Uczelnia medyczna zapłaci 25 tysięcy kary za „upublicznienie” nagrań z egzaminów

Takie wnioski płyną z czwartkowego wyroku Naczelnego Sądu Administracyjnego (NSA) dotyczącego kary za naruszenie RODO.

Udostępnienie nagrań z egzaminów a RODO

Sprawa dotyczyła uczelni medycznej ze Śląska. A jej problemy zaczęły się w drugiej połowie 2020 r., gdy do prezesa Urzędu Ochrony Danych Osobowych (UODO) zaczęły napływać informacje o pewnym incydencie. Kilkanaście osób alarmowało, a jedna wniosła skargę na to, że na uczelni doszło do wycieku danych przez udostępnienie na e-platformie nagrań z przebiegu egzaminów praktycznych z pediatrii.

Konkretnie chodziło o zapis z trzech egzaminów w terminach majowych. Problem nie był mały, bo w czerwcu 2020 r. na platformie było zarejestrowanych aż 237 osób. A w trakcie przystępowania do egzaminu większość studentów została wylegitymowana legitymacją studencką lub dowodem osobistym.

PUODO zaczął przyglądać się sprawie. Z ustaleń urzędników wynikało, że o zajściu starostów grup poinformował jeden ze studentów. Osoby egzaminowane nie zostały uprzedzone, że nagranie będzie udostępnione szerszej grupie osób. Niemniej, gdy stało się ogólnodostępne, studenci je udostępniali, a ci, którzy byli na nagraniach, zaczęli sprawdzać, czy da się z nich odczytać dane z ich dowodów osobistych. Wiele osób logowało się na platformę lub przesyłało sobie linki do nagrań.

Czytaj więcej

Dane osobowe

Karmiące matki nie wiedziały o kamerach. Szpital zapłaci ponad 1,1 mln zł kary

Centrum Medyczne Ujastek z Krakowa ma zapłacić ponad 1,1 mln zł kary za zamontowanie urządzeń rej...

Uczelnia miała na to nie reagować. A okazało się, że cały czas istnieje możliwość obejrzenia nagrania po uzyskaniu linku bez konieczności logowania, urzędnicy zażądali wyjaśnień od uniwersytetu. Ten potwierdził, że do naruszenia doszło. Zastrzegł jednak, że dokonał oceny zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. I takiego się nie dopatrzył. 

Uczelnia tłumaczyła, że do platformy e-learningowej została opracowana autorska poprawka uniemożliwiającą studentom pobieranie filmów. Ponadto incydent nie był spowodowany działaniami hakerskimi. Wyciek nagrań wynikał z błędu osoby, która nie wyłączyła e-pokoju i dostępu do niego po zakończeniu egzaminu. Administrator zapewnił, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą.

Uczelnia tłumaczyła, że biorąc pod uwagę niewielką skalę udostępnień oraz niskie prawdopodobieństwo naruszenia praw i wolności osób, których dane dotyczą, odstąpiła od obowiązku zgłaszania naruszenia do UODO.

Nagrania w sieci a ochrona danych osobowych

To sprawy jednak nie załatwiło. Wobec uczelni zostało wszczęte oficjalne postępowanie, które skończyło się karą 25 tys. zł. Prezes UODO uznał, że uczelnia błędnie oceniła sytuację i odstąpiła od obowiązku poinformowania go o naruszeniu oraz zawiadomienia o tym potencjalnych poszkodowanych. 

W ocenie prezesa UODO w sprawie doszło do naruszenia poufności danych osób, które przystępując do egzaminów, legitymowały się widocznymi na nagraniu legitymacjami studenckimi lub dowodami osobistymi. Tym samym wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych. Zgodnie z wytycznymi ryzyko to bowiem istnieje, gdy naruszenie może prowadzić m.in. do szkód majątkowych lub niemajątkowych, jak dyskryminacja, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia. A UODO nie miał wątpliwości, że te mogą wystąpić w przypadku studentów, których dane osobowe – w niektórych przypadkach łącznie z numerem PESEL lub serią i numerem dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. 

Ponadto poprzez udostępnienie nagrań osobom nieuprawnionym doszło też do ujawnienia innych danych, jak informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielonych podczas egzaminu odpowiedziach. W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych incydentem. A to skutkuje powstaniem określonych obowiązków po stronie administratora.

Czytaj więcej

Dane osobowe

WSA: SGGW ukarana za niezabezpieczenie danych osobowych kandydatów na studia

Uczelnia nie zapewniła bezpieczeństwa danych osobowych kandydatów na studia – potwierdził Wojewód...

Naruszenie ochrony danych osobowych a obowiązki administratora

 Uczelnia upierała się przy swoim. Zaskarżyła karę, ale przegrała. Najpierw rację UODO przyznał Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Nie dopatrzył się bowiem, aby skarżący wykazał, że był zwolniony ze spornego obowiązku. To, że utrwalone na nagraniach dane osobowe były nieczytelne lub mało czytelne, w żaden sposób nie uzasadniają oceny braku ryzyka naruszenia praw lub wolności osób fizycznych.

WSA przypomniał, że zgodnie z art. 33 ust. 1 RODO samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia go. Wyjątkiem jest sytuacja, gdy jest to mało prawdopodobne. 

 Tymczasem w sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych przez tyle osób, ile miało do nich potencjalny dostęp. Ten był zaś szerszy niż zakładany przez administratora. 

Czytaj więcej

Dane osobowe

Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA

To pracodawca odpowiada za wyciek danych osobowych skopiowanych bez jego wiedzy przez upoważnione...

Ostatecznie podstawę do nałożenia kary na uczelnię potwierdził też NSA. Zauważył, że stan faktyczny w sprawie nie został podważony. A wynika z niego, że skarżąca miała świadomość wagi naruszenia, do jakiego doszło. Świadczą o tym choćby działania, jakie podjęła. W konsekwencji jej ocena ryzyka naruszenia praw i wolności była błędna.