Organ nadzoru oprócz nałożonej kary, nakazał również uczelni powiadomienie osób, których dotyczyło naruszenie, do jakiego doszło w związku z egzaminami przeprowadzanymi w formie wideokonferencji na specjalnej do tego platformie e-learningowej.
Sygnały o tym, że na Śląskim Uniwersytecie Medycznym doszło do naruszenia ochrony danych dotarły do UODO na początku czerwca 2020 roku. Z informacji tych, jak i opisu skargi wynikało, że podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Ponadto wykorzystując bezpośredni link każda osoba postronna mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.
Ponieważ informacje wskazywały na to, że mogło dojść do wysokiego ryzyka dla praw i wolności osób, które przystąpiły do egzaminu, UODO zwrócił się do administratora danych o wyjaśnienie sytuacji. Ten w odpowiedzi na pismo utrzymywał, że w związku z naruszeniem nie było konieczności zawiadamiania Urzędu, gdyż w jego ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie. Ponadto po tym zdarzeniu system został zmodyfikowany, by nie dochodziło do omyłkowego udostępniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.
Uczelnia w dalszym ciągu jednak nie zgłosiła naruszenia ochrony danych i nie powiadomiła osób dotkniętych tym zdarzeniem. Nie uczyniła tego, pomimo kolejnego pisma z UODO, w którym wskazano sytuacje, w jakich należy naruszenie ochrony danych zgłosić organowi nadzoru i w jakich trzeba też powiadomić o tym zdarzeniu osoby, których ono dotyczyło. W związku z tym wszczęto więc postępowanie administracyjne. W jego toku ustalono, że do naruszenia doszło ponieważ jeden z pracowników po zakończonym egzaminie na platformie e-learningowej nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się sprawdzian. Przez to można było pobrać nagrania z przebiegu egzaminu. W związku z tym, że studenci przed przystąpieniem do egzaminu byli identyfikowani na podstawie dowodów osobistych lub legitymacji studenckich, na nagraniach zarejestrowany był szereg ich danych. W zależności od tego jakim wzorem dowodu osobistego lub legitymacji studenckiej się posługiwali inny był zakres danych w przypadku poszczególnych osób dotkniętych naruszeniem. W części przypadków były to jednak m.in. wizerunek, nr PESEL, nr dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania. Ponadto w wyniku naruszenia osoby nieuprawnione mogły zapoznać się z innymi danymi jak: rok studiów, grupa, kierunek studiów, informacje o zdawanym przedmiocie czy udzielonych odpowiedziach podczas egzaminu.
Urząd uznał, że doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie. Takie obowiązki powstają, gdy w związku z naruszeniem istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane rożnych zobowiązań). Administrator niewłaściwie więc ocenił zaistniałe ryzyko.
UODO w swojej decyzji wskazał też, że nie ma znaczenia, jak twierdzi administrator, że plik z przebiegiem egzaminu pobrało jednie 26 osób. Nie ma bowiem pewności, że nie zostanie on dalej udostępniony nieuprawnionym osobom.
W ocenie Urzędu odpowiedzialność za te dane ponosi administrator, a nie osoby, które pobrały po egzaminie plik z jego przebiegiem. To z powodu zaniechań administratora doszło do powstania naruszenia skutkującego wysokim ryzykiem dla praw i wolności studentów.
Organ nadzoru pozytywnie odniósł się do wdrożonych zmian na platformie e-learningowej, które uniemożliwiają studentom pobranie plików z egzaminami. Pozwolą one uniknąć podobnych sytuacji w przyszłości.
Prezes Urzędu wymierzając karę za niezgłoszenie naruszenia organowi nadzoru i niepowiadomienie o nim osób, których dotyczył ten incydent, wziął pod uwagę m.in. czas trwania naruszenia (od naruszenia do wydania decyzji minęło kilka miesięcy), umyślne działanie administratora, który podjął decyzję, by nie zawiadamiać o naruszeniu i nie informować o nim studentów, niezadowalającą współpracę administratora z organem (nie zgłosił naruszenia pomimo wysyłanych pism i wszczętego postępowania).
Nałożona kara spełni funkcję nie tylko represyjną, ale i prewencyjną, gdyż pokazuje, że nie można lekceważyć obowiązków, jakie powstają w związku z naruszeniami ochrony danych osobowych. Tym bardziej, że niewłaściwe podejście do obowiązków nałożonych przez RODO może poprowadzić do negatywnych skutków dla osób dotkniętych naruszeniami.
Treść całej decyzji dostępna jest pod linkiem https://uodo.gov.pl/decyzje/DKN.5131.6.2020.
Źródło: https://uodo.gov.pl/pl/138/1825