Warszawska szkoła odpowie za naruszenie danych

10 września 2020, 12:58
800px-Kampus_SGGW_ul._Ciszewskiego_w_Warszawie
Fot. Adrian Grycuk/Wikimedia Commons/CC 3.0

Szkoła Główna Gospodarstwa Wiejskiego w Warszawie dopuściła się naruszenia ochrony danych osobowych - stwierdził Prezes Urzędu Ochrony Danych Osobowych. Na placówkę nałożono administracyjną karę w wysokości 50 tys. złotych. 

Jak przypomina Urząd Ochrony Danych Osobowych (UODO), Prezes UODO otrzymał w listopadzie 2019 roku zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego (SGGW) w Warszawie. Zgłoszenie było związane z kradzieżą przenośnego prywatnego komputera pracownika tej uczelni, który go używał  także do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych. Po kontroli przeprowadzonej na uczelni w związku z naruszeniem ochrony danych, Prezes UODO wszczął z urzędu postępowanie administracyjne.

Na podstawie zebranego materiału dowodowego w toku postępowania Prezes UODO nałożył na uczelnię administracyjną karę pieniężną - informuje UODO. Decydując o wysokości kary, organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica). Znaczenie dla wysokości kary miało również to, że administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Jak twierdzi UODO, powyższe okoliczności świadczą o naruszeniu zasady poufności i rozliczalności określonej w RODO.

Urząd podkreśla, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.

Ponadto w wyniku przeprowadzonego postępowania ustalono, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia - informuje UODO.

Urząd tłumaczy, że obowiązkiem administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych. Powinny być one na bieżąco poddawane przeglądom i uaktualniane do obowiązujących przepisów i zmieniającej się technologii. W tym miejscu należy nadmienić, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych. Następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania - wyjaśnia UODO.

W ocenie organu nadzorczego zastosowane przez uczelnię środki obejmujące proces przetwarzania danych kandydatów na studia były niewystarczające.

Jednocześnie Prezes UODO stwierdził, że w przedmiotowej sprawie inspektor ochrony danych (IOD) wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania. Powołany inspektor ochrony danych nie był angażowany przez uczelnię w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania. Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych.

Wymierzając karę pieniężną, Prezes UODO wziął pod uwagę okoliczności łagodzące, takie jak: dobrą współpracę z organem nadzorczym zarówno w toku przeprowadzonej kontroli, jak i w trakcie postępowania administracyjnego, podjęcie działań przez uczelnię mających na celu usunięcie naruszenia oraz zapewnienie bezpieczeństwa w procesie przetwarzania danych w przyszłości.

Pełna treść decyzji dostępna pod adresem: https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019.

Informacja prasowa UODO

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24