Sygnały o incydencie na Śląskim Uniwersytecie Medycznym dotarły do Urzędu Ochrony Danych Osobowych na początku czerwca 2020 roku. Z informacji opisu skargi, jaka wpłynęła do Prezesa UODO, wynikało, że podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Każda osoba postronna, która wykorzystała bezpośredni link, mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.
PUODO zwrócił się do administratora danych o wyjaśnienie sytuacji, gdyż uznał, że mogło dojść do wysokiego ryzyka dla praw i wolności osób, które przystąpiły do egzaminu. W odpowiedzi uczelnia napisała, że w związku z naruszeniem nie było konieczności zawiadamiania Urzędu, gdyż w jej ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie. Po tym zdarzeniu system został zmodyfikowany, by nie dochodziło do omyłkowego udostępniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.
Uczelnia nadal nie zgłosiła naruszenia ochrony danych i nie powiadomiła osób dotkniętych tym zdarzeniem. Nie uczyniła tego pomimo, że dostała z UODO pouczenie, w jakich sytuacjach należy zgłosić organowi nadzoru naruszenie ochrony danych i powiadomić o tym zdarzeniu osoby, których ono dotyczyło.
Czytaj też:
Wyciek danych studentów: PUODO wszczął postępowanie wobec SGGW
Wyciek danych na Politechnice Warszawskiej. Uczelnia chce zwracać wydatki na BIK
W tej sytuacji PUODO wszczął postępowanie administracyjne. Ustalił, że do naruszenia doszło ponieważ jeden z pracowników po zakończonym egzaminie na platformie e-learningowej nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się sprawdzian. Przez to można było pobrać nagrania z przebiegu egzaminu. W związku z tym, że studenci przed przystąpieniem do egzaminu byli identyfikowani na podstawie dowodów osobistych lub legitymacji studenckich, na nagraniach zarejestrowany był szereg ich danych. W zależności od tego jakim wzorem dowodu osobistego lub legitymacji studenckiej się posługiwali inny był zakres danych w przypadku poszczególnych osób dotkniętych naruszeniem. W części przypadków były to jednak m.in. wizerunek, nr PESEL, nr dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania. Osoby nieuprawnione mogły też zapoznać się z innymi danymi jak: rok studiów, grupa, kierunek studiów, informacje o zdawanym przedmiocie czy udzielonych odpowiedziach podczas egzaminu.
- Doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie. Takie obowiązki powstają, gdy w związku z naruszeniem istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane rożnych zobowiązań). Administrator niewłaściwie więc ocenił zaistniałe ryzyko - stwierdził UODO.
W swojej decyzji Prezes Urzędu wskazał też, że nie ma znaczenia, jak twierdzi administrator, że plik z przebiegiem egzaminu pobrało jedynie 26 osób. Nie ma bowiem pewności, że nie zostanie on dalej udostępniony nieuprawnionym osobom.
Poradnik specjalny: Polski Ład - jak rozliczyć się z fiskusem
- Odpowiedzialność za te dane ponosi administrator, a nie osoby, które pobrały po egzaminie plik z jego przebiegiem. To z powodu zaniechań administratora doszło do powstania naruszenia skutkującego wysokim ryzykiem dla praw i wolności studentów - wskazał PUODO.
Pozytywnie odniósł się natomiast do zmian na platformie e-learningowej, które uniemożliwiają studentom pobranie plików z egzaminami. Pozwolą one uniknąć podobnych sytuacji w przyszłości.
Wymierzając karę za niezgłoszenie incydentu, Prezes UODO wziął pod uwagę m.in. czas trwania naruszenia (od naruszenia do wydania decyzji minęło kilka miesięcy), umyślne działanie administratora, który podjął decyzję, by nie zawiadamiać o naruszeniu i nie informować o nim studentów oraz niezadowalającą współpracę administratora z organem nadzoru (nie zgłosił naruszenia pomimo wysyłanych pism i wszczętego postępowania).
