Studenci
SGGW zapłaci 50 tys. zł za wyciek danych

SGGW zapłaci 50 tys. zł za wyciek danych

Temat dnia

Monika Sewastianowicz

Aktualności

Data dodania: 10.09.2020

Źródło: iStock

Szkoła Główna Gospodarstwa Wiejskiego w Warszawie zapłaci 50 tys. zł kary za naruszenie ochrony danych osobowych. Chodzi o wyciek danych kandydatów na studia w SGGW, do którego doszło w zeszłym roku. Jednemu z pracowników ukradziono prywatny laptop, na którym znajdowały się te informacje.

Na podstawie zebranego materiału dowodowego w toku postępowania Prezes UODO nałożył na uczelnię administracyjną karę pieniężną. Decydując o wysokości kary, organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica).

Urząd sprawdzi wyciek danych na SGGW>>

Administrator nie wiedział o danych na prywatnym komputerze

Znaczenie dla wysokości kary miało również to, że administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Powyższe okoliczności świadczą o naruszeniu zasady poufności i rozliczalności określonej w RODO.

Warto odnotować, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.

Ponadto w wyniku przeprowadzonego postępowania ustalono, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia. Obowiązkiem administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych. Powinny być one na bieżąco poddawane przeglądom i uaktualniane do obowiązujących przepisów i zmieniającej się technologii. W tym miejscu należy nadmienić, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych. Następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.

Aktualności

Data dodania: 2020-09-10

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome