Cyberbezpieczeństwo
45 tys. zł kary dla Politechniki Warszawskiej za zaniedbania, które doprowadziły do naruszeń ochrony danych osobowych
Politechnika Warszawska otrzymała od Urzędu Ochrony Danych Osobowych karę w wysokości 45 tys. zł za niezastosowanie odpowiednich środków technicznych i organizacyjnych, które miały zapewnić zdolność do ciągłego utrzymania poufności usług przetwarzania danych. Uczelnia nie testowała, nie mierzyła i nie oceniała również skuteczności stosowanych środków ochrony danych osobowych.
Postępowanie wobec uczelni UODO wszczęło po tym, jak otrzymało zgłoszenie naruszenia ochrony danych przez Politechnikę Warszawską. Polegało ono na pobraniu przez nieuprawnioną do tego osobę bazy danych, która zawierała dane osobowe studentów i wykładowców (łącznie ponad 5 tys. osób, wśród nich - autorka tego tekstu).
Jak doszło do zdarzenia?
Do zdarzenia doszło za sprawą aplikacji do zapisywania się na przedmioty, która pozwalała także na wgląd w historię nauczania, ocen czy rozliczanie opłat za studia.
Na początku stycznia 2020 r. osoba bez uprawnień wykorzystała funkcję umieszczania w aplikacji plików, dysponując przy tym danymi uwierzytelniającymi. W początku maja 2020 r. z kolei dokonano nieautoryzowanego pobrania danych osobowych osób, związanych z uczelnią .
Zaniedbanie obowiązków administratora danych
Urząd Ochrony Danych Osobowych ocenia, że administrator nie przedstawił dowodów na spełnienie obowiązków takich, jak wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo przetwarzanych danych osobowych.
Tymczasem, to właśnie administrator - w tym wypadku Politechnika Warszawska - ponosi odpowiedzialność za ich realizację, tak samo, jak za dokonanie formalnej oceny ryzyka, której według UODO również zabrakło.
Zagrożenia miały być na Politechnice identyfikowane poprzez zbieranie informacji od jednostek uczelni - czytamy w komunikacie Urzędu, wydanym w związku ze sprawą.
Uczelnia miała, jak wskazuje organ, skupić się na zabezpieczeniu przed zagrożeniami swojej infrastruktury informatycznej, nie biorąc pod uwagę zagrożeń związanych z działaniem stworzonej przez pracowników PW aplikacji.
W opinii UODO, zastosowanie środków technicznych bez uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że środki te będą adekwatne i skuteczne. Politechnika, jak wskazuje Urząd, nie przedstawiła uzasadnienia adekwatności stosowanych zabezpieczeń względem ryzyka.
RODO zobowiązuje
UODO przypomina, że obowiązujące przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) zobowiązują administratorów danych do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych , które mają na celu zapewnienie bezpieczeństwa procesów przetwarzania danych.
Jak ustalił organ, Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.
Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.