bg
Chcę wiedzieć o...
Strona główna
Artykuły
Kara za brak realizacji obowiązków administratora

Kara za brak realizacji obowiązków administratora

Dodano: 2022-01-13
Publikator: Urząd Ochrony Danych Osobowych

Urząd Ochrony Danych Osobowych nałożył karę w wysokości 45 tys. zł. na Politechnikę Warszawską za niedopełnienie obowiązków administratora.

UODO wszczął postępowanie po wpłynięciu zgłoszenia naruszenia ochrony danych, w którym wskazano, że nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelnianej bazy danych zawierającej dane osobowe studentów i wykładowców. Chodziło o ponad pięć tysięcy osób.

W czasie postępowania administracyjnego ustalono, że jednostka organizacyjna Politechniki Warszawskiej wykorzystywała aplikację służącą do zapisywania się na przedmioty oraz pozwalającą na wgląd w historię nauczania. Stworzona przez pracowników uczelni aplikacja była modyfikowana w zależności od potrzeb administratora. Początkiem 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania w niej plików, dysponując danymi uwierzytelniającymi. Kilka miesięcy później, na początku maja, dokonano nieautoryzowanego pobrania danych osobowych.

Za wdrożenie odpowiednich środków technicznych i organizacyjnych odpowiedzialny jest administrator. W ocenie UODO, nie przedstawił on dowodów potwierdzających spełnienie tych obowiązków oraz nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Uczelnia nie wzięła pod uwagę zagrożeń związanych z funkcjonowaniem aplikacji, skupiła się tylko na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej.

Brak dokonania analizy ryzyka dla procesu przetwarzania danych osobowych przed zastosowaniem środków technicznych, zdaniem UODO, nie może dać gwarancji, że środki, które zostaną zastosowane będą odpowiednie i skuteczne. Co więcej, RODO zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Zgodnie z rozporządzeniem, administrator powinien więc na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Z ustaleń UODO wynika, że Politechnika Warszawska nie dokonywała cyklicznego sprawdzania zastosowanych środków.

Artykuły powiązane

Ryzyko rynkowe głównym problemem dla ubezpieczycieli w 2024 r.

W dniu 5 lutego 2024 r. Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) opublikował...

Kontrole sektorowe UODO w 2024 r.

W dniu 12 lutego 2024 r. Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na 2024 rok. Plan ten pr...

Wynagrodzenie celebryty za współpracę nie zalicza się do kosztów

Dyrektor Krajowej Informacji Skarbowej w interpretacji z dnia 8 stycznia 2024 r. (sygn...