W dniu 3 maja 2020 roku Politechnika Warszawska poinformowała, że w wyniku złamania zabezpieczeń jednej z platform edukacyjnych doszło do wycieku danych osobowych studentów i wykładowców, łącznie ponad 5000 osób. Wspomniana platforma to Ośrodek Kształcenia na Odległość PW (OKNO), tj. aplikacja stworzona przez pracownika uczelni, służąca m.in. do zapisywania się na przedmioty, pozwalająca na wgląd w historię nauczania, ocen czy rozliczeń opłat.
Dane objęte naruszeniem w przypadku studentów to m.in.: imię i nazwisko, seria i numer dowodu osobistego, numer PESEL, adresy, imiona rodziców, nazwisko rodowe matki, data i miejsce urodzenia adres e-mail, nazwa użytkownika, numer telefonu. W przypadku wykładowców były to: imię i nazwisko, a także adres e-mail.
Uczelnia o incydencie poinformowała UODO i zawiadomiła osoby, które dotknęło naruszenie. Zaproponowano im podjęcie działań w celu zmniejszenia potencjalnych skutków zdarzenia. Politechnika Warszawska na swojej oficjalnej stronie internetowej poinformowała, że wszystkie osoby, których incydent dotyczy mogą ubiegać się o zwrot kosztów poniesionych w związku z tymi działaniami. Zwrócony zostanie koszt usługi zabezpieczającej przed kradzieżą tożsamości (oferowanej np. przez BIK lub ChronPESEL.pl) w standardowym zakresie przez okres jednego roku.
KOLEJNY WYCIEK DANYCH…
Niestety majowy incydent nie był jedynym. Politechnika Warszawska poinformowała, że 24 czerwca tego samego roku doszło do kolejnego naruszenia. W wyniku bliżej nieokreślonego, niezamierzonego działania na stronie internetowej Wydziału Architektury PW opublikowane zostały dane osób kandydujących na studia. Pośród danych objętych naruszaniem znajdowały się imiona i nazwiska, numery PESEL, a także numery kandydatów w wewnątrzuczelnianym systemie „Rekrutacja”.
PREZES UODO WSZCZĄŁ POSTĘPOWANIE W SPRAWIE POLITECHNIKI WARSZAWSKIEJ
Uczelnia zgłosiła również to naruszenie Prezesowi UODO, który podjął decyzję o wszczęciu postępowania w tej sprawie. W jego wyniku ustalono, że do naruszenia doszło wcześniej niż w maju, kiedy to o sytuacji poinformowała uczelnia. Już na początku stycznia 2020 roku nieuprawniona osoba, wykorzystując funkcjonalność transferu plików w uczelnianej aplikacji, pobrała z zasobów sieci informatycznej bazy danych studentów i wykładowców.
Pamiętać należy, że administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych. UODO ustalił, że Politechnika Warszawska nie przedstawiła dowodów potwierdzających spełnienie tych obowiązków. Nie dokonano formalnej oceny ryzyka, nie uzasadniono również adekwatności stosowanych zabezpieczeń do ryzyka. Zgodnie z opinią UODO zastosowanie środków technicznych przy pominięciu uprzedniej analizy ryzyka dla procesu przetwarzania danych nie daje gwarancji, że zastosowane środki będą skuteczne i adekwatne.
Zgodnie z RODO administrator zobowiązany jest do regularnego mierzenia, testowania i oceniania skuteczności środków technicznych i organizacyjnych służących zapewnieniu bezpieczeństwa przetwarzania. Zgodnie z powyższym administrator powinien w aktywny sposób, cyklicznie sprawdzać bezpieczeństwo danych osobowych. UODO w wyniku postępowania ustalił, że Politechnika Warszawska nie podejmowała takich działań.
Prezes Urzędu Ochrony Danych Osobowych decyzją z 9 grudnia 2021 roku ukarał Politechnikę Warszawską administracyjną karą pieniężną w wysokości 45 tyś zł. Rzecznik Politechniki podkreśla, że uczelnia przyjęła decyzję UODO z pokorą i nie zamierza się od niej odwoływać.
UCZELNIA PRZY TWORZENIU APLIKACJI POWINNA ZACZĄĆ OD PRIVACY BY DESIGN
RODO, a konkretniej art. 25, zobowiązuje administratora do przestrzegania zasady Privacy by design podczas tworzenia nowych projektów. W myśl tej zasady tryb ochrony danych osobowych i prywatności uwzględnia się już na etapie planowania nowych procesów.
Stosowanie przez administratora zasady Privacy by design pomoże uchronić go przed niewłaściwym podejściem do kwestii bezpieczeństwa danych, nieuwzględnieniem istotnych środków przetwarzania czy niezbędnych machizmów zapewniających realizację przepisów RDODO. W konsekwencji właściwe zastosowanie zasady Privacy by desing może zapobiec naruszeniom ochrony danych osobowych oraz otrzymaniu kary administracyjnej za nieprzestrzeganie art. 25 RODO. Należy podkreślić, że prowadzenie projektów zgodnie z tą zasadą wymaga wiedzy nie tylko z zakresu ochrony danych osobowych, ale również w dziedzinie prawa, bezpieczeństwa informacji oraz znajomości funkcjonowania systemów informatycznych lub procesów w organizacji. Dlatego prawidłowa realizacja Privacy by desing wymaga kooperacji kilku specjalistów. Więcej o tej zasadzie można dowiedzieć się z wcześniejszego Komunikatu IOD-y.