GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

25.000 zł kary dla Śląskiego Uniwersytetu Medycznego ze względu na brak powiadomień o naruszeniu

25.000 zł kary dla Śląskiego Uniwersytetu Medycznego ze względu na brak powiadomień o naruszeniu

Prezes Urzędu Ochrony Danych Osobowych ukarał uczelnię , z uwagi na fakt, że pomimo wystąpienia naruszenia ochrony danych osobowych administrator nie powiadomił zarówno organu nadzoru, jak i osób, których dane dotyczyły.

Decyzja UODO nie ograniczyła się jednak jedynie do nałożenia kary finansowej na uczelnię. Administrator będzie musiał poinformować o naruszeniu wszystkie osoby, których dane stały się ofiarą naruszenia ochrony danych osobowych.

Źródło incydentu

Do naruszenia ochrony danych osobowych doszło w związku z wideokonferencją na platformie e-learningowej, w ramach której odbywały się egzaminy. Informacje o potencjalnym naruszeniu pochodzą z czerwca 2020 r.

Z opisu złożonej skargi wynika, że po zakończonym egzaminie nagrania z nich były dostępne dla osób trzecich, które nie były upoważnione do przetwarzania tych danych. Każda osoba dysponująca bezpośrednim linkiem miała możliwość obejrzeć nagrania.

Pomimo, iż organ nadzoru zwrócił się do administratora o wyjaśnienie zaistniałej sytuacji, ten utrzymywał, że nie dopatrzył się konieczności dokonania zgłoszenia do UODO. Dodatkowo uczelnia postanowiła nie informować o zajściu osób dotkniętych naruszeniem.

Co dalej w sprawie naruszenia ochrony danych osobowych

Zgodnie ze stanowiskiem UODO naruszenie spowodowało wysokie ryzyko dla praw lub wolności osób, a co za tym idzie, administrator nie wypełnił obowiązków w zakresie powiadomienia o naruszeniu zarówno organu, jak i konkretnych podmiotów danych.

Fakt, że plik z nagraniem z egzaminu pobrało jedynie 26 osób, nie ma zdaniem urzędu znaczenia. Brak jest bowiem kontroli nad dalszymi losami pobranych nagrań. Bez znaczenia w ocenie urzędu pozostaje informacja, że uczelnia wystosowała wiadomość do osób, które pobrały nagranie, o tym że ciąży na nich odpowiedzialność indywidualna za ich nierozpowszechnianie. Zdaniem organu odpowiedzialność za sytuację ponosi administrator, który dopuścił się zaniechań.

Pozytywnym aspektem całego zajścia jest wdrożenie zmian uniemożliwiających studentom pobieranie plików z egzaminu w ramach platformy e-learningowej.

Źródło:

https://uodo.gov.pl/pl/138/1825

Treść decyzji w tej sprawie znajduje się tutaj

Polecamy także:

Recenzja poradnika UODO „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”

Surowa kara za naruszenia firmy telekomunikacyjnej

ZAPRASZAMY NA SZKOLENIE: „Postępowanie z naruszeniami ochrony danych i kontrole Prezesa UODO”

ZAPISZ SIĘ JUŻ DZIŚ

Więcej szczegółów znajduje się tutaj

Autor: Redakcja
Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter