Politechnika Warszawska musi zapłacić 45 tysięcy złotych kary

Do wycieku danych z Politechniki Warszawskiej doszło w maju 2020 roku. Uczelnia sama poinformowała o "incydencie", który mógł doprowadzić do naruszenia ochrony danych osobowych wielu osób studiujących za pośrednictwem platformy OKNO. Chodzi o należące do około 5300 studentów i pracowników wrażliwe dane osobowe, między innymi nazwiska, serie i numery dowodów osobistych, numery PESEL, adresy czy imiona rodziców.

We wtorek UODO poinformował o karze dla uczelni. "Biorąc pod uwagę niedopełnienie obowiązków przez administratora oraz wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób objętych incydentem, organ nadzorczy uznał za zasadne i konieczne nałożenie administracyjnej kary pieniężnej w wysokości 45 tysięcy złotych" - napisał urząd w komunikacie.

Politechnika Warszawa nie planuje składać skargi na decyzję urzędu. - Zdajemy sobie sprawę, że miało miejsce takie naruszenie. Przyjęliśmy więc wyrok UODO z pokorą - podkreślił rzecznik Politechniki Warszawskiej Krzysztof Szymański.

OGLĄDAJ TVN24 W INTERNECIE NA TVN24 GO >>>

UODO w opublikowanym komunikacie podał też ustalenia postępowania administracyjnego.: "Politechnika wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat. Aplikacja ta była modyfikowana w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych".

Urząd podkreślił, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. W jego ocenie administrator nie przedstawił dowodów na spełnienie tych obowiązków. "Dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Politechnika skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej. Nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji" - czytamy w komunikacie.

Zdaniem UODO, zastosowanie środków technicznych bez uprzedniej analizy ryzyka nie daje gwarancji, że zastosowane środki będą skuteczne i adekwatne. "Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków" - podkreślił urząd.