Politechnika Warszawska ukarana za niewystarczające zabezpieczenie danych

Uczelnia zgłosiła do Prezesa UODO naruszenie ochrony danych. Ze zgłoszenia wynikało, że nieuprawniona osoba pobrała z zasobów sieci IT uczelni bazy danych, która zawierała dane osobowe ponad 5 tys. studentów i wykładowców.

W toku postępowania organ nadzorczy ustalił, żejednostka organizacyjna Politechniki wykorzystywała aplikację stworzoną przez pracowników uczelni. Aplikacja ta służyła do zapisywania się na przedmioty. Jednocześnie umożliwiała wgląd w historię nauczania, ocen czy rozliczania opłat.

Do incydentu doszło na początku stycznia 2020 r. Nieuprawniona osoba skorzystała z możliwości umieszczania plików w aplikacji, ponieważ dysponowała danymi uwierzytelniającymi. Natomiast w maju 2020 r. nastąpiło nieautoryzowane pobranie danych osobowych.

Organ nadzorczy uznał, że uczelnia nie wdrożyła środków technicznych i organizacyjnych adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. Mimo obowiązywania reguły rozliczalności administrator nie przedstawił bowiem dowodów spełnienia tych obowiązków. Uczelni wytknięto również nieprzeprowadzenie analizy ryzyka.

W szczególności pominięto zagrożenia związane z funkcjonowaniem stworzonej przez pracowników aplikacji.  

Orzecznictwo:

• decyzja Prezesa UODO z 9 grudnia 2021 r. (DKN.5130.2559.2020)