Kalendarz prawnika: Brak wydarzeń na dziś

SONDA

Czy udzielasz porad prawnych pro bono?

Polska uczelnia ukarana za naruszenia w trakcie zdalnych egzaminów

Prezes UODO nałożył 25 tys. zł kary na na jedną z państwowych uczelni za naruszenie ochrony danych, do którego doszło podczas zdalnych egzaminów, przeprowadzanych za pośrednictwem specjalnej platformy e-learningowej.

Polska uczelnia ukarana za naruszenia w trakcie zdalnych egzaminów

Naruszenie danych osobowych podczas zdalnych egzaminów

 

Prezes UODO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny, gdzie doszło do naruszenia ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent. Organ nadzoru oprócz nałożonej kary, nakazał również uczelni powiadomienie osób, których dotyczyło naruszenie, do jakiego doszło w związku z egzaminami przeprowadzanymi w formie wideokonferencji na specjalnej do tego platformie e-learningowej.

 

Stan faktyczny sprawy

 

Jak informuje UODO, sygnały o tym, że na Śląskim Uniwersytecie Medycznym doszło do naruszenia ochrony danych dotarły do UODO na początku czerwca 2020 roku. Z informacji tych, jak i opisu skargi wynikało, że podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Ponadto wykorzystując bezpośredni link każda osoba postronna mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.



Ponieważ informacje wskazywały na to, że mogło dojść do wysokiego ryzyka dla praw i wolności osób, które przystąpiły do egzaminu, UODO zwrócił się do administratora danych o wyjaśnienie sytuacji. Ten w odpowiedzi na pismo utrzymywał, że w związku z naruszeniem nie było konieczności zawiadamiania Urzędu, gdyż w jego ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie. Ponadto po tym zdarzeniu system został zmodyfikowany, by nie dochodziło do omyłkowego udostępniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.



Uczelnia w dalszym ciągu jednak nie zgłosiła naruszenia ochrony danych i nie powiadomiła osób dotkniętych tym zdarzeniem. Nie uczyniła tego, pomimo kolejnego pisma z UODO, w którym wskazano sytuacje, w jakich należy naruszenie ochrony danych zgłosić organowi nadzoru i w jakich trzeba też powiadomić o tym zdarzeniu osoby, których ono dotyczyło. W związku z tym wszczęto więc postępowanie administracyjne. W jego toku ustalono, że do naruszenia doszło ponieważ jeden z pracowników po zakończonym egzaminie na platformie e-learningowej nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się sprawdzian. Przez to można było pobrać nagrania z przebiegu egzaminu. W związku z tym, że studenci przed przystąpieniem do egzaminu byli identyfikowani na podstawie dowodów osobistych lub legitymacji studenckich, na nagraniach zarejestrowany był szereg ich danych. W zależności od tego jakim wzorem dowodu osobistego lub legitymacji studenckiej się posługiwali inny był zakres danych w przypadku poszczególnych osób dotkniętych naruszeniem. W części przypadków były to jednak m.in. wizerunek, nr PESEL, nr dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania. Ponadto w wyniku naruszenia osoby nieuprawnione mogły zapoznać się z innymi danymi jak: rok studiów, grupa, kierunek studiów, informacje o zdawanym przedmiocie czy udzielonych odpowiedziach podczas egzaminu.



Urząd uznał, że doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie. Takie obowiązki powstają, gdy w związku z naruszeniem istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane rożnych zobowiązań). Administrator niewłaściwie więc ocenił zaistniałe ryzyko. UODO w swojej decyzji wskazał też, że nie ma znaczenia, jak twierdzi administrator, że plik z przebiegiem egzaminu pobrało jednie 26 osób. Nie ma bowiem pewności, że nie zostanie on dalej udostępniony nieuprawnionym osobom.


 

25 tys. złotych kary

 

W ocenie Urzędu odpowiedzialność za te dane ponosi administrator, a nie osoby, które pobrały po egzaminie plik z jego przebiegiem. To z powodu zaniechań administratora doszło do powstania naruszenia skutkującego wysokim ryzykiem dla praw i wolności studentów. Prezes Urzędu wymierzając karę za niezgłoszenie naruszenia organowi nadzoru i niepowiadomienie o nim osób, których dotyczył ten incydent, wziął pod uwagę m.in. czas trwania naruszenia (od naruszenia do wydania decyzji minęło kilka miesięcy), umyślne działanie administratora, który podjął decyzję, by nie zawiadamiać o naruszeniu i nie informować o nim studentów, niezadowalającą współpracę administratora z organem (nie zgłosił naruszenia pomimo wysyłanych pism i wszczętego postępowania). W uzasadnieniu wskazano, że nałożona kara spełni funkcję nie tylko represyjną, ale i prewencyjną, gdyż pokazuje, że nie można lekceważyć obowiązków, jakie powstają w związku z naruszeniami ochrony danych osobowych. Tym bardziej, że niewłaściwe podejście do obowiązków nałożonych przez RODO może poprowadzić do negatywnych skutków dla osób dotkniętych naruszeniami.

 

Źródło:

Decyzja Prezesa UODO z dnia 5 stycznia 2021 roku , DKN.5131.6.2020.


Data: 25.01.2021 07:00
Autor/Źródło: Zespół portalu sPrawnik.pl
Kategoria: Prawo
Słowa kluczowe: UODO, RODO, ochrona danych osobowych, Śląski Uniwersytet Medyczny, Prezes UODO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny
® 2011 - 2021 SerwisPrawa.pl sp. z o.o. Korzystanie z portalu oznacza akceptację regulaminu.