Obowiązek informacyjny rodo

10 lis 2020

KOMPAS FORSAFE PL 2020/10 – Kara dla SGGW


W listopadzie 2019 roku doszło do wycieku danych osobowych kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie za okres ostatnich pięciu lat. Liczba osób dotkniętych naruszeniem mogła wynosić nawet 100 tys. Prezes UODO uznał, że naruszenie ochrony danych obejmowało szeroki zakres danych i nałożył na uczelnię karę finansową.

Dlaczego warto przyjrzeć się bliżej tej sprawie?
5 listopada 2019 r. skradziono komputer jednego z pracowników SGGW. Na dysku komputera znajdowały się szczegółowe dane osobowe przetwarzane w trakcie rekrutacji kandydatów na studia w ostatnich latach. W wyniku incydentu nieuprawnione osoby mogły uzyskać dostęp do następujących danych osobowych kandydatów  w bardzo szerokim zakresie (imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym, o który się kandydat ubiega).

W marcu 2020 roku Prezes UODO wszczął z urzędu postępowanie administracyjne. Na podstawie zgromadzonego w toku postępowania materiału dowodowego stwierdzono, że zastosowane przez uczelnię środki obejmujące proces przetwarzania danych kandydatów na studia były niewystarczające. W placówce nie wdrożono odpowiednich środków organizacyjnych i technicznych pozwalających na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia. Ponadto inspektor ochrony danych (IOD) wykonywał swoje zadania bez uwzględnienia ryzyka związanego z operacjami przetwarzania. Uczelnia nie angażowała inspektora w proces rekrutacji na studia (obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania). Nadzór inspektora nad tym procesem obniżyłby ryzyko niewłaściwego przetwarzania danych osobowych kandydatów na studia.

Pobierz Kompas FORSAFE_PL_2020_10