Dziś obchodzimy Światowy Dzień Ochrony Danych Osobowych. Przy tej okazji warto przypomnieć, że podmioty realizujące zadania publiczne są zobowiązane przestrzegać przepisów z tego zakresu. Niestety, nie zawsze dokładają należytej staranności. W związku z ostatnim wyciekiem danych osobowych Śląski Uniwersytet Medyczny zapłaci karę w wysokości 25 tys. zł.
Uczelnia nie zdając sobie sprawy z konsekwencji wycieku danych osobowych nie powiadomiła zarówno samych poszkodowanych, jak i organ nadzoru. Oprócz nałożenia wspomnianej kary przez Prezesa Urzędu Ochrony Danych Osobowych, uczelnia została zobligowana do powiadomienia osób, których dotyczyło naruszenie. Sytuacja miała miejsce podczas przeprowadzania egzaminów w formie wideokonferencji na przeznaczonej do tego platformie e-learningowej. W ten sposób zostały naruszone prawa studentów.
Cała sprawa dotyczy nagrań, których celem było udokumentowanie egzaminów. Co do zasady uczelnie dysponują autonomią i mogą dowolnie kształtować przepisy co do zaliczeń przedmiotów laboratoryjnych, ćwiczeniowych i egzaminacyjnych. W tym celu organy stanowiące uczelni uchwalają wewnętrzne przepisy. Niemniej w okresie pandemii zasada autonomii została ograniczona z powodu odgórnie wprowadzonych obostrzeń. Dowolność co do wyboru formy egzaminu obejmuje aktualnie tylko narzędzia do zdalnego przeprowadzania egzaminów. Z takich rozwiązań skorzystały władze Śląskiego Uniwersytetu Medycznego.
Egzamin naruszył przepisy RODO
Na początku czerwca 2020 roku do UODO zaczęły napływać skargi z których jasno wynikało, że doszło do naruszenia ochrony danych. Zawierały one informacje o nieprawidłowym zabezpieczeniu nagrań z egzaminów na których miała miejsce identyfikacja studentów. Trafiały one do osób spoza grona egzaminowanych, ponieważ każdy, kto posiadał bezpośredni link do nagrań mógł je pobrać, odtworzyć i zobaczyć ujawniane na nich dane osobowe. Zapis nie był w żaden sposób zabezpieczony.
Wskutek otrzymanych informacji, UODO zwrócił się do administratora danych o wyjaśnienie zaistniałej sytuacji. Odpowiedź była dość zaskakująca, ponieważ stwierdzono, że nie istniała potrzeba zawiadamiania Urzędu ze względu na niewielki rozmiar incydentu, który naruszył prawa i wolności osób. Wskazano, że po zaistniałym wydarzeniu miała miejsce modyfikacja systemu, stwarzająca nowe warunki ochrony danych, które uniemożliwiały omyłkowy proces udostępniania plików z zapisanym przebiegiem egzaminów. Ponadto administrator poinformował, że zidentyfikował osoby, które dokonały pobrania plików z egzaminami i wystosował do nich powiadomienie o odpowiedzialności za posługiwanie się uzyskanymi danymi.
Uzasadnienie decyzji UODO
UODO wystosował kolejne pismo do Śląskiego Uniwersytetu Medycznego zawierające informacje o obowiązku zgłaszania organowi nadzoru naruszeń ochrony danych oraz powiadomienia osób dotkniętych taką sytuacją. Taki ruch był spowodowany dalszą biernością uczelni w kwestii podnoszonej przez organ. Wskutek braku podejmowanych działań, wszczęto postępowanie administracyjne. Dochodzenie uprawdopodobniło, że jeden z pracowników po zakończonym egzaminie na platformie e-learningowej, nie zamknął dostępu do wirtualnego pokoju, w którym odbywał się egzamin. Warunkiem dopuszczenia do niego była identyfikacja studentów, którzy musieli okazać dowód osobisty lub legitymację studencką, co oznaczało ujawnienie danych m.in. imienia, nazwiska, adresu zamieszkania, nr. PESEL, nr. dokumentu tożsamości, czy nr. albumu oraz roku i kierunku studiów. Cały przebieg egzaminu na którym uczestnicy udzielali odpowiedzi został udokumentowany.
W konsekwencji UODO stwierdził, że doszło do naruszenia ochrony danych, a administrator zaniechał swoje obowiązki w zakresie powiadomienia organu nadzoru, jak i osób, których dotyczyło naruszenie. Uznano, że w nieodpowiedni sposób dokonał oceny zaistniałego ryzyka.
UODO w decyzji wskazał również, że nie jest istotne, jaka liczba osób pobrała plik z przebiegiem egzaminu – w tym przypadku było to 26, ponieważ może on być udostępniony dalej i grono nieuprawnionych odbiorców zostanie poszerzone.
Zmiany, jakie zostały dokonane na platformie e-learningowej zostały pozytywnie ocenione przez Urząd. Dzięki nim, sytuacja w przyszłości nie powinna mieć miejsca. Niemniej jednak nie wpływa to w żaden sposób na zaistniałe naruszenie.
Prezes UODO nakładając karę na uczelnię wziął pod uwagę kilka istotnych czynników, do których należał m.in. czas trwania naruszenia (od naruszenia do wydania decyzji minęło kilka miesięcy), umyślne działanie administratora, który podjął decyzję, by nie zawiadamiać o naruszeniu i nie informować o nim studentów oraz niezadowalającą współpracę administratora z organem (nie zgłosił naruszenia pomimo wysyłanych pism i wszczętego postępowania).
Nałożona kara ma na celu spełnić dwie funkcje: po pierwsze ukarać podmiot za zaistniałą sytuację, która była przejawem niezgodnego z prawem zachowania i zlekceważenia sytuacji, a po drugie zapobiec takim sytuacjom w przyszłości.
Analiza prawna
Podstawa prawna do nałożenia administracyjnej kary pieniężnej przez Prezesa UODO:
a) Charakter i waga naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.
b) Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło kilka miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez Administratora z obowiązku powiadomienia ich o naruszeniu.
c) Liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679);
W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych wielu osób – wszystkich tych studentów VI roku z sześciu grup studenckich liczących po 26 osób (zgodnie z informacjami przekazanymi Prezesowi UODO) przystępujących do egzaminów praktycznych z pediatrii, należących do wszystkich sekcji egzaminowanych od początku trwania egzaminów (odbywających się w terminach: […].05.2020 r., […].05.2020 r. i […].05.2020 r.), którzy przystępując do przedmiotowych egzaminów, okazywali legitymację studencką lub dowód osobisty.
d) Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679);
Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą, pomimo powzięcia informacji o zdarzeniu od osób, których dane dotyczą oraz kierowanych do niego pism Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Ww. obowiązki Administratora, wynikające z art. 33 ust. 1 i 3 oraz art. 34 ust. 1 i 2 nie zostały zrealizowane. Takie zaniechanie w tym zakresie, pomimo obowiązku działania ,,bez zbędnej zwłoki”, sprawiło, że osobom fizycznym uniemożliwiono możliwie najszybsze podjęcie działań, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia, co z kolei nie pozostaje bez wpływu na ich skuteczność w przypadku wykonania tego obowiązku przez Administratora.
e) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679);
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Administratora. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Administratora nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
f) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679);
Dane osobowe udostępnione osobom nieuprawnionym nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dane znajdujące się w dowodach osobistych związane ze zdjęciem, imionami, nazwiskiem, datą urodzenia i płcią oraz informacje dotyczące studentów: o grupie, roku studiów, kierunku, przedmiocie oraz udzielonych podczas egzaminu odpowiedziach.
g) Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679);
O naruszeniu ochrony danych osobowych stanowiących przedmiot niniejszej sprawy, to jest o udostępnieniu osobom nieuprawnionym danych osobowych przetwarzanych przez Administratora, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679 – informacja ta wpłynęła z kilkunastu innych źródeł. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazanie takiej informacji Prezesowi UODO należy uznać za obciążającą tego administratora.
Podsumowanie
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679). Administrator przekazał osobom, których dane dotyczą, pewne informacje dotyczące naruszenia i umożliwił im komunikację dzięki przeznaczonym do tego kanałom komunikacji. Wskazał również osobom mogącym mieć nieuprawniony dostęp do ujawnionych nagrań na możliwe konsekwencje dyscyplinarne i karne ich bezprawnego użycia.
Tomasz Kawa
Akty prawne:
0 Koment.