Po incydencie Politechnika Warszawska (PW) poinformowała, że w wyniku zaistniałej sytuacji może nastąpić nieuprawnione wykorzystanie danych osób posiadających konta w systemie OKNO, takich jak   imię i nazwisko, seria i nr dowodu osobistego,  PESEL, adres, imiona rodziców, nazwisko rodowe matki, data i miejsce urodzenia, adres e-mail, nazwa użytkownika, numer telefonu.

W celu zminimalizowania ewentualnych skutków ujawnienia danych osobowych uczelnia rekomendowała  posiadaczom konta w Systemie OKNO podjąć odpowiednia działania, a mianowicie:

- zastrzeżenie danych w banku,

- zastrzeżenie dowodu osobistego oraz złożenie zastrzeżenia kredytowego w Biurze Informacji Kredytowej BIK,

- zastrzeżenie numeru PESEL poprzez aktywowanie usługi Bezpieczny Pesel przez CRIF Poland,

- wymianę dowodu osobistego.

Na początku maja  Prezes Urzędu Ochrony Danych Osobowych (PUODO) otrzymał zgłoszenie naruszenia danych osobowych z Politechniki Warszawskiej, która poinformowała Prezesa, że do osób, których dane dotyczą są wysłana informacja  o naruszeniu  z opisem  charakteru naruszenia i wskazaniem zakresu ujawnionych danych.

Do incydentu ewentualnie doszło w wyniku nieuprawnionego dostępu do informacji poprzez złamanie zabezpieczeń  jednej z platform edukacyjnych.

Naruszenie zostało także zgłoszone innym podmiotom, takim jak policja, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT GOV, CSIRT MON oraz CSIRT NASK.

PUODO przeanalizował zgłoszenie uczelni o naruszeniu ochrony danych osobowych i podjął decyzję o wszczęciu postępowania administracyjnego w tej sprawie. Przedmiotem postępowania jest możliwość naruszenia przez uczelnię, jako administratora danych, przepisów RODO.

Organ nadzorczy zwrócił się do Politechniki  z prośbą o udzielenie odpowiednich wyjaśnień oraz złożenie stosownych dokumentów potwierdzających wdrożenie odpowiednich środków zabezpieczenia technicznego i organizacyjnego oraz dokonywania ich regularnego przeglądu czy ich oceny skuteczności w celu zapewnienia bezpieczeństwa danych.

Celem wszczętego wobec uczelni postępowania jest przywrócenie u administratora stanu zgodnego z prawem.

Prezes UODO poinformował, że w tej sprawie może skorzystać ze środków, jakie daje mu RODO - upomnienie, ostrzeżenie, nakaz dostosowania operacji przetwarzania do przepisów o ochronie danych osobowych, jak również może nałożyć administracyjną karę pieniężną.

Zwracamy uwagę, że każda osoba, która uzna, że jej dane osobowe są przetwarzane niezgodnie z prawem może złożyć skargę do Prezesa UODO. Ponadto, jeżeli poniosła ona szkodę majątkową lub niemajątkową, ma także prawo uzyskać od administratora odszkodowanie.

Olga Sklyarova, specjalista ds. ochrony danych,  audytor JDS Consulting