Śląski Uniwersytet Medyczny w Katowicach został ukarany grzywną w wysokości 25 tys. zł za brak powiadomienia o naruszeniu ochrony danych organu nadzoru oraz osób, których dotyczył ten incydent.

A jak doszło do naruszenia?

Praktyczne egzaminy z pediatrii odbywające się pod koniec maja 2020r. zostały utrwalone na nagraniu, na którym widać było dane identyfikacyjne studentów. Po zakończonym egzaminie administrator udostępnił je na platformie elearningowej, na której były one dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Naruszenie było tym poważniejsze, że wykorzystując bezpośredni link każda osoba postronna mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.

Informacja o naruszeniu bezpieczeństwa informacji została zgłoszona do Dziekana i Rektora, lecz wraz z Inspektorem Ochrony Danych wyrazili oni stanowisko, iż zaistniała sytuacja nie była wyciekiem danych osobowych. W toku kontroli na skutek zgłoszenia przez jednego ze studentów pracownicy UODO ustalili, że pomimo kolejnych pism z Urzędu administrator nie powiadomił ani organu nadzorczego o tym naruszeniu, ani osób, których dotyczyło.

W związku z tym, że uznano, że istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane rożnych zobowiązań) i Urząd nałożył karę w wys. 25 tys. zł na Uniwersytet.

Pobierz Kompas FORSAFE_PL_2021_7