W zeszłym roku w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie doszło do incydentu, podczas którego laptop pracownika SGGW, zawierający dane kandydatów na studia, został skradziony. Wskutek naruszenia została przeprowadzona kontrola Urzędu Ochrony Danych Osobowych, która wykazała pewne nieprawidłowości. Zaś kilka dni temu UODO poinformowało o wszczęciu postępowania administracyjnego.
Jakie nieprawidłowości zostały wykryte?
Przede wszystkim Administrator nie zadbał o aktualizację i przegląd polityk bezpieczeństwa. Ponadto, nie przeglądał systematycznie procesów przetwarzania danych osobowych kandydatów na studia. Niewłaściwie ocenił ryzyko i nie podjął czynności mających je zminimalizować. Urząd zauważył również niedoskonałość realizowanych działań przez inspektora ochrony danych uczelni, który nie sprawował należytej pieczy nad operacjami przetwarzania.
Używany przez pracownika uczelni laptop był nie tylko wykorzystywany w celach służbowych, ale i prywatnych. A w wyniku wycieku mogło dojść do ujawnienia takich danych jak: PESEL, numer dowodu osobistego czy paszportu, adres zamieszkania, numer telefonu, informacje o ukończonych szkołach i wynikach matur.
Jakie wnioski możemy wyciągnąć z kontroli UODO?
Przede wszystkim Administrator powinien panować nad zabezpieczeniem sprzętu wykorzystywanego w pracy. Wszelkie nośniki danych należy właściwie zahasłować bądź zaszyfrować, aby w przypadku dostania się w niepowołane ręce, nie mogły być odtworzone. Szczególnie teraz jest to istotne, kiedy praca odbywa się w systemie home office, czyli pracy zdalnej, a osobami nieuprawnionymi mogą być zwyczajnie inni domownicy.
Dokumenty z zakresu danych osobowych należy okresowo przeglądać i sprawdzać pod kątem ich aktualności. Inspektor powinien czuwać nad ich prawidłowością we współpracy z osobami mającymi największą styczność z danymi osobowymi w danej jednostce.
Jakie sankcje mogą czekać SGGW?
Nie musi to być koniecznie sankcja finansowa, Urząd ma do wyboru kilka możliwych środków, takich jak: upomnienia, ostrzeżenia, nakazy dostosowania operacji przetwarzania do przepisów o ochronie danych osobowych. Jednakże, na uczelnię może zostać również nałożona administracyjna kara pieniężna. Dobór właściwego środka zależy od oceny okoliczności naruszenia.
Po zakończeniu postępowania i opublikowaniu decyzji na stronie internetowej Urzędu będziemy mogli wysnuć ostateczne wnioski, so stay tuned!
Dagmara Jabłońska
Kancelaria Wyrzykowscy sp. z o.o.