Uczelnia ukarana za brak zawiadomienia Prezesa UODO i podmiotów danych

O naruszeniu ochrony danych na Śląskim Uniwersytecie Medycznym Prezes UODO dowiedział się jeszcze w czerwcu 2020 r. Naruszenie miało miejsce w związku z egzaminami przeprowadzanymi w formie wideokonferencji na specjalnej platformie e-learningowej. Jak się bowiem okazało, nagrania z wideokonferencji były dostępne nie tylko dla osób egzaminowanych, ale dla każdej osoby mającej dostęp do systemu. Poza tym wystarczyło mieć bezpośredni link do nagrania, aby uzyskać taki dostęp, co mogła zrobić każda osoba postronna. Stało się tak, ponieważ jeden z pracowników po zakończonym egzaminie na platformie e-learningowej nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się sprawdzian.

Podczas postępowania uczelnia wyjaśniała, że zawiadamianie Urzędu nie było konieczne z uwagi na niskie ryzyko dla praw lub wolności osób, których dotyczył incydent. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi. Dodatkowo po incydencie odpowiednio usprawnił system, aby nie dochodziło już do takich zdarzeń.

Następnie organ nadzorczy skierował do uczelni pismo, w którym wskazał sytuacje, w jakich należy naruszenie ochrony danych zgłosić organowi nadzoru i w jakich trzeba też powiadomić o tym zdarzeniu osoby, których ono dotyczyło. Mimo tego naruszenie nie zostało zgłoszone.

W konsekwencji Prezes UODO zainicjował postępowanie. W jego trakcie ustalono, że na nagraniach weryfikowano tożsamość studentów na podstawie dowodów osobistych lub legitymacji studenckich. W konsekwencji z nagrań można było odczytać wiele danych osobowych, m.in.

• wizerunek,
• nr PESEL,
• nr dokumentu tożsamości czy albumu,
• imię i nazwisko,
• adres zamieszkania.

Prezes UODO uznał, że w takiej sytuacji niezgłoszenie naruszenia organowi nadzorczemu i niezawiadomienie o nim podmiotów danych było uchybieniem. Administrator niewłaściwie ocenił bowiem zaistniało ryzyko.

Ryzyko to w opisanej sytuacji było wysokie np. w związku z niebezpieczeństwem (zaciągnięcia na czyjeś dane rożnych zobowiązań.

Wymierzając uczelni karę w wysokości 25 tys. zł, organ nadzorczy uwzględnił m.in.

• czas trwania naruszenia (od naruszenia do wydania decyzji minęło kilka miesięcy),
• umyślne działanie administratora, który podjął decyzję, by nie zawiadamiać o naruszeniu i nie informować o nim studentów,
• niezadowalającą współpracę administratora z organem (uczelnia nie zgłosiła naruszenia pomimo wysyłanych pism i wszczętego postępowania).

Orzecznictwo:

• Decyzja Prezesa UODO z 5 stycznia 2021 r. (DKN.5131.6.2020)