Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/2

Kraj:

Polska

Data wydania decyzji:

09.12.2021 r.

Podmiot kontrolowany:

Politechnika Warszawska

Wysokość kary (EUR):

10.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Politechnice Warszawskiej miało miejsce z powodu braku zastosowania adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym.

 

Opis wydarzeń

  1. Tło sprawy: Osoba nieuprawniona zalogowała się do systemu informatycznego Uczelni, wykorzystując dane uwierzytelniające wykładowcy. Następnie umieściła w systemie plik typu backdoor, umożliwiający pobranie baz danych osobowych.
  2. Decyzja Politechniki Warszawskiej: Administrator systemu zdecydował o odłączeniu serwera od sieci publicznej i całkowitym wyłączeniu systemu informatycznego.
  3. Skala naruszenia:Naruszenie dotyczyło danych osobowych 5013 osób, w tym studentów, wykładowców oraz kandydatów na studia.
  4. Zakres danych: Kategorie danych obejmowały: imię i nazwisko, imiona rodziców, datę urodzenia, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, nazwę użytkownika i/lub hasło, nazwisko rodowe matki, serię i numer dowodu osobistego oraz numer telefonu.
  5. Kara: 45 000 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Środki techniczne i organizacyjne: Należy wdrożyć odpowiednie środki techniczne i organizacyjne, zapewniające zdolność do ciągłego zapewnienia poufności usług przetwarzania.
  2. Regularne testowanie i mierzenie: Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych osobowych.
  3. Szyfrowanie: Zastosowanie bardziej zaawansowanych metod szyfrowania haseł użytkowników.
  4. Analiza ryzyka: Przeprowadzanie cyklicznej analizy ryzyka dla systemów informatycznych i aplikacji.
  5. Logi systemowe: Analiza okresu przechowywania logów oraz dziennika zdarzeń w aplikacji.
  6. Testy podatności: Wykonywanie testów penetracyjnych aplikacji w celu wykrycia podatności systemu na ataki z sieci publicznej.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO