Brak regularnie przeprowadzonych testów, brak oceny skuteczności, niezastosowanie odpowiednich środków bezpieczeństwa i wiele innych. W wyniku tych zaniedbań wyciekły dane osobowe ponad pięciu tysięcy osób.
Incydent sprzed półtora roku
Do wycieku danych z bazy Politechniki Warszawskiej doszło w maju 2020 roku. O zaistniałej sytuacji poinformowała sama uczelnia. W oświadczeniu wskazano, iż doszło wówczas do incydentu, w wyniku którego mogły zostać złamane środki, zabezpieczające informacje o 5300 osobach związanych z uczelnią. Wyciek miał dotyczyć danych takich jak numery PESEL, nazwiska, imiona rodziców, numery i serie dowodów osobistych, adresy.
Kara nałożona na administratora
Sprawą wycieku danych z uczelni zajął się Urząd Ochrony Danych Osobowych. Jego członkowie mieli przeanalizować całą sytuację i wcześniejszy stan zabezpieczeń, który powinien gwarantować bezpieczeństwo dla wszelkich przechowywanych w systemach informacji. Swoją decyzję wraz z uzasadnieniem UODO przedstawił we wtorek 11 stycznia. W myśl postanowienia Politechnikę, jako administratora danych osobowych, który doprowadził do sytuacji zagrożonej negatywnymi skutkami w przyszłości, zobowiązano do wypłacenia kwoty 45 tysięcy złotych.
Co ustalił Urząd Ochrony Danych Osobowych?
W uzasadnieniu swojej decyzji rozpatrujący sprawę członkowie UODO wskazali na szereg nieprawidłowości i zaniedbań, których dopuścił się administrator. Jak ustalono aplikacja, którą wprowadziła do wewnątrzuczelnianego użytku Politechnika, nie przeszła odpowiednich testów. Administrator nie potwierdził skuteczności zabezpieczeń, które dotyczyły przetwarzania danych osobowych, co jest niezgodne z obowiązującymi przepisami RODO. Brak regularnej kontroli zabezpieczeń pozwolił na nieautoryzowane pobranie danych z serwerów uczelni.
Jak poinformował rzecznik Politechniki Warszawskiej Krzysztof Szymański, uczelnia nie zamierza kierować do urzędu skargi. Władze od początku zdają sobie sprawę z wynikłego dla wielu osób niebezpieczeństwa i z pokorą przyjęły decyzję UODO.