A Varsói Egyetemet megbírságolták laptop és felmérési iskola elvesztése miatt

Két pénzbírságot adott ki a lengyel adatvédelmi biztos az oktatás területén

varsói

A lengyel adatvédelmi biztos 50 000 PLN pénzbírsággal sújtja a Varsói Egyetemet (SGGW).

2019 novemberében az UODO-t értesítették az SGGW-n képzésre jelentkezők magánéletének megsértéséről. A jelentés annak az egyetemi alkalmazottnak a hordozható számítógépén történt eltulajdonításának köszönhető, aki ezt az eszközt üzleti célokra használja, ideértve az SGGW-nél folytatott képzésre jelentkezők személyes adatainak feldolgozását is. A jogsértés kapcsán az egyetemen végzett ellenőrzést követően az UODO elnöke hivatalból indított közigazgatási eljárást.

Az eljárás során összegyűjtött bizonyítékok alapján az UODO elnöke közigazgatási bírságot szabott ki az egyetemre. A bírság összegének eldöntésekor a Hatóság figyelembe vette, hogy a személyes adatok megsértése az elmúlt öt évben az SGGW-nél folytatott képzésre jelentkezőket érintette, az adatok széles skálájára terjedt ki, és hogy az érintettek száma elérheti a 100-at.

A bírság összegének megállapítása szempontjából az is fontos volt, hogy az ügyintéző nem tudott a munkavállaló személyi számítógépéről, és az adatkezelést sem úgy ellenőrizte, hogy nem ellenőrizte az informatikai rendszer által összegyűjtött felmérésekre jelentkezők személyes adatait.

Az öt éven át tartó képzésre jelentkezők személyes adatait a felvételi eljárás befejezését követő három hónapos előírt időszak megsértésével dolgozták fel. Ez sérti a tárolás korlátozásának a GDPR-ben meghatározott elvét.

Ezenkívül az eljárás során megállapítást nyert, hogy az egyetem nem hajtott végre megfelelő szervezési és technikai intézkedéseket a képzésre jelentkezők személyes adatainak feldolgozása során a biztonság biztosítása érdekében.

Az adatkezelő felelőssége a megfelelő technikai és szervezési intézkedések végrehajtása a feldolgozott adatok biztonságának biztosítása érdekében. Folyamatosan felül kell vizsgálni és frissíteni kell őket a hatályos jogszabályoknak és a változó technológiának megfelelően.

A megfelelő technikai és szervezési intézkedések meghatározása két lépésből áll. Először is fontos meghatározni a személyes adatok feldolgozásával járó kockázat szintjét. Ezután meg kell határozni, hogy mely technikai és szervezeti intézkedések lesznek megfelelőek a kockázatnak megfelelő biztonsági szint biztosításához.

Ezeknek a szabványoknak olyan intézkedéseket kell tartalmazniuk, mint a feldolgozási rendszerek és szolgáltatások folyamatos titkosságának, integritásának, elérhetőségének és rugalmasságának biztosítása, valamint a rendszeres tesztelési folyamat.

A felügyeleti hatóság véleménye szerint az egyetem által hozott intézkedések, beleértve a képzésre jelentkezők adatainak feldolgozását, nem elégségesek.