Politechnika Warszawska z karą 45 tys. zł od UODO. Z uczelni wyciekły dane ponad 5 tys. osób

Michał Skorupka
Michał Skorupka
45 tys. zł kary dla Politechniki Warszawskiej. Z uczelni wyciekły dane 5 tys. osób
45 tys. zł kary dla Politechniki Warszawskiej. Z uczelni wyciekły dane 5 tys. osób Szymon Starnawski
Udostępnij:
Politechnika Warszawska otrzymała karę w wysokości 45 tysięcy złotych od Urzędu Ochrony Danych Osobowych. Wszystko za sprawą incydentu, do którego doszło w 2020 roku. Wtedy to z bazy danych uczelni wyciekły informacje dotyczące studentów i wykładowców - łącznie 5 tysięcy osób. - Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych - informuje w uzasadnieniu swojej decyzji UODO.

Politechnika Warszawska otrzymała karę w wysokości 45 tys. zł m.in. za niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków. Uczelnia nie uwzględniła również ryzyka związanego z przetwarzaniem danych w aplikacji - poinformował w specjalnym komunikacie Urząd Ochrony Danych Osobowych.

Postępowanie wobec uczelni wszczęto po tym, jak do UODO wpłynęło zgłoszenie naruszenia ochrony danych. Jak poinformowano w oświadczeniu, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej Politechniki Warszawskiej bazy danych, zawierającej dane osobowe studentów i wykładowców - łącznie ponad 5 tysięcy osób.

45 tys. złotych kary dla Politechniki Warszawskiej. UODO uzasadnia decyzję

Urząd Ochrony Danych Osobowych informuje, że w czasie postępowania administracyjnego ustalono, iż jednostka organizacyjna Politechniki Warszawskiej wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat.

Wspomniane oprogramowanie było modyfikowane w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Kilka miesięcy później - z początkiem maja 2020 roku, dokonano nieautoryzowanego pobrania danych osobowych.

Należy mieć na uwadze, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych - czytamy w komunikacie UODO.

Zdaniem UODO, administrator nie przedstawił dowodów na spełnienie powyższych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto Politechnika Warszawska nie uzasadniła adekwatności stosowanych zabezpieczeń do ryzyka. Urząd Ochrony Danych Osobowych informuje w komunikacie, że uczelnia skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej, nie biorąc pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji.

Uczelnia nie dopilnowała obowiązków

Według oceny UODO, zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.

Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków - czytamy w komunikacie Urzędu Ochrony Danych Osobowych.

UODO wyjaśnia, iż biorąc pod uwagę niedopełnienie obowiązków przez administratora oraz wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób objętych incydentem, organ nadzorczy uznał za zasadne i konieczne nałożenie administracyjnej kary pieniężnej w wysokości 45 tysięcy złotych.

W Puszczy Białowieskiej utonęło 21 żubrów

Wideo

Komentarze

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

Nikt jeszcze nie skomentował tego artykułu.
Dodaj ogłoszenie