Rzeczpospolita Prawo

Uczelnia ukarana, bo nie powiedziała studentom o naruszeniu ich danych osobowych podczas egzaminów

25 tys. zł kary ma zapłacić Śląski Uniwersytet Medyczny, ponieważ nie powiadomił studentów o incydencie naruszenia ochrony ich danych osobowych. Doszło do niego w maju 2020 r. w związku z egzaminami przeprowadzanymi w formie wideokonferencji.

Publikacja: 19.01.2021 13:34

Śląski Uniwersytet Medyczny

Śląski Uniwersytet Medyczny

Foto: materiały prasowe

dgk

Sygnały o incydencie na Śląskim Uniwersytecie Medycznym dotarły do Urzędu Ochrony Danych Osobowych na początku czerwca 2020 roku. Z informacji  opisu skargi, jaka wpłynęła do Prezesa UODO, wynikało, że podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Każda osoba postronna, która wykorzystała bezpośredni link, mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.

PUODO zwrócił się do administratora danych o wyjaśnienie sytuacji, gdyż uznał, że  mogło dojść do wysokiego ryzyka dla praw i wolności osób, które przystąpiły do egzaminu. W odpowiedzi uczelnia napisała, że w związku z naruszeniem nie było konieczności zawiadamiania Urzędu, gdyż w jej ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie. Po tym zdarzeniu system został zmodyfikowany, by nie dochodziło do omyłkowego udostępniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.

Uczelnia nadal nie zgłosiła naruszenia ochrony danych i nie powiadomiła osób dotkniętych tym zdarzeniem. Nie uczyniła tego pomimo, że dostała z UODO pouczenie,  w jakich sytuacjach  należy zgłosić organowi nadzoru naruszenie ochrony danych i powiadomić o tym zdarzeniu osoby, których ono dotyczyło.

Czytaj też:

Wyciek danych studentów: PUODO wszczął postępowanie wobec SGGW

Wyciek danych na Politechnice Warszawskiej. Uczelnia chce zwracać wydatki na BIK

W tej sytuacji PUODO wszczął postępowanie administracyjne. Ustalił, że do naruszenia doszło ponieważ jeden z pracowników po zakończonym egzaminie na platformie e-learningowej nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się sprawdzian. Przez to można było pobrać nagrania z przebiegu egzaminu. W związku z tym, że studenci przed przystąpieniem do egzaminu byli identyfikowani na podstawie dowodów osobistych lub legitymacji studenckich, na nagraniach zarejestrowany był szereg ich danych. W zależności od tego jakim wzorem dowodu osobistego lub legitymacji studenckiej się posługiwali inny był zakres danych w przypadku poszczególnych osób dotkniętych naruszeniem. W części przypadków były to jednak m.in. wizerunek, nr PESEL, nr dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania. Osoby nieuprawnione mogły też zapoznać się z innymi danymi jak: rok studiów, grupa, kierunek studiów, informacje o zdawanym przedmiocie czy udzielonych odpowiedziach podczas egzaminu.

- Doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie. Takie obowiązki powstają, gdy w związku z naruszeniem istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane rożnych zobowiązań). Administrator niewłaściwie więc ocenił zaistniałe ryzyko - stwierdził UODO.

W swojej decyzji Prezes Urzędu wskazał też, że nie ma znaczenia, jak twierdzi administrator, że plik z przebiegiem egzaminu pobrało jedynie 26 osób. Nie ma bowiem pewności, że nie zostanie on dalej udostępniony nieuprawnionym osobom.

- Odpowiedzialność za te dane ponosi administrator, a nie osoby, które pobrały po egzaminie plik z jego przebiegiem. To z powodu zaniechań administratora doszło do powstania naruszenia skutkującego wysokim ryzykiem dla praw i wolności studentów - wskazał PUODO.

Pozytywnie odniósł się natomiast do zmian na platformie e-learningowej, które uniemożliwiają studentom pobranie plików z egzaminami. Pozwolą one uniknąć podobnych sytuacji w przyszłości.

Wymierzając karę za niezgłoszenie incydentu, Prezes UODO wziął pod uwagę m.in. czas trwania naruszenia (od naruszenia do wydania decyzji minęło kilka miesięcy), umyślne działanie administratora, który podjął decyzję, by nie zawiadamiać o naruszeniu i nie informować o nim studentów oraz niezadowalającą współpracę administratora z organem nadzoru (nie zgłosił naruszenia pomimo wysyłanych pism i wszczętego postępowania).

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Szkoły Wyższe Dane Osobowe
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Advertisement
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Ministerstwo Zdrowia
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Kiedy można wyłączyć grunty z produkcji rolnej
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.
Materiał Promocyjny
Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Materiał Promocyjny
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Advertisement
e-Wydanie