Politechnika Warszawska (PW) poinformowała za pośrednictwem swojej strony internetowej o wycieku danych osobowych kandydatów na studia. Sprawa wydaje się bardzo poważna. W niepowołane ręce mogły bowiem trafić takie dane jak np. nr PESEL przyszłych studentów.
Pikanterii całej sytuacji dodaje fakt, że niespełna dwa miesiące temu warszawska uczelnia informowała o innym – nie mniej groźnym – wycieku danych osobowych. Tamtej sprawie już przygląda się UODO.
Dane publicznie dostępne
Uczelnia poinformowała, że do zdarzenia miało dojść 24 czerwca 2020 r. Wówczas, w wyniku bliżej nieokreślonego niezamierzonego działania na stronie internetowej dedykowanej dla Wydziału Architektury PW, w sieci zostały opublikowane dane osobowe kandydatów na studia. Katalog danych obejmował ich imiona, nazwiska, numery PESEL oraz numery w wewnątrzuczelnianym systemie „Rekrutacja”.
Politechnika Warszawska zapewniła, że wszystkie osoby, których dane osobowe zostały opublikowane otrzymały od uczelni specjalny komunikat za pośrednictwem indywidualnych kont kandydatów. Komunikat ten zawierał m.in. informacje o możliwych negatywnych następstwach związanych z udostępnieniem danych. Tytułem przykładu, uczelnia wskazała na zagrożenie posłużenia się numerem pesel kandydata do skorzystania ze świadczeń opieki zdrowotnej.
Kandydaci otrzymali również od Politechniki Warszawskiej zalecenia mające na celu zminimalizowanie ewentualnych negatywnych skutków tego niefortunnego zdarzenia. Politechnika podkreśliła, że strona internetowa, na której zostały opublikowane dane osobowe kandydatów, została usunięta. Dodatkowo, dane te – zdaniem Politechniki Warszawskiej – były publicznie dostępne jedynie przez kilka godzin w porze nocnej. Pomimo tych okoliczności, uczelnia zaleciła przyszłym studentom zastrzeżenie numeru PESEL oraz aktywowanie powiązanej z tym usługi „Bezpieczny Pesel”.
Brak „nieszczelności”
Władze uczelni zapewniły w swoim oświadczeniu, że po wykryciu naruszenia, Politechnika Warszawska niezwłocznie zweryfikowała obowiązujące na uczelni procedury związane z przetwarzaniem danych osobowych kandydatów na studia. Co ciekawe, PW podkreśliła, że wnikliwa analiza wdrożonych przez nią zabezpieczeń nie wykazała nieszczelności systemu rekrutacyjnego. Publiczne udostępnienie danych osobowych przyszłych studentów – w ocenie uczelni – wynikało jedynie z błędu konkretnego pracownika. Władze Politechniki poinformowały już Urząd Ochrony Danych Osobowych o zaistniałej sytuacji.
Kolejny wyciek
Przypomnijmy, że na początku maja br. Politechnika Warszawska poinformowała o publicznym udostępnieniu danych osobowych swoich studentów, pracowników tej uczelni oraz kandydatów na studia. Katalog udostępnionych danych był bardzo szeroki i obejmował m.in.: e-maile, nazwiska, numery indeksów, numery telefonów, numery PESEL, numery dowodów osobistych, daty urodzenia, adresy, nazwiska panieńskie matki, czy też informacje o wystawionych ocenach. Aktualnie sprawa ta jest badana przez UODO.
Bardzo niepokojące jest to, że w tak krótkim czasie doszło w PW do kolejnego – poważnego – wycieku danych osobowych z systemów uczelni. Trzeba mieć na względzie, że mówimy o jednej z największych i najbardziej szanowanych uczelni w Polsce. Tego typu zdarzenia mogą bez wątpienia podważyć zaufanie różnych osób do Politechniki Warszawskiej, jako administratora.
Jesteśmy bardzo ciekawi, jak naruszenie to oceni UODO. Jest to bez wątpienia bezprecedensowa sprawa, w szczególności w kontekście skali naruszeń, charakteru administratora oraz krótkiego odstępu pomiędzy kolejnymi naruszeniami. Wydaje się, że Politechnika Warszawska powinna spodziewać się kary pieniężnej ze strony organu nadzorczego. Będziemy monitorować tę sprawę.
Źródła:
https://www.uodo.gov.pl/pl/138/1545