Excel i trafił do pracownika zewnętrznego pożyczkodawcy. Osoby z Excela nie zostały powiadomione, tak samo jak federalny komisarz ds. ochrony prywatności. CMHC przyznało, że dowiedziało się o swojej pomyłce, gdy napisał o niej odbiorca maila i zapewnił, że skasował załączony plik.
Employment and Social Development Canada (ESDC), które nadzoruje np. Service Canada, zgłosiło 872 wycieki danych, z których 72 to przypadki utraconych paszportów, a dwa – skradzionych paszportów. Inne naruszenia dotyczyły Employment Insurance (16), paszportów (8), numerów SIN (2), Old Age Security (2) i Canada Pension Plan (2). Departament uważa, że liczba incydentów jest naprawdę niewielka w porównaniu z liczbą spraw, którymi się zajmuje.
Shared Services Canada (SSC), agencja odpowiedzialna za usługi IT dla departamentów federalnych, przyznaje się do przypadkowego ujawnienia danych osobowych 31 647 urzędników kontrahentowi niewymienionemu z nazwy w maju 2022 roku. Uznano, że pomyłka nie wymaga działań naprawczych, pracowników i komisarza ds. ochrony prywatności nie powiadomiono.
Podobne incydenty wydarzyły się w Transport Canada (dane 4510 osób) i Public Services and Procurement Canada (dane 5392 osób).
Immigration, Refugees and Citizenship Canada (IRCC) mówi o 4355 przypadkach naruszenia prywatności dotyczących co najmniej 18 000 osób. Najpoważniejszy wyciek danych miał miejsce 23 września 2022 roku, obejmował dane 13 600 osób. W tej sprawie wciąż toczy się dochodzenie.
W RCMP doszło do 110 wycieków. 3 marca 2022 roku jeden z pracowników zgubił klucz USB zawierający prywatne dane 1741 osób. Urządzenie nie było zabezpieczone przed odczytem. Zostało znalezione przez nieznaną osobę, która skopiowała dane i przekazała je dalej. W przypadku niektórych osób zastosowano środki bezpieczeństwa.