Prezes Urzędu Ochrony Danych Osobowych ukarał uczelnię , z uwagi na fakt, że pomimo wystąpienia naruszenia ochrony danych osobowych administrator nie powiadomił zarówno organu nadzoru, jak i osób, których dane dotyczyły.
Decyzja UODO nie ograniczyła się jednak jedynie do nałożenia kary finansowej na uczelnię. Administrator będzie musiał poinformować o naruszeniu wszystkie osoby, których dane stały się ofiarą naruszenia ochrony danych osobowych.
Źródło incydentu
Do naruszenia ochrony danych osobowych doszło w związku z wideokonferencją na platformie e-learningowej, w ramach której odbywały się egzaminy. Informacje o potencjalnym naruszeniu pochodzą z czerwca 2020 r.
Z opisu złożonej skargi wynika, że po zakończonym egzaminie nagrania z nich były dostępne dla osób trzecich, które nie były upoważnione do przetwarzania tych danych. Każda osoba dysponująca bezpośrednim linkiem miała możliwość obejrzeć nagrania.
Pomimo, iż organ nadzoru zwrócił się do administratora o wyjaśnienie zaistniałej sytuacji, ten utrzymywał, że nie dopatrzył się konieczności dokonania zgłoszenia do UODO. Dodatkowo uczelnia postanowiła nie informować o zajściu osób dotkniętych naruszeniem.
Recenzja poradnika UODO „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”
Co dalej w sprawie naruszenia ochrony danych osobowych
Zgodnie ze stanowiskiem UODO naruszenie spowodowało wysokie ryzyko dla praw lub wolności osób, a co za tym idzie, administrator nie wypełnił obowiązków w zakresie powiadomienia o naruszeniu zarówno organu, jak i konkretnych podmiotów danych.
Fakt, że plik z nagraniem z egzaminu pobrało jedynie 26 osób, nie ma zdaniem urzędu znaczenia. Brak jest bowiem kontroli nad dalszymi losami pobranych nagrań. Bez znaczenia w ocenie urzędu pozostaje informacja, że uczelnia wystosowała wiadomość do osób, które pobrały nagranie, o tym że ciąży na nich odpowiedzialność indywidualna za ich nierozpowszechnianie. Zdaniem organu odpowiedzialność za sytuację ponosi administrator, który dopuścił się zaniechań.
Pozytywnym aspektem całego zajścia jest wdrożenie zmian uniemożliwiających studentom pobieranie plików z egzaminu w ramach platformy e-learningowej.
Źródło:
https://uodo.gov.pl/pl/138/1825
Treść decyzji w tej sprawie znajduje się tutaj
ZAPRASZAMY NA SZKOLENIE: „Postępowanie z naruszeniami ochrony danych i kontrole Prezesa UODO”
Więcej szczegółów znajduje się tutaj