Dopiero co opublikowałem materiał dotyczący oceny i zgłaszania naruszeń (tutaj), a już pojawiła się informacja o kolejnej karze nałożonej przez Prezesa UODO. Tym razem ukaraną jest Politechnika Warszawska. O co chodziło w sprawie? Odpowiedź znajdziesz w tym wpisie.
Czego dotyczyło naruszenie?
Naruszenie dotyczyło pobrania przez osobę nieuprawnioną danych osobowych z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców. Naruszenie dotyczyło ponad 5 tysięcy osób. Baza danych powiązana była z aplikacją utworzoną przez pracowników uczelni na potrzeby prowadzenia zapisów na zajęcia, podglądu ocen, rozliczania opłat itp. Postępowanie toczyło się w związku z dokonanym zgłoszeniem naruszenia.
Jaka kara została nałożona?
Prezes UODO nałożył administracyjną karę pieniężną w wysokości 45.000 zł.
Dlaczego została nałożona?
W ocenie Prezesa UODO, uczelnia nie zastosowała odpowiednich środków technicznych i organizacyjnych, które byłyby w stanie zapewnić poufność danych. Zabrakło również regularnego testowania, mierzenia i oceniania skuteczności tych środków, w związku z czym administrator niewłaściwie uwzględnił ryzyko związane z przetwarzaniem danych w ramach procesu.
Kolejnym uchybieniem było nieuwzględnienie ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci skrótu, która nie daje dostatecznej gwarancji bezpiecznego przetwarzania.
Politechnika nie przeprowadziła również analizy zasadności 4-tygodniowego przechowywania logów maszyny wirtualnej, na której znajdował się system.
Wnioski?
Każdy administrator jest zobowiązany do przeprowadzenia formalnej analizy ryzyka, która stanowi punkt wyjścia do podjęcia decyzji w kwestii wyboru adekwatnych środków ochrony danych osobowych.
Stosowane środki ochrony danych i inne zasoby powinny być przedmiotem regularnego testowania ich skuteczności, a w przypadku stwierdzenia, że nie są adekwatne do zagrożeń – uzupełniane lub wymieniane.
Link do informacji o decyzji: https://uodo.gov.pl/pl/138/2248