Cyberbezpieczeństwo – kolejna kara finansowa nałożona przez Prezesa UODO

9 grudnia 2021 r. Prezes UODO nałożył na Politechnikę Warszawską administracyjną karę pieniężną w wysokości 45 000 zł.

 

Czego dotyczyło naruszenie?

Przedmiotowa kara została nałożona w związku ze zgłoszonym przez uczelnię w maju 2020 r. do Prezesa UODO naruszeniem ochrony danych osobowych. Naruszenie dotyczyło pobrania przez nieznaną osobę, bez stosownego uprawnienia, bazy danych z zasobów uczelnianej sieci informatycznej, która zawierała dane osobowe studentów i wykładowców z lat 2008 – 2020, a także dane osobowe 169 kandydatów na studia na rok akademicki 2019/2020. Sprawa objęła łącznie dane osobowe aż 5013 osób.

Żadne z ujawnionych danych nie stanowiły tzw. danych osobowych szczególnych kategorii, ale jak wskazał Prezes UODO, ich zakres był szeroki. Obejmował imię, nazwisko, imiona rodziców, datę urodzenia, adres zamieszkania lub pobytu, PESEL, adres e-mail, nazwę użytkownika, hasło, nazwisko rodowe matki, serię i numer dowodu osobistego oraz numer telefonu.

 

Błędy po stronie uczelni – na co powinni zwrócić uwagę administratorzy?

Naruszenia uczelni odnoszą się przede wszystkim do bezpieczeństwa danych, analizy ryzyka i nie wdrożenia odpowiednich środków technicznych i organizacyjnych. Prezes UODO wskazał m. in., że uczelnia:

  • nie zastosowała odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania; zabrakło również regularnego testowania, mierzenia i oceniania skuteczności tych środków, mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym;
  • nie uwzględniła ryzyka związanego z przetwarzaniem w swojej aplikacji haseł użytkowników w postaci funkcji skrótu, która nie dała dostatecznej gwarancji bezpieczeństwa;
  • nie dokonała analizy zasadności 4-tygodniowego przechowywania logów maszyny wirtualnej oraz nie analizowała zasadności braku szczegółowego dziennika zdarzeń w swojej aplikacji.

 

Szeroko, za długo, za mało…

Zdaniem Prezesa UODO przede wszystkim dla uczelni obciążające były charakter i waga przedmiotowego naruszenia przy uwzględnieniu dużej liczby poszkodowanych osób.

Dodatkową okoliczność obciążającą stanowił fakt, że naruszenie trwało przez długi czas. Jak ustalił Prezes UODO, miało ono trwać od maja 2018 r. do maja 2020 r., tj. do momentu, gdy uczelnia odłączyła od sieci serwer wraz oprogramowaniem.

Stopień odpowiedzialności uczelni był wysoki, ponieważ to na niej ciążył obowiązek dokonania oceny zabezpieczeń na każdym etapie przetwarzania danych osobowych. Co ważne w sprawie, uczelnia stworzyła rozwiązanie technologiczne w oparciu o własne zasoby ludzkie i wiedzę technologiczną, która została zaimplementowana w organizacji na przestrzeni około 10 lat – bez wsparcia ze strony profesjonalistów.

Prezes UODO jako okoliczność obciążającą wskazał również szeroki zakres kategorii danych osobowych, których dotyczyło naruszenie.

 

Dodatkowe działania popłacają

Na złagodzenie kary przez Prezesa UODO miał wpływ nieumyślny charakter naruszenia – na żadnym etapie postępowania nie stwierdzono, by uczelnia chciała umyślnie naruszyć przepisy prawne w tym zakresie.

Ponadto uczelnia podjęła dodatkowe, wykraczające poza obowiązki prawne, działania mające na celu zminimalizowanie szkody poniesione przez podmioty danych. Co wynika z treści decyzji, uczelnia zaoferowała, że pokryje poszkodowanym koszty zabezpieczenia danych osobowych w standardowej usłudze przez 12 miesięcy. Co więcej, wszystkie osoby, których naruszenie dotyczyło, mogą się ubiegać o zwrot podstawowych kosztów poniesionych na zabezpieczenie ich danych osobowych.

Na złagodzenie kary miało jeszcze wpływ to, że nie stwierdzono jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych przez uczelnię przed tym naruszeniem.

***

Pełna treść omawianej decyzji dostępna jest na stronie internetowej Prezesa UODO pod następującym adresem internetowym: https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20

 

Ludmiła Łuczak
Manager | Radca prawny
ludmila.luczak@olesinski.com

Hieronim Dąbrowski
Associate | Dział prawny
hieronim.dabrowski@olesinski.com

Ludmiła Łuczak

Senior Manager
Radca prawny | OW Legal

ludmila.luczak@olesinski.com

Hieronim Dąbrowski

Senior Associate
OW Legal

hieronim.dabrowski@olesinski.com