Urząd Ochrony Danych Osobowych wszczął postępowanie po tym, jak otrzymał zgłoszenie o wycieku danych z Politechniki Warszawskiej. Na początku stycznia 2020 r. nieuprawniona osoba zamieściła pliki na portalu okno.pw.edu.pl, czyli stronie Ośrodka Kształcenia na Odległość Politechniki Warszawskiej. Jak się później okazało, osoba ta dysponowała danymi uwierzytelniającymi. Na początku maja 2020 r. dokonano nieautoryzowanego pobrania ze strony danych osobowych 5 tys. studentów i wykładowców uczelni. Baza zawierała bardzo szczegółowe informacje o tych osobach, nie tylko numery telefonów i e-adresy, ale także daty i miejsca ich urodzenia, numery PESEL, numery i rodzaj dokumentu tożsamości oraz imiona rodziców. Baza zawierała dane studentów nawet 12 lat wstecz.
Jak ustalił UODO w czasie postępowania wyjaśniającego, uczelnia jako administrator danych była odpowiedzialna za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo przetwarzanych danych osobowych.
Czytaj więcej
Uczelnia nie zapewniła bezpieczeństwa danych osobowych kandydatów na studia – potwierdził Wojewódzki Sąd Administracyjny w Warszawie. Ukarał administratora danych za przewinienia inspektora.
W ocenie UODO administrator nie przedstawił dowodów na spełnienie tych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia dla tych danych identyfikował poprzez zbieranie informacji od jednostek uczelni. Administrator nie uzasadnił też adekwatności stosowanych przez siebie zabezpieczeń do ryzyka, jakim były obarczone dane zebrane w systemie tej uczelni.
Zdaniem UODO Politechnika skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej. Nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji. Urząd stwierdził też, że zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.
