Brak realizacji obowiązków ciążących na administratorze może skutkować karą

Postępowanie wobec tego administratora wszczęto po tym jak do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zgłoszenie naruszenia ochrony danych. Jak wskazano, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców (ponad 5 tys. osób).

Jak ustalono w czasie postępowania administracyjnego jednostka organizacyjna Politechniki wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat. Aplikacja ta była modyfikowana w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba  wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych.

Należy mieć na uwadze, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych.

W ocenie UODO, administrator nie przedstawił dowodów na spełnienie tych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Politechnika skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej. Nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji.  

Zdaniem UODO, zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.

Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.

Biorąc pod uwagę niedopełnienie obowiązków przez administratora oraz wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób objętych incydentem, organ nadzorczy uznał za zasadne i konieczne nałożenie administracyjnej kary pieniężnej w wysokości 45 tys. zł.

Źródło: https://uodo.gov.pl/pl/138/2248




 

Wypróbuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Uzyskaj dostęp

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności