Kara dla SGGW za naruszenie danych osobowych studentów

W listopadzie 2019 roku doszło do wycieku danych osobowych kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie  za okres ostatnich pięciu lat. Liczba osób dotkniętych naruszeniem mogła wynosić nawet 100 tys. Prezes UODO uznał, że naruszenie ochrony danych obejmowało szeroki zakres danych i nałożył na uczelnię karę finansową. 

Kara dla SGGW za naruszenie danych osobowych studentów

Dorota Kraskowska

10 września 2020

SGGW wydaje komunikat o wycieku danych

Uczelnia poinformowała, że 5 listopada 2019 r. skradziono komputer jednego z pracowników. Na dysku komputera znajdowały się szczegółowe dane osobowe przetwarzane w trakcie rekrutacji kandydatów na studia w ostatnich latach. W komunikacie podano, że w wyniku incydentu nieuprawnione osoby mogły uzyskać dostęp do następujących danych osobowych kandydatów: “imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym, o który się kandydat ubiega”.

W reakcji na incydent administrator danych osobowych SGGW zapewnił, że niezwłocznie podjął adekwatne środki organizacyjne, administracyjne i prawne w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania negatywnych skutków wycieku. Uczelnia podała również zalecenia, jakie kroki powinny podjąć osoby, których sprawa dotyczy, aby zminimalizować ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych osobowych. 

Incydent został zgłoszony do Urzędu Ochrony Danych Osobowych i do organów ścigania, a pracownik, któremu skradziono komputer, złożył zawiadomienie w Komisariacie Policji Warszawa Ursynów o podejrzeniu popełnienia przestępstwa. 

CZYTAJ TEŻ Szkoła musi mieć zgodę na publikację wizerunku dziecka

UODO reaguje w sprawie wycieku danych studentów SGGW

W wyniku kontroli na uczelni w związku z naruszeniem ochrony danych osobowych, w marcu 2020 roku Prezes UODO wszczął z urzędu postępowanie administracyjne. Na podstawie zgromadzonego w toku postępowania materiału dowodowego stwierdzono, że zastosowane przez uczelnię środki obejmujące proces przetwarzania danych kandydatów na studia były niewystarczające. W placówce nie wdrożono odpowiednich środków organizacyjnych i technicznych pozwalających na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia. Ponadto inspektor ochrony danych (IOD) wykonywał swoje zadania bez uwzględnienia ryzyka związanego z operacjami przetwarzania. Uczelnia nie angażowała inspektora w proces rekrutacji na studia (obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania). Nadzór inspektora nad tym procesem obniżyłby ryzyko niewłaściwego przetwarzania danych osobowych kandydatów na studia.

Uczelnia przetwarzała dane osobowe kandydatów na studia pochodzące z okresu 5 lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Zgodnie z RODO, takie działanie jest naruszeniem zasady ograniczenia przechowywania.

Administrator danych osobowych uczelni nie wiedział o przetwarzaniu danych osobowych na prywatnym komputerze pracownika oraz nie kontrolował procesu przetwarzania danych poprzez — nie miał informacji, na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia. Takie działanie jest naruszeniem zasady poufności i rozliczalności.

Prezes UODO stwierdził naruszenie ochrony danych osobowych w SGGW w Warszawie i nałożył na uczelnię administracyjną karę pieniężną w wysokości 50 tys. zł. 

Na wysokość kary pieniężnej wpłynęły również okoliczności łagodzące: dobra współpraca z organem nadzorczym w trakcie kontroli i postępowania administracyjnego oraz adekwatna reakcja uczelni, czyli podjęcie niezbędnych działań w celu usunięcia naruszenia oraz zapewnienie bezpieczeństwa w dalszym procesie przetwarzania danych osobowych studentów.

Rekomendacje UOODO w celu zapewnienia bezpieczeństwa danych

UODO przypomina, że do obowiązków każdego administratora danych osobowych jest wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Należy je na bieżąco poddawać przeglądom i aktualizować do obowiązujących przepisów i zmieniającej się technologii. Ustalenie środków technicznych i organizacyjnych jest procesem dwuetapowym:

  1. Pierwszym etapem jest określenie poziomu ryzyk związanych z przetwarzaniem danych osobowych. 

  2. Drugim etapem jest ustalenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia stopnia bezpieczeństwa odpowiadającego zidentyfikowanym poziomom ryzyk. Zastosowane środki mają zapewnić zdolność do ciągłego zagwarantowania poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Niezbędne jest również regularne testowanie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania.

Treść decyzji Prezesa UODO z 21 sierpnia 2020 roku: https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019

Na podstawie materiału UODO.

UODO nakłada karę finansową w transgranicznym postępowaniuUODO nakłada karę finansową w transgranicznym postępowaniu Rafał Stępniewski

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!