202103.19
0

Śląski Uniwersytet Medyczny w Katowicach ukarany przez UOKiK

5 stycznia 2021 r. Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu postępowania administracyjnego w sprawie braku zgłoszenia dotyczącego naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia  o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Śląski Uniwersytet Medyczny w Katowicach, stwierdził naruszenie przez Śląski Uniwersytet Medyczny w Katowicach łącznie 15 przepisów. W związku z tym, Prezes Urzędu Ochrony Danych Osobowych  nałożył na Śląski Uniwersytet Medyczny w Katowicach karę pieniężną w wysokości 25 000 zł oraz nakazał zawiadomienie osób, których dane dotyczyły, o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z odpowiednimi zapisami prawa.

Z informacji przekazanych przez kilkanaście osób od których wpłynęły skargi wynika, że naruszenie polegało na udostępnieniu w internecie na platformie e-learningowej, nagrań obrazujących przebieg egzaminów praktycznych z pediatrii organizowanych przez Śląski Uniwersytet Medyczny w Katowicach, gdzie w trakcie przystępowania do egzaminu większość uczestniczących w nim studentów została wylegitymowana legitymacją studencką lub dowodem osobistym. W związku z tym, że nagranie było ogólnodostępne, w gronie studenckim nawzajem przesyłano sobie informację o udostępnieniu nagrania, a zaalarmowani studenci zaczęli sprawdzać, czy wyraźnie były widoczne ich dane z dowodów osobistych. Starościna semestru poinformowała kierownika ćwiczeń o zaistniałej sytuacji i o tym, że studenci po incydencie zgłaszali swoje dowody osobiste jako zastrzeżone w bankach i innych instytucjach.

W trakcie sprawdzania linków do omawianych materiałów wideo okazało się, że istniała możliwość obejrzenia nagrania bez konieczności logowania, co było dowodem na niezabezpieczenie danych osobowych studentów widocznych na filmach. W odpowiedzi na tę informację Kierownik Katedry (…), stwierdził “że to studenci ukradli dane osobowe, które wyciekły z ich winy a osobom, które pobrały plik wideo ze strony na której zamieszczone były materiały,  grozi odpowiedzialność karna”.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes UODO zważył co następuje: W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych studentów. Należy również podkreślić, że w przedmiotowej sprawie nie jest istotne to, czy potencjalny nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi określonych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych. Zatem podnoszona przez Śląski Uniwersytet Medyczny w Katowicach okoliczność, że „nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań” nie ma znaczenia dla stwierdzenia istnienia po stronie Śląskiego UM obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO.

W przedmiotowej sprawie doszło do ujawnienia nagrań, na których utrwalono wizerunki i głosy studentów, którzy w trakcie przystępowania do egzaminów okazywali celem weryfikacji swojej tożsamości legitymacje studenckie lub dowody osobiste. Ponadto, poprzez udostępnienie tych nagrań osobom nieuprawnionym w internecie, doszło do ujawnienia innych danych, takich jak „(…) informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi”.  W konsekwencji oznacza to, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem.

Co istotne, dla powyższej oceny nie miało wpływu to, przez jaką ilość osób został pobrany plik zawierający nagranie obrazujące przebieg przedmiotowych egzaminów. Nie ma bowiem pewności, że plik ten nie został następnie udostępniony innym nieuprawnionym odbiorcom. W omawianym przypadku nie budzi wątpliwości to, że to właśnie zaniechania Śląskiego UM doprowadziły do naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób nim dotkniętych.

W myśl prawa, zawiadamiając bez zbędnej zwłoki podmiot danych, administrator danych osobowych umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Ma to na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości. Administrator danych osobowych studentów, czyli  Śląski Uniwersytet Medyczny w Katowicach podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom.

foto: pixabay/Gerd Altmann