Przejdź do treści
Strona główna » Blog » Kara dla Politechniki Warszawskiej

Kara dla Politechniki Warszawskiej

Dopiero co opublikowałem materiał dotyczący oceny i zgłaszania naruszeń (tutaj), a już pojawiła się informacja o kolejnej karze nałożonej przez Prezesa UODO. Tym razem ukaraną jest Politechnika Warszawska. O co chodziło w sprawie? Odpowiedź znajdziesz w tym wpisie.

Czego dotyczyło naruszenie?

Naruszenie dotyczyło pobrania przez osobę nieuprawnioną danych osobowych z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców. Naruszenie dotyczyło ponad 5 tysięcy osób. Baza danych powiązana była z aplikacją utworzoną przez pracowników uczelni na potrzeby prowadzenia zapisów na zajęcia, podglądu ocen, rozliczania opłat itp. Postępowanie toczyło się w związku z dokonanym zgłoszeniem naruszenia.

Jaka kara została nałożona?

Prezes UODO nałożył administracyjną karę pieniężną w wysokości 45.000 zł.

Dlaczego została nałożona?

W ocenie Prezesa UODO, uczelnia nie zastosowała odpowiednich środków technicznych i organizacyjnych, które byłyby w stanie zapewnić poufność danych. Zabrakło również regularnego testowania, mierzenia i oceniania skuteczności tych środków, w związku z czym administrator niewłaściwie uwzględnił ryzyko związane z przetwarzaniem danych w ramach procesu.

Kolejnym uchybieniem było nieuwzględnienie ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci skrótu, która nie daje dostatecznej gwarancji bezpiecznego przetwarzania.

Politechnika nie przeprowadziła również analizy zasadności 4-tygodniowego przechowywania logów maszyny wirtualnej, na której znajdował się system.

Wnioski?

Każdy administrator jest zobowiązany do przeprowadzenia formalnej analizy ryzyka, która stanowi punkt wyjścia do podjęcia decyzji w kwestii wyboru adekwatnych środków ochrony danych osobowych.

Stosowane środki ochrony danych i inne zasoby powinny być przedmiotem regularnego testowania ich skuteczności, a w przypadku stwierdzenia, że nie są adekwatne do zagrożeń – uzupełniane lub wymieniane.

Link do informacji o decyzji: https://uodo.gov.pl/pl/138/2248

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *