Cyberbezpieczeństwo
Wyciek danych z SGH. Skarga na decyzję PUODO oddalona
Autor. By Jolanta Dyr - Own work, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=22097475
Skarga Szkoły Głównej Handlowej w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych jest nieuzasadniona – stwierdził Wojewódzki Sąd Administracyjny. Chodziło o 35 tys. zł kary, które uczelnia otrzymała za naruszenie poufności danych w 2022 roku.
Decyzje Prezesa Urzędu Ochrony Danych Osobowych bardzo często oznaczają kary dla podmiotów w nich określonych. Jak opisywaliśmy na łamach CyberDefence24, stało się tak w przypadku uznania, że „cyberatak nie był poważny”, czy wyłączeniu antywirusa.
Kara dla SGH od PUODO. Uczelnia zaskarżyła decyzję
Czasami jednak ukarane podmioty nie zgadzały się z werdyktem PUODO i kierowały skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Tak było w przypadku Morele.net i kary przeszło 3,8 mln zł. Podobnie stało się w przypadku Szkoły Głównej Handlowej w Warszawie, która ma zapłacić 35 tys. zł za złamanie przepisów RODO.
Przyczyną decyzji Prezesa UODO był incydent, do którego doszło w 2022 roku podczas prac technicznych w systemie rekrutacji SGH na wymiany studenckie. Światło dzienne ujrzały wówczas dane 1461 studentów – zarówno ówczesnych, jak i absolwentów. Ustalono wtedy, że oprócz „błędu pracownika” do wycieku danych przyczynił się brak analizy ryzyka, prawidłowych środków bezpieczeństwa i rzetelnej oceny ich sktueczności - wymagań postawionych przez RODO.
Sąd: decyzja i kara były słuszne
WSA w Warszawie wydał orzeczenie w czwartek 19 grudnia – podtrzymując jednak decyzję Prezesa UODO. Skarga Szkoły Głównej Handlowej została uznana za nieuzasadnioną. „Uczelnia nie wykazała, że rzeczywiście wdrożyła odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemie rekrutacyjnym oraz że regularnie testowała, mierzyła i oceniała ich skuteczność” – czytamy w komunikacie UODO.
Rozstrzygnięcie Wojewódzkiego Sądu Administracyjnego jest jednocześnie potwierdzeniem, że do ujawnienia danych poufnych przyczynił się zarówno błąd ludzki, jak i nieprzestrzeganie przepisów RODO co do przetwarzania danych. „Sąd uznał, że wydanie (decyzji – red.) w obecnym kształcie było nie tylko uzasadnione, ale i potrzebne” – podsumowuje Urząd w komunikacie.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?
Materiał sponsorowany