Urząd Ochrony Danych Osobowych nałożył karę w wysokości 45 tys. zł. na Politechnikę Warszawską za niedopełnienie obowiązków administratora.
UODO wszczął postępowanie po wpłynięciu zgłoszenia naruszenia ochrony danych, w którym wskazano, że nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelnianej bazy danych zawierającej dane osobowe studentów i wykładowców. Chodziło o ponad pięć tysięcy osób.
W czasie postępowania administracyjnego ustalono, że jednostka organizacyjna Politechniki Warszawskiej wykorzystywała aplikację służącą do zapisywania się na przedmioty oraz pozwalającą na wgląd w historię nauczania. Stworzona przez pracowników uczelni aplikacja była modyfikowana w zależności od potrzeb administratora. Początkiem 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania w niej plików, dysponując danymi uwierzytelniającymi. Kilka miesięcy później, na początku maja, dokonano nieautoryzowanego pobrania danych osobowych.
Za wdrożenie odpowiednich środków technicznych i organizacyjnych odpowiedzialny jest administrator. W ocenie UODO, nie przedstawił on dowodów potwierdzających spełnienie tych obowiązków oraz nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Uczelnia nie wzięła pod uwagę zagrożeń związanych z funkcjonowaniem aplikacji, skupiła się tylko na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej.
Brak dokonania analizy ryzyka dla procesu przetwarzania danych osobowych przed zastosowaniem środków technicznych, zdaniem UODO, nie może dać gwarancji, że środki, które zostaną zastosowane będą odpowiednie i skuteczne. Co więcej, RODO zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Zgodnie z rozporządzeniem, administrator powinien więc na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Z ustaleń UODO wynika, że Politechnika Warszawska nie dokonywała cyklicznego sprawdzania zastosowanych środków.
