Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/5

Kraj:

Polska

Data wydania decyzji:

05.01.2021 r.

Podmiot kontrolowany:

Śląski Uniwersytet Medyczny w Katowicach

Wysokość kary (EUR):

5.500

Podstawa prawna naruszenia

Art. 33 ust. 1, art. 34 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Śląskim Uniwersytecie Medycznym w Katowicach wynikało z niezamknięcia pokoju wideokonferencyjnego po zakończeniu egzaminów praktycznych z pediatrii. W wyniku tego błędu nagrania z egzaminów, zawierające dane osobowe studentów, były dostępne na platformie e-learningowej dla nieuprawnionych osób.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: Do Prezesa Urzędu Ochrony Danych Osobowych (UODO) wpłynęły skargi od studentów, którzy zauważyli, że nagrania z egzaminów, zawierające ich dane osobowe, były dostępne na platformie e-learningowej.
  2. Charakter naruszenia: Nagrania zawierały wizerunki, głosy, imiona, nazwiska, numery dowodów osobistych oraz inne dane osobowe studentów, które były widoczne podczas weryfikacji tożsamości na egzaminach.
  3. Skala naruszenia: Naruszenie dotyczyło 237 studentów.
  4. Reakcja uczelni: Administrator platformy e-learningowej opracował poprawkę do systemu, aby uniemożliwić pobieranie nagrań w przyszłości. Uczelnia uznała, że ryzyko naruszenia praw i wolności osób fizycznych jest niskie, dlatego nie zgłosiła naruszenia do UODO ani nie zawiadomiła osób, których dane dotyczyły naruszenie.
  5. Decyzja UODO: Prezes UODO uznał, że uczelnia naruszyła przepisy RODO, nie zgłaszając naruszenia i nie informując osób, których dane dotyczyły. Nałożono karę pieniężną w wysokości 25 000 zł oraz nakazano zawiadomienie osób o naruszeniu.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: W przypadku naruszenia ochrony danych osobowych, administrator danych powinien bez zbędnej zwłoki zgłosić naruszenie do UODO oraz zawiadomić osoby, których dane dotyczą.
  2. Ocena ryzyka: Administrator danych powinien dokładnie ocenić ryzyko naruszenia praw i wolności osób fizycznych, uwzględniając wszystkie okoliczności naruszenia.
  3. Środki zapobiegawcze: Wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapobiec podobnym naruszeniom w przyszłości.
  4. Transparentność: Zapewnienie przejrzystej komunikacji z osobami, których dane dotyczą, w celu umożliwienia im podjęcia działań zapobiegawczych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO