Sygnały o incydencie na Śląskim Uniwersytecie Medycznym dotarły do Urzędu Ochrony Danych Osobowych na początku czerwca 2020 roku. Z informacji opisu skargi, jaka wpłynęła do Prezesa UODO, wynikało, że podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Każda osoba postronna, która wykorzystała bezpośredni link, mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.
PUODO zwrócił się do administratora danych o wyjaśnienie sytuacji, gdyż uznał, że mogło dojść do wysokiego ryzyka dla praw i wolności osób, które przystąpiły do egzaminu. W odpowiedzi uczelnia napisała, że w związku z naruszeniem nie było konieczności zawiadamiania Urzędu, gdyż w jej ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie. Po tym zdarzeniu system został zmodyfikowany, by nie dochodziło do omyłkowego udostępniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.
Uczelnia nadal nie zgłosiła naruszenia ochrony danych i nie powiadomiła osób dotkniętych tym zdarzeniem. Nie uczyniła tego pomimo, że dostała z UODO pouczenie, w jakich sytuacjach należy zgłosić organowi nadzoru naruszenie ochrony danych i powiadomić o tym zdarzeniu osoby, których ono dotyczyło.
Czytaj też:
Wyciek danych studentów: PUODO wszczął postępowanie wobec SGGW