Prezes UODO ukarał Śląski Uniwersytet Medyczny karą finansową w wysokości 25 tys. zł. Przyczyną jej nałożenia było naruszenie, do którego doszło na uczelni w maju 2020 r.
Co konkretnie było przyczyną nałożenia kary?
Na początku czerwca 2020 r. do Prezesa UODO wpłynęła skarga, z której wynikało, że podczas egzaminów, które z powodu trwającej pandemii odbywały się w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie dostęp do nagrań był możliwy nie tylko dla uczestników, ale również dla innych użytkowników systemu. Ponadto przy wykorzystaniu bezpośredniego linku każda osoba postronna mogła mieć dostęp do nagrania z egzaminu i danych osobowych egzaminowanych studentów.
Po zapoznaniu się z treścią skargi UODO ze względu na to, że informacje wskazywały na wysokie ryzyko naruszenia praw i wolności osób, zwrócił się do ŚUM o wyjaśnienie sytuacji.
Uniwersytet w odpowiedzi przesłanej do Urzędu stał na stanowisku, że w związku z tym naruszeniem nie było konieczności zawiadamiania UODO, gdyż:
- w jego ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie,
- system informatyczny został zmodyfikowany tak, by nie dochodziło do omyłkowego udostępniania plików,
- zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.
Prezes UODO wystosował kolejne pismo do ŚUM, w którym wskazał sytuacje, w jakich należy naruszenie ochrony danych zgłosić organowi nadzoru i w jakich trzeba też powiadomić o tym zdarzeniu osoby, których ono dotyczyło. Uniwersytet nie zareagował i w dalszym ciągu nie poinformował osób. W związku z tym wszczęto więc postępowanie administracyjne w toku, którego ustalono, że studenci przed przystąpieniem do egzaminu byli identyfikowani na podstawie dowodów osobistych lub legitymacji studenckich, w związku z czym na nagraniach zarejestrowany był szereg ich danych m.in. wizerunek, nr PESEL, nr dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania. Ponadto w wyniku naruszenia osoby nieuprawnione mogły zapoznać się z innymi danymi jak: rok studiów, grupa, kierunek studiów, informacje o zdawanym przedmiocie czy udzielonych odpowiedziach podczas egzaminu.
Urząd ocenił, że na Uniwersytecie doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie
Prezes UODO oprócz kary finansowej, nakazał również uczelni powiadomienie osób, których dotyczyło naruszenie. Nałożona kara pełni funkcję nie tylko represyjną, ale i prewencyjną, gdyż pokazuje, że nie można lekceważyć obowiązków, jakie powstają w związku z naruszeniami ochrony danych osobowych.
Więcej informacji oraz pełna treść decyzji znajduje się na stronie: https://uodo.gov.pl/pl/138/1825
Nina Kowalik
Kancelaria Wyrzykowscy