Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/56

Kraj:

Polska

Data wydania decyzji:

30.11.2023 r.

Podmiot kontrolowany:

Szkoła Główna Handlowa

Wysokość kary (EUR):

8.045

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Szkole Głównej Handlowej w Warszawie (SGH) wynikało z błędu popełnionego podczas przenoszenia systemu informatycznego R. na nowy serwer produkcyjny. W wyniku tego błędu, kontrola dostępu do danych osobowych została wyłączona, co umożliwiło nieuprawniony dostęp do danych przez osoby trzecie.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: W dniu 18 września 2022 r. SGH zgłosiła naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Naruszenie polegało na niezamierzonym ujawnieniu danych osobowych w sieci Internet, co skutkowało ich zaindeksowaniem przez wyszukiwarkę internetową.
  2. Przyczyna techniczna: Błąd popełniony podczas prac programistycznych związanych z przeniesieniem systemu R. na nowy serwer produkcyjny. Kontrola dostępu została wyłączona, co umożliwiło nieautoryzowany dostęp do danych.
  3. Zakres danych: Naruszenie dotyczyło danych osobowych studentów, absolwentów i byłych studentów SGH, w tym takich informacji jak imię, nazwisko, PESEL, adres zamieszkania, adres e-mail, numer telefonu, informacje o dowodzie osobistym lub paszporcie, obywatelstwo, narodowość, kierunek studiów, średnia ocen.
  4. Działania naprawcze: SGH podjęła działania mające na celu zminimalizowanie skutków naruszenia, w tym zablokowanie dostępu do aplikacji z sieci publicznej, usunięcie zaindeksowanych danych z wyszukiwarki oraz poinformowanie osób, których dane dotyczyły, o naruszeniu.
  5. Kara: W wyniku zaistniałej sytuacji nałożono na SGH administracyjną karę pieniężną w wysokości 35 000 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków technicznych i organizacyjnych: Zaleca się wdrożenie środków zapewniających bezpieczeństwo danych osobowych, w tym regularne testowanie, mierzenie i ocenianie skuteczności tych środków.
  2. Przeprowadzenie analizy ryzyka: Konieczne jest przeprowadzenie formalnej analizy ryzyka dla operacji przetwarzania danych osobowych, uwzględniającej podatności, zagrożenia oraz możliwe skutki naruszenia.
  3. Szkolenia dla pracowników: Zaleca się przeprowadzenie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych oraz procedur postępowania w przypadku naruszenia.
  4. Dokumentowanie procedur: Wprowadzenie i dokumentowanie procedur dotyczących testowania zmian w systemach informatycznych oraz przeprowadzania analiz ryzyka.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO