Reklama

Polityka i prawo

Śląski Uniwersytet Medyczny ukarany za naruszenie RODO

Fot. Katowice - Akademia Medyczna/Wikipedia Commons/CC 3.0
Fot. Katowice - Akademia Medyczna/Wikipedia Commons/CC 3.0

Prezes UODO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny, gdyż na uczelni doszło do naruszenia ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent.

Organ nadzoru oprócz nałożonej kary, nakazał również uczelni powiadomienie osób, których dotyczyło naruszenie, do jakiego doszło w związku z egzaminami przeprowadzanymi w formie wideokonferencji na specjalnej do tego platformie e-learningowej.

Sygnały o tym, że na Śląskim Uniwersytecie Medycznym doszło do naruszenia ochrony danych dotarły do UODO na początku czerwca 2020 roku. Z informacji tych, jak i opisu skargi wynikało, że podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Ponadto wykorzystując bezpośredni link każda osoba postronna mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.

Ponieważ informacje wskazywały na to, że mogło dojść do wysokiego ryzyka dla praw i wolności osób, które przystąpiły do egzaminu, UODO zwrócił się do administratora danych o wyjaśnienie sytuacji. Ten w odpowiedzi na pismo utrzymywał, że w związku z naruszeniem nie było konieczności zawiadamiania Urzędu, gdyż w jego ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie. Ponadto po tym zdarzeniu system został zmodyfikowany, by nie dochodziło do omyłkowego udostępniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.

Uczelnia w dalszym ciągu jednak nie zgłosiła naruszenia ochrony danych i nie powiadomiła osób dotkniętych tym zdarzeniem. Nie uczyniła tego, pomimo kolejnego pisma z UODO, w którym wskazano sytuacje, w jakich należy naruszenie ochrony danych zgłosić organowi nadzoru i w jakich trzeba też powiadomić o tym zdarzeniu osoby, których ono dotyczyło. W związku z tym wszczęto więc postępowanie administracyjne. W jego toku ustalono, że do naruszenia doszło ponieważ jeden z pracowników po zakończonym egzaminie na platformie e-learningowej nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się sprawdzian. Przez to można było pobrać nagrania z przebiegu egzaminu. W związku z tym, że studenci przed przystąpieniem do egzaminu byli identyfikowani na podstawie dowodów osobistych lub legitymacji studenckich, na nagraniach zarejestrowany był szereg ich danych. W zależności od tego jakim wzorem dowodu osobistego lub legitymacji studenckiej się posługiwali inny był zakres danych w przypadku poszczególnych osób dotkniętych naruszeniem. W części przypadków były to jednak m.in. wizerunek, nr PESEL, nr dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania. Ponadto w wyniku naruszenia osoby nieuprawnione mogły zapoznać się z innymi danymi jak: rok studiów, grupa, kierunek studiów, informacje o zdawanym przedmiocie czy udzielonych odpowiedziach podczas egzaminu.

Urząd uznał, że doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie. Takie obowiązki powstają, gdy w związku z naruszeniem istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane rożnych zobowiązań). Administrator niewłaściwie więc ocenił zaistniałe ryzyko.

UODO w swojej decyzji wskazał też, że nie ma znaczenia, jak twierdzi administrator, że plik z przebiegiem egzaminu pobrało jednie 26 osób. Nie ma bowiem pewności, że nie zostanie on dalej udostępniony nieuprawnionym osobom.

W ocenie Urzędu odpowiedzialność za te dane ponosi administrator, a nie osoby, które pobrały po egzaminie plik z jego przebiegiem. To z powodu zaniechań administratora doszło do powstania naruszenia skutkującego wysokim ryzykiem dla praw i wolności studentów.

Organ nadzoru pozytywnie odniósł się do wdrożonych zmian na platformie e-learningowej, które uniemożliwiają studentom pobranie plików z egzaminami. Pozwolą one uniknąć podobnych sytuacji w przyszłości.

Prezes Urzędu wymierzając karę za niezgłoszenie naruszenia organowi nadzoru i niepowiadomienie o nim osób, których dotyczył ten incydent, wziął pod uwagę m.in. czas trwania naruszenia (od naruszenia do wydania decyzji minęło kilka miesięcy), umyślne działanie administratora, który podjął decyzję, by nie zawiadamiać o naruszeniu i nie informować o nim studentów, niezadowalającą współpracę administratora z organem (nie zgłosił naruszenia pomimo wysyłanych pism i wszczętego postępowania).

Nałożona kara spełni funkcję nie tylko represyjną, ale i prewencyjną, gdyż pokazuje, że nie można lekceważyć obowiązków, jakie powstają w związku z naruszeniami ochrony danych osobowych. Tym bardziej, że niewłaściwe podejście do obowiązków nałożonych przez RODO może poprowadzić do negatywnych skutków dla osób dotkniętych naruszeniami.

Źródło:PAP
Reklama

Komentarze

    Reklama