Adatvédelmi incidens egy lengyel egyetemen


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Ellopták egy egyetemi alkalmazott magán laptopját, amelyen a diákok személyes adatait is tárolta, az egyetem azonban erről nem tudott.

A lengyel adatvédelmi hatóság megállapította, hogy a Varsói Tudományegyetem (Egyetem) személyiségi jogokat sértett, ezért 50.000 zloty bírságot szabott ki az Egyetemre.

A lengyel adatvédelmi hatóság elnökéhez még 2019 novemberében érkezett bejelentés, amely szerint az egyetemi tanulmányokra jelentkezők személyes adatainak nem kezelik megfelelően.

A bejelentés szerint egy egyetemi alkalmazott laptopjának eltulajdonításáról számolt be, aki ezt a számítógépet egyetemi célokra is használta, ideértve az Egyetemre jelentkezők személyes adatainak toborzási célú kezelését. Az egyetemen az adatvédelmi incidens kapcsán ellenőrzést folytatott le amelyet követően a lengyel adatvédelmi hatóság hivatalból vizsgálati eljárást indított.

Az eljárás során összegyűjtött bizonyítékok alapján az adatvédelmi hatóság közigazgatási bírságot szabott ki az egyetemre. A bírság összegének megállapítása során az adatvédelmi hatóság figyelembe vette, hogy a személyes adatok sérelme az Egyetemre az utóbbi öt évben jelentkező diákokat érintette, számos különböző személyes adatot érintett, illetve hogy az érintettek száma akár a 100-at is elérhette. A bírság összegének megállapítása szempontjából az is lényeges, hogy az adatkezelőnek nem volt tudomása arról, hogy a munkavállaló a személyes adatok a magáncélból használt számítógépén tárolja, így nem is ellenőrizte az adatkezelést, illetve azt, hogy pontosan melyik adathordozón vannak a jelentkezők személyes adatai, valamint nem rögzítette a hozzáféréseket az informatikai rendszerben. A fenti körülmények a GDPR-ben meghatározott titkosság és elszámoltathatóság elvének megsértését eredményezik.

Az adatvédelmi hatóság megjegyezte, hogy a tanulmányokra jelentkezők személyes adatainak kezelésére öt év után került sor, amely sérti a személyes adatok tárolására előírt időtartamra vonatkozó szabályt, mert az Egyetem a személyes adatok kezelésére a tanulmányok befejezését követő három hónapos időtartamot határozott meg, amely alatt a toborzási tevékenység folyhat. Ez sérti a GDPR-ban előírt korlátozott tárolhatóság elvét.

Ezenkívül a lefolytatott eljárások során megállapítást nyert, hogy az egyetem nem hajtott végre megfelelő szervezési és technikai intézkedéseket a tanulmányokra jelentkezők személyes adatainak biztonságos kezelése érdekében.

Az adatkezelő kötelessége megfelelő technikai és szervezési intézkedések végrehajtása a kezelt személyes adatok biztonságának biztosítása érdekében. Ezeket folyamatosan felül kell vizsgálni és naprakésszé kell tenni a hatályos jogszabályok és a változó technológia alapján. Az adatvédelmi hatóság szerint a megfelelő technikai és szervezési intézkedések megállapítása kétlépcsős folyamat. Először is fontos meghatározni a személyes adatok feldolgozásával járó kockázat szintjét. Ezután meg kell határozni, hogy mely technikai és szervezési intézkedések lesznek megfelelőek a kockázatnak megfelelő biztonsági szint biztosításához. Ezeknek a megállapodásoknak tartalmazniuk kell olyan intézkedéseket, mint például a feldolgozási rendszerek és szolgáltatások folyamatos titkosságának, integritásának, elérhetőségének és rugalmasságának biztosításának képessége, valamint a feldolgozás biztonságát biztosító technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, értékelésére és értékelésére szolgáló folyamat.

Az adatvédelmi hatóság véleménye szerint az egyetem által hozott intézkedések, beleértve a tanulmányokra jelentkezők adatainak kezelését, nem voltak megfelelőek.

Az adatvédelmi hatóság elnöke ugyanakkor kijelentette, hogy az érintett ügyben az adatvédelmi tisztviselő (DPO) feladatait anélkül végezte el, hogy kellő figyelmet fordított volna az adatkezelési műveletekhez kapcsolódó kockázatokra. A kinevezett adatvédelmi tisztviselőt az egyetem nem vonta be a toborzási tevékenységre szánt informatikai rendszer kialakításába. Az adatvédelmi tisztviselő bevonása csökkenthette volna a nem megfelelő adatkezelés kockázatát.

A bírság kiszabásakor az adatvédelmi hatóság elnöke figyelembe vette az enyhítő körülményeket is, így például: jó együttműködés volt az adatvédelmi hatósággal mind az ellenőrzés során, mind a közigazgatási eljárás során, az egyetem intézkedett a jogsértés orvoslása és a biztonság garantálása érdekében az adatok jövőbeni kezelése során.

(edpb.europa.eu)




Kapcsolódó cikkek