25 tys. zł musi zapłacić Śląski Uniwersytet Medyczny. Kara została nałożona za niepowiadomienie Prezesa UODO o naruszeniu ochrony danych, a także także osób, które dotyczyło to zdarzenie.
O naruszeniu ochrony danych na Śląskim Uniwersytecie Medycznym Prezes UODO dowiedział się jeszcze w czerwcu 2020 r. Naruszenie miało miejsce w związku z egzaminami przeprowadzanymi w formie wideokonferencji na specjalnej platformie e-learningowej. Jak się bowiem okazało, nagrania z wideokonferencji były dostępne nie tylko dla osób egzaminowanych, ale dla każdej osoby mającej dostęp do systemu. Poza tym wystarczyło mieć bezpośredni link do nagrania, aby uzyskać taki dostęp, co mogła zrobić każda osoba postronna. Stało się tak, ponieważ jeden z pracowników po zakończonym egzaminie na platformie e-learningowej nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się sprawdzian.
Podczas postępowania uczelnia wyjaśniała, że zawiadamianie Urzędu nie było konieczne z uwagi na niskie ryzyko dla praw lub wolności osób, których dotyczył incydent. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi. Dodatkowo po incydencie odpowiednio usprawnił system, aby nie dochodziło już do takich zdarzeń.
Następnie organ nadzorczy skierował do uczelni pismo, w którym wskazał sytuacje, w jakich należy naruszenie ochrony danych zgłosić organowi nadzoru i w jakich trzeba też powiadomić o tym zdarzeniu osoby, których ono dotyczyło. Mimo tego naruszenie nie zostało zgłoszone.
W konsekwencji Prezes UODO zainicjował postępowanie. W jego trakcie ustalono, że na nagraniach weryfikowano tożsamość studentów na podstawie dowodów osobistych lub legitymacji studenckich. W konsekwencji z nagrań można było odczytać wiele danych osobowych, m.in.
Prezes UODO uznał, że w takiej sytuacji niezgłoszenie naruszenia organowi nadzorczemu i niezawiadomienie o nim podmiotów danych było uchybieniem. Administrator niewłaściwie ocenił bowiem zaistniało ryzyko.
Nie ma znaczenia, że plik z przebiegiem egzaminu pobrało tylko 26 osób. Nie można bowiem wykluczyć ich dalszego udostępnienia innym nieuprawnionym.
Ryzyko to w opisanej sytuacji było wysokie np. w związku z niebezpieczeństwem (zaciągnięcia na czyjeś dane rożnych zobowiązań.
Wymierzając uczelni karę w wysokości 25 tys. zł, organ nadzorczy uwzględnił m.in.
Orzecznictwo:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
