Politechnika Warszawska otrzymała karę w wysokości 45 tys. zł m.in. za niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków. Uczelnia nie uwzględniła również ryzyka związanego z przetwarzaniem danych w aplikacji - poinformował w specjalnym komunikacie Urząd Ochrony Danych Osobowych.
Postępowanie wobec uczelni wszczęto po tym, jak do UODO wpłynęło zgłoszenie naruszenia ochrony danych. Jak poinformowano w oświadczeniu, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej Politechniki Warszawskiej bazy danych, zawierającej dane osobowe studentów i wykładowców - łącznie ponad 5 tysięcy osób.
45 tys. złotych kary dla Politechniki Warszawskiej. UODO uzasadnia decyzję
Urząd Ochrony Danych Osobowych informuje, że w czasie postępowania administracyjnego ustalono, iż jednostka organizacyjna Politechniki Warszawskiej wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat.
Wspomniane oprogramowanie było modyfikowane w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Kilka miesięcy później - z początkiem maja 2020 roku, dokonano nieautoryzowanego pobrania danych osobowych.
Należy mieć na uwadze, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych - czytamy w komunikacie UODO.
Zdaniem UODO, administrator nie przedstawił dowodów na spełnienie powyższych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto Politechnika Warszawska nie uzasadniła adekwatności stosowanych zabezpieczeń do ryzyka. Urząd Ochrony Danych Osobowych informuje w komunikacie, że uczelnia skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej, nie biorąc pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji.
Uczelnia nie dopilnowała obowiązków
Według oceny UODO, zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.
Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków - czytamy w komunikacie Urzędu Ochrony Danych Osobowych.
UODO wyjaśnia, iż biorąc pod uwagę niedopełnienie obowiązków przez administratora oraz wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób objętych incydentem, organ nadzorczy uznał za zasadne i konieczne nałożenie administracyjnej kary pieniężnej w wysokości 45 tysięcy złotych.
CBŚP na Pomorzu zlikwidowało ogromną fabrykę „kryształu”
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Dołącz do nas na X!
Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?
