Wszczęcie postępowania w sprawie wycieku danych osobowych z jednej z warszawskich uczelni

• 04.06.2020

• Autor: Joanna Noga-Bogomilska

• RODO w IT

Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie w sprawie Polityki Warszawskiej. Postępowanie zostało wszczęte po zgłoszeniu naruszenia danych osobowych. Od rozpoczęcia obowiązywania RODO minęły właśnie 2 lata. Nic dziwnego, że każde nowe postępowanie czy decyzja organu nadzorczego analizowane są z dużą uwagą. Stanowią one bowiem cenną informację o stanowisku organu nadzorczego o tym na co kładziony jest szczególny nacisk a także o kształtującej się polityce karania.

Przypomnijmy, że obecne postępowanie jest konsekwencją incydentu jaki miał miejsce na początku maja tego roku. Doszło wówczas do wycieku sporej ilości danych studentów i pracowników PW. Jak wynika z doniesień prasowych mogło dojść do ujawnienia szerokiego zakresu danych tych osób takich jak: m.in. imiona, nazwiska, adresy, numery dowodów osobistych, ale także numery PESEL czy informacje o nazwisku panieńskim matki in. Tak szeroki zestaw danych może stwarzać zagrożenie dla osób, których te dane dotyczą. Dane takie jak numer PESEL czy imię nazwisko panieńskie matki stanowią bowiem często jeden z istotnych środków do weryfikacji tożsamości klienta np. w banku. Nieuprawniony dostęp do dużego wachlarza danych rodzi różne ryzyka, w tym m.in. ryzyko kradzieży tożsamości. Warto wspomnieć, że w przy Ministerstwie Cyfryzacji trwają prace Grupy Roboczej powołanej do spraw przeciwdziałania temu zjawisku. W pracach grupy biorą udział przedstawiciele kilku resortów. Obecnie prace grupy uległy czasowemu zawieszeniu z uwagi na trwającą epidemię, ale można mieć nadzieję, że inicjatywa ta przyczyni się do wypracowania rozwiązań mających na celu zmniejszenie skali tego zjawiska.

Z komunikatu UODO wynika, że organ nadzorczy zwrócił się do Politechniki Warszawskiej z prośbą o udzielenie wyjaśnień oraz złożenie dokumentów umożliwiających zbadanie tej sprawy. W ramach postępowania sprawdzone zostanie czy wdrożone zostały odpowiednie środki zabezpieczenia technicznego i organizacyjnego, czy dokonywano ich regularnego przeglądu oraz oceny ich skuteczności w celu zapewnienia bezpieczeństwa danych.

Organ nadzorczy zadeklarował przede wszystkim, że celem postępowania administracyjnego jest przywrócenie u administratora stanu zgodnego z prawem. Jednak w swoim komunikacie UODO zwrócił uwagę także na przysługujące mu uprawnienie do nałożenia administracyjnej kary pieniężnej.

Wyciek danych a także wszczęcie postępowania w tej sprawie zbiegły się ze zwiększeniem popularności komunikacji zdalnej w okresie epidemii – dane pochodziły najprawdopodobniej z platformy służącej do kształcenia na odległość. Zdarzenie to szczególnie uświadamia jak ważne jest zadbanie o odpowiednie środki zabezpieczenia danych w otoczeniu cyfrowym.

Źródła:

https://uodo.gov.pl/pl/138/1545

https://niebezpiecznik.pl/post/uodo-ruszyl-z-postepowaniem-ws-politechniki-warszawskiej/

https://www.rp.pl/Dane-osobowe/305089905-Wyciek-danych-na-Politechnice-Warszawskiej-Uczelnia-chce-zwracac-wydatki-na-BIK.html

Autor

Joanna Noga-Bogomilska

Radca prawny, specjalista z zakresu prawa ochrony danych osobowych. Doświadczenie zdobywała w warszawskich kancelariach prawnych a także w organach administracji publicznej. Prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.