bg
Chcę wiedzieć o...
Strona główna
Artykuły
Kara za brak realizacji obowiązków administratora

Kara za brak realizacji obowiązków administratora

Dodano: 2022-01-13
Publikator: Urząd Ochrony Danych Osobowych

Urząd Ochrony Danych Osobowych nałożył karę w wysokości 45 tys. zł. na Politechnikę Warszawską za niedopełnienie obowiązków administratora.

UODO wszczął postępowanie po wpłynięciu zgłoszenia naruszenia ochrony danych, w którym wskazano, że nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelnianej bazy danych zawierającej dane osobowe studentów i wykładowców. Chodziło o ponad pięć tysięcy osób.

W czasie postępowania administracyjnego ustalono, że jednostka organizacyjna Politechniki Warszawskiej wykorzystywała aplikację służącą do zapisywania się na przedmioty oraz pozwalającą na wgląd w historię nauczania. Stworzona przez pracowników uczelni aplikacja była modyfikowana w zależności od potrzeb administratora. Początkiem 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania w niej plików, dysponując danymi uwierzytelniającymi. Kilka miesięcy później, na początku maja, dokonano nieautoryzowanego pobrania danych osobowych.

Za wdrożenie odpowiednich środków technicznych i organizacyjnych odpowiedzialny jest administrator. W ocenie UODO, nie przedstawił on dowodów potwierdzających spełnienie tych obowiązków oraz nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Uczelnia nie wzięła pod uwagę zagrożeń związanych z funkcjonowaniem aplikacji, skupiła się tylko na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej.

Brak dokonania analizy ryzyka dla procesu przetwarzania danych osobowych przed zastosowaniem środków technicznych, zdaniem UODO, nie może dać gwarancji, że środki, które zostaną zastosowane będą odpowiednie i skuteczne. Co więcej, RODO zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Zgodnie z rozporządzeniem, administrator powinien więc na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Z ustaleń UODO wynika, że Politechnika Warszawska nie dokonywała cyklicznego sprawdzania zastosowanych środków.

Artykuły powiązane

ZUS odzyskał ponad 150 mln zł dzięki kontrolom zwolnień lekarskich w pierwszej połowie 2025 roku

W pierwszych sześciu miesiącach 2025 roku Zakład Ubezpieczeń Społecznych zdołał odzyskać aż 150,5 mln zł poprzez dokładn...

VAT w odszkodowaniu z OC – decyzja Sądu Najwyższego przesunięta na wrzesień

Sąd Najwyższy odroczył do 24 września 2025 roku podjęcie uchwały, która miała rozstrzygnąć, czy podatek VAT powinien być...

Zastrzeżony PESEL a ubezpieczenie OC – koniec z polisami na cudze dane

Od 27 listopada 2025 roku w życie wejdą przepisy, które umożliwią ubezpieczycielom sprawdzanie, czy numer PESEL osoby ub...