Wpadka polskiej uczelni. Błąd w MS Teams ujawnił dane osobowe

„Do prac podkomisji rekrutacyjnej nr 1 i nr 2 Wydziału Matematyki i Informatyki UŁ wykorzystywano założony w aplikacji MS Teams wspólny Zespół. W wyniku błędnej konfiguracji ustawień tego Zespołu został ustawiony jego profil jako „publiczny” zamiast „prywatny”. W konsekwencji mogło dojść do ujawnienia danych zawartych w listach rankingowych kandydatów I i II stopnia na studia stacjonarne w rekrutacji 2024/2025” – czytamy w zawiadomieniu o naruszeniu ochrony danych osobowych z 5 stycznia 2026 roku. Wiemy również, że w grudniu UŁ otrzymał wystąpienie od Prezesa UODO (DKN.5130.8535.2024.OS.).

W dokumentach znajdowały się poniższe kategorie danych:

• imię i nazwisko;
• numer PESEL;
• liczba uzyskanych punktów.

Naruszenie i uprawnienia

W komunikacie nie stwierdzono jednoznacznie, że ktokolwiek spoza podkomisji rekrutacyjnej uzyskał dostęp do dokumentów z danymi osobowymi.

Warto jednak podkreślić, że zgodnie z artykułem 4 pkt 12 RODO, naruszenie ochrony danych to nie tylko publiczny wyciek informacji, z którymi zapoznały się osoby postronne, lecz również m.in. nieuprawnione ujawnienie (przypadkowe lub niezgodne z prawem).

Pokazuje to świadomość i odpowiedzialne podejście UŁ – podobnie jak w przypadku omyłkowego udostępnienia numerów ksiąg wieczystych przez jedno ze starostw.

Sytuacja pokazuje, że zawsze należy zwracać uwagę na uprawnienia plików, katalogów i innych zasobów, które zawierają dane osobowe, szczególnie w sytuacji, gdy mają być przetwarzane w ściśle określonym gronie osób.

Niedawno byliśmy w stanie znaleźć arkusze Excela z poziomu wyszukiwarki Google. W dokumentach znajdowało się wiele rodzajów danych osobowych. Przynajmniej w jednym przypadku problem dotyczył zbyt szerokich uprawnień dostępu do zasobu.

Pytania o dane

W art. 32 RODO wskazano konieczność stosowania „odpowiednich środków organizacyjnych i technicznych” względem ryzyka naruszenia praw lub wolności osób fizycznych.

W ust. 1 lit. a) wspomnianego artykułu podkreślono, że zalicza się do nich m.in. pseudonimizacja i szyfrowanie (jako jeden z możliwych środków). Gdyby plik był zaszyfrowany odpowiednio złożonym hasłem, oczywiście nie przechowywanym w tym samym katalogu, ww. ryzyko dla osób fizycznych najprawdopodobniej mogłoby zostać zaklasyfikowane jako zdecydowanie mniejsze względem danych w formie tekstu (ang. plaintext).

Środki zaradcze

Z racji na zakres naruszenia, Uniwersytet Łódzki rekomendował m.in.:

• zastrzeżenie numeru PESEL;
• rozważenie zakupu usług systemów informacji kredytowej.

Choć nie wiemy, czy ktoś uzyskał dostęp do dokumentu, warto również zachować ostrożność wobec prób kontaktu nieznanych nam osób, nawet jeśli posługują się naszymi danymi.

Niezależnie od tego, czy nasze dane uległy naruszeniu ochrony, zaleca się powszechne korzystanie z dwuetapowego uwierzytelniania oraz stosowanie silnych haseł.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.