Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Wyciek danych osobowych studentów i pracowników Politechniki Warszawskiej. Postępowanie zostało wszczęte

01/06/2020

Kontrole Puodo, Naruszenie Ochrony Danych, Odpowiedziałność Za Naruszenie Rodo,

W maju b.r. z systemu Ośrodka Kształcenia na Odległość (OKNO) wyciekły dane osobowe ponad 5000 osób. Naruszenie ochrony danych dotyczy zarówno pracowników, jak i studentów Politechniki Warszawskiej. O wycieku Politechnika zawiadomiła policję, a studentom poradziła zastrzeżenie danych i wymianę dokumentów. Prezes Urzędu Ochrony Danych Osobowych po przeanalizowaniu zgłoszenia o naruszeniu ochrony danych osobowych z Politechniki Warszawskiej podjął decyzję o wszczęciu postępowania administracyjnego w tej sprawie


Po incydencie Politechnika Warszawska (PW) poinformowała, że w wyniku zaistniałej sytuacji może nastąpić nieuprawnione wykorzystanie danych osób posiadających konta w systemie OKNO, takich jak   imię i nazwisko, seria i nr dowodu osobistego,  PESEL, adres, imiona rodziców, nazwisko rodowe matki, data i miejsce urodzenia, adres e-mail, nazwa użytkownika, numer telefonu.


W celu zminimalizowania ewentualnych skutków ujawnienia danych osobowych uczelnia rekomendowała  posiadaczom konta w Systemie OKNO podjąć odpowiednia działania, a mianowicie:

- zastrzeżenie danych w banku,

- zastrzeżenie dowodu osobistego oraz złożenie zastrzeżenia kredytowego w Biurze Informacji Kredytowej BIK,

- zastrzeżenie numeru PESEL poprzez aktywowanie usługi Bezpieczny Pesel przez CRIF Poland,

- wymianę dowodu osobistego.


Na początku maja  Prezes Urzędu Ochrony Danych Osobowych (PUODO) otrzymał zgłoszenie naruszenia danych osobowych z Politechniki Warszawskiej, która poinformowała Prezesa, że do osób, których dane dotyczą są wysłana informacja  o naruszeniu  z opisem  charakteru naruszenia i wskazaniem zakresu ujawnionych danych.

 

Do incydentu ewentualnie doszło w wyniku nieuprawnionego dostępu do informacji poprzez złamanie zabezpieczeń  jednej z platform edukacyjnych.

 

Naruszenie zostało także zgłoszone innym podmiotom, takim jak policja, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT GOV, CSIRT MON oraz CSIRT NASK.

 

PUODO przeanalizował zgłoszenie uczelni o naruszeniu ochrony danych osobowych i podjął decyzję o wszczęciu postępowania administracyjnego w tej sprawie. Przedmiotem postępowania jest możliwość naruszenia przez uczelnię, jako administratora danych, przepisów RODO.

 

Organ nadzorczy zwrócił się do Politechniki  z prośbą o udzielenie odpowiednich wyjaśnień oraz złożenie stosownych dokumentów potwierdzających wdrożenie odpowiednich środków zabezpieczenia technicznego i organizacyjnego oraz dokonywania ich regularnego przeglądu czy ich oceny skuteczności w celu zapewnienia bezpieczeństwa danych.

 

Celem wszczętego wobec uczelni postępowania jest przywrócenie u administratora stanu zgodnego z prawem.

 

Prezes UODO poinformował, że w tej sprawie może skorzystać ze środków, jakie daje mu RODO - upomnienie, ostrzeżenie, nakaz dostosowania operacji przetwarzania do przepisów o ochronie danych osobowych, jak również może nałożyć administracyjną karę pieniężną.

 

Zwracamy uwagę, że każda osoba, która uzna, że jej dane osobowe są przetwarzane niezgodnie z prawem może złożyć skargę do Prezesa UODO. Ponadto, jeżeli poniosła ona szkodę majątkową lub niemajątkową, ma także prawo uzyskać od administratora odszkodowanie.

 

 

Olga Sklyarova, specjalista ds. ochrony danych,  audytor JDS Consulting

 

Kontrole Puodo, Naruszenie Ochrony Danych, Odpowiedziałność Za Naruszenie Rodo,
Komisja Europejska wstępnie kwestionuje model reklamowy Meta „zapłać lub wyraź zgodę” jako niezgodny z DMA
Komisja Europejska wstępnie kwestionuje model reklamowy Meta „zapłać lub wyraź zgodę” jako niezgodny z DMA
Plan kontroli UODO na 2024  rok
Plan kontroli UODO na 2024 rok
Październik miesiącem cyberbezpieczeństwa: Wzajemne oddziaływanie ochrony danych i cyberbezpieczeństwa wg. Europejskiego Inspektora Ochrony Danych
Październik miesiącem cyberbezpieczeństwa: Wzajemne oddziaływanie ochrony danych i cyberbezpieczeństwa wg. Europejskiego Inspektora Ochrony Danych