Politechnika Warszawska musi zapłacić wysoką karę finansową nałożoną przez Urząd Ochrony Danych Osobowych. To decyzja w sprawie, która swój początek miała w 2020 roku. Chodzi o wyciek danych osobowych studentów i studentek oraz kadry wykładowczej, do którego doszło 3. maja na platformie administracyjnej Ośrodka Kształcenia na Odległość (OKNO). Wyciekły informacje dotyczące około 5 tysięcy osób. Uczelnia informowała wówczas, że chronione przestały być między innymi numery PESEL, serie i numery dowodów osobistych, adresy e-mail i telefony. Z komunikatu UODO dowiadujemy się, że nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych. Ile zapłaci uczelnia? O tym w dalszej części artykułu.
Polecany artykuł:
Kilkadziesiąt tysięcy złotych kary dla Politechniki Warszawskiej
W informacji zamieszczonej na stronie Urzędu Ochrony Danych Osobowych czytamy:
Jak ustalono w czasie postępowania administracyjnego jednostka organizacyjna Politechniki wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat. Aplikacja ta była modyfikowana w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych.
Uczelni zarzucono między niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania. W dalszej części tekstu UODO czytamy:
Ostatecznie zdecydowano o nałożeniu na Politechnikę Warszawską kary finansowej w wysokości 45 tysięcy złotych. Poniżej zamieszczamy informujący o decyzji post UODO. Znajdziecie w nim także link odsyłający do pełnej treści uzasadnienia.
Należy mieć na uwadze, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych.
W ocenie UODO, administrator nie przedstawił dowodów na spełnienie tych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Politechnika skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej. Nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji.
Zdaniem UODO, zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.
Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.
Masz dla nas ciekawy temat lub jesteś świadkiem wyjątkowego zdarzenia? Napisz do nas na adres online@grupazpr.pl. Czekamy na zdjęcia, filmy i newsy z Waszej okolicy!
