Poland

Uczelnia ukarana, bo zataiła przed studentami naruszenie danych

Dane osobowe

Œl¹ski Uniwersytet Medyczny

Œl¹ski Uniwersytet Medyczny

materia³y prasowe

25 tys. z³ kary ma zap³aciæ Œl¹ski Uniwersytet Medyczny, poniewa¿ nie powiadomi³ studentów o incydencie naruszenia ochrony ich danych osobowych. Dosz³o do niego w maju 2020 r. w zwi¹zku z egzaminami przeprowadzanymi w formie wideokonferencji.

Sygna³y o incydencie na Œl¹skim Uniwersytecie Medycznym dotar³y do Urzêdu Ochrony Danych Osobowych na pocz¹tku czerwca 2020 roku. Z informacji  opisu skargi, jaka wp³ynê³a do Prezesa UODO, wynika³o, ¿e podczas egzaminów odbywaj¹cych siê pod koniec maja 2020 r. w formie wideokonferencji, mia³a miejsce identyfikacja studentów. Po zakoñczonym egzaminie nagrania z nich by³y dostêpne nie tylko dla osób egzaminowanych, ale i innych osób maj¹cych dostêp do systemu. Ka¿da osoba postronna, która wykorzysta³a bezpoœredni link, mog³a mieæ dostêp do nagrañ z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.

PUODO zwróci³ siê do administratora danych o wyjaœnienie sytuacji, gdy¿ uzna³, ¿e  mog³o dojœæ do wysokiego ryzyka dla praw i wolnoœci osób, które przyst¹pi³y do egzaminu. W odpowiedzi uczelnia napisa³a, ¿e w zwi¹zku z naruszeniem nie by³o koniecznoœci zawiadamiania Urzêdu, gdy¿ w jej ocenie ryzyko dla praw lub wolnoœci osób, których dotyczy³ incydent by³o niskie. Po tym zdarzeniu system zosta³ zmodyfikowany, by nie dochodzi³o do omy³kowego udostêpniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskaza³ te¿, ¿e zidentyfikowa³ osoby, które pobra³y plik z egzaminem i powiadomi³ je o odpowiedzialnoœci za pos³ugiwanie siê tymi danymi.

W tej sytuacji PUODO wszcz¹³ postêpowanie administracyjne. Ustali³, ¿e do naruszenia dosz³o poniewa¿ jeden z pracowników po zakoñczonym egzaminie na platformie e-learningowej nie zamkn¹³ dostêpu do wirtualnego pokoju, w którym odbywa³ siê sprawdzian. Przez to mo¿na by³o pobraæ nagrania z przebiegu egzaminu. W zwi¹zku z tym, ¿e studenci przed przyst¹pieniem do egzaminu byli identyfikowani na podstawie dowodów osobistych lub legitymacji studenckich, na nagraniach zarejestrowany by³ szereg ich danych. W zale¿noœci od tego jakim wzorem dowodu osobistego lub legitymacji studenckiej siê pos³ugiwali inny by³ zakres danych w przypadku poszczególnych osób dotkniêtych naruszeniem. W czêœci przypadków by³y to jednak m.in. wizerunek, nr PESEL, nr dokumentu to¿samoœci czy albumu, imiê i nazwisko, adres zamieszkania. Osoby nieuprawnione mog³y te¿ zapoznaæ siê z innymi danymi jak: rok studiów, grupa, kierunek studiów, informacje o zdawanym przedmiocie czy udzielonych odpowiedziach podczas egzaminu.

- Dosz³o do naruszenia ochrony danych, a administrator nie dope³ni³ obowi¹zków zwi¹zanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczy³o naruszenie. Takie obowi¹zki powstaj¹, gdy w zwi¹zku z naruszeniem istnieje wysokie ryzyko dla praw lub wolnoœci dotkniêtych nim osób (np. niebezpieczeñstwo zaci¹gniêcia na czyjeœ dane ro¿nych zobowi¹zañ). Administrator niew³aœciwie wiêc oceni³ zaistnia³e ryzyko - stwierdzi³ UODO.

W swojej decyzji Prezes Urzêdu wskaza³ te¿, ¿e nie ma znaczenia, jak twierdzi administrator, ¿e plik z przebiegiem egzaminu pobra³o jedynie 26 osób. Nie ma bowiem pewnoœci, ¿e nie zostanie on dalej udostêpniony nieuprawnionym osobom.

- Odpowiedzialnoœæ za te dane ponosi administrator, a nie osoby, które pobra³y po egzaminie plik z jego przebiegiem. To z powodu zaniechañ administratora dosz³o do powstania naruszenia skutkuj¹cego wysokim ryzykiem dla praw i wolnoœci studentów - wskaza³ PUODO.

Pozytywnie odniós³ siê natomiast do zmian na platformie e-learningowej, które uniemo¿liwiaj¹ studentom pobranie plików z egzaminami. Pozwol¹ one unikn¹æ podobnych sytuacji w przysz³oœci.

Wymierzaj¹c karê za niezg³oszenie incydentu, Prezes UODO wzi¹³ pod uwagê m.in. czas trwania naruszenia (od naruszenia do wydania decyzji minê³o kilka miesiêcy), umyœlne dzia³anie administratora, który podj¹³ decyzjê, by nie zawiadamiaæ o naruszeniu i nie informowaæ o nim studentów oraz niezadowalaj¹c¹ wspó³pracê administratora z organem nadzoru (nie zg³osi³ naruszenia pomimo wysy³anych pism i wszczêtego postêpowania).

Football news:

Cavani has returned to training and is likely to play against Crystal Palace
Fabio Capello, Juventus played Rugby against the Port. Only Ronaldo and Chiesa can make a difference in this squad
Neymar: I posted how I was recovering from my injury, and I didn't get any messages saying, Wow, what a professional. No
Ole Gunnar Solscher: The work of the judges is very difficult and without additional pressure. We have to make their decisions
Joan Laporta: I'm sure Messi won't stay at Barca if I don't win the election. He gives the club 30% of revenue
Trent had idolized Gerrard since he was a kid, and he was in a fairy tale: he got Steven's care and the captain's armband. The story of a great relationship
Hazard's recovery from the injury is delayed. He probably won't play against Atletico on March 7