PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 05 stycznia 2021 r.

Decyzja

DKN.5131.6.2020

 

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1, art. 60 oraz art. 102 ust. 1 pkt 1  i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781),  a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 - 3 i art. 83 ust. 4 lit. a) w związku  z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz.  UE L 127 z 23.05.2018, str. 2), zwanego dalej również „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia  o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Śląski Uniwersytet Medyczny w Katowicach przy ul. Księcia Józefa Poniatowskiego 15, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Śląski Uniwersytet Medyczny w Katowicach przy ul. Księcia Józefa Poniatowskiego 15 przepisów:

a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą,

1) nakłada na Śląski Uniwersytet Medyczny w Katowicach przy ul. Księcia Józefa Poniatowskiego 15, karę pieniężną w wysokości 25 000 złotych (słownie: dwudziestu pięciu tysięcy złotych),

2) nakazuje zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:

a) opisu charakteru naruszenia ochrony danych osobowych;

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,

w terminie 3 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,Prezesem UODO”, wpłynęły od kilkunastu osób informacje o naruszeniu ochrony danych osobowych - w tym między innymi w dniu […] lipca 2020 roku od osoby, która wniosła skargę z tym związaną. Z informacji przekazanych przez tę osobę wynika, że naruszenie polegało na udostępnieniu na platformie […] (w której na dzień […].06.2020 r. zarejestrowanych było 237 osób) nagrań obrazujących przebieg egzaminów praktycznych z pediatrii organizowanych przez […] Śląskiego Uniwersytetu Medycznego w Katowicach (zwanego dalej „Administratorem”), które odbyły się w trzech terminach: […].05.2020 r., […].05.2020 r. i […].05.2020 r., przy czym w trakcie przystępowania do egzaminu większość uczestniczących w nim studentów została wylegitymowana legitymacją studencką lub dowodem osobistym. Z informacji tych (w których Administrator określany jest również skrótem: „AOD”) wynika także, że „Dnia […].06.2020 jeden ze studentów poinformował starostów grup o tym, że na w.w. platformie zamieszczono nagrania wszystkich sekcji egzaminowanych od początku trwania egzaminów, czego się nie spodziewaliśmy, gdyż nie zostaliśmy uprzedzeni, że nagranie po przeegzaminowaniu nas będzie udostępnione szerszej grupie osób. W związku z tym, że nagranie było ogólnodostępne, w gronie studenckim nawzajem przesyłano sobie informację o udostępnieniu nagrania, a zaalarmowani studenci zaczęli sprawdzać, czy wyraźnie są widoczne ich dane z dowodów osobistych. Wiele osób logowało się na platformę lub przesyłało sobie linki do nagrań. Ze strony AOD, nie było żadnej reakcji, nie dostaliśmy żadnej informacji o niewłaściwym przetwarzaniu naszych danych osobowych, więc w obawie o usunięcie nagrania w celu zatajenia incydentu naruszenia bezpieczeństwa naszych danych, aby zabezpieczyć dowody na nieprawidłowe działanie AOD, zadecydowaliśmy o zabezpieczeniu pliku. W celu zabezpieczenia dowodów na poparcie słuszności naszego zgłoszenia zostały również zrobione zdjęcia ekranu komputera, na którym były zapauzowane nagrania i widoczne dowody osobiste naszych koleżanek i kolegów. W trakcie sprawdzania linków okazało się, że istnieje możliwość obejrzenia nagrania po uzyskaniu linku do […] bez konieczności logowania, co było dowodem na niezabezpieczenie naszych danych osobowych widocznych na filmach. Starościna semestru wykonała telefon do (…) kierownika ćwiczeń, by poinformować o zaistniałej sytuacji i poprosić o zgłoszenie tego faktu do UODO, ponieważ studenci po incydencie zgłaszali swoje dowody osobiste jako zastrzeżone w bankach i innych instytucjach. Po pewnym czasie uzyskaliśmy informację od Kierownik Katedry (…), że my, studenci, ukradliśmy dane osobowe, które wyciekły z naszej winy a osobie, która pobrała plik grozi odpowiedzialność karna”. Nadto w informacji tej wskazano, że „Nieprawdą jest, że dostęp do nagrań przed ich ukryciem mieli wyłącznie przypisani do kursu użytkownicy platformy elearningowej - studenci i uprawnieni pracownicy Uczelni, albowiem dostęp do nagrania przez okres co najmniej kilku dni (odpowiednio od […].05.2020, […].05.2020 lub […].05.2020 r.) posiadały także inne osoby - wszyscy studenci grup 1-7 VI roku, osoby odrabiające zajęcia, studenci z Wydziału […], a także każda osoba posiadająca link, pod którym zostało umieszczone nagranie. (…) Pełen krąg osób, które mogły uzyskać dostęp do naszych danych osobowych, jak i zakres danych osobowych dotyczących konkretnych osób, których dane udostępniono, nie jest nam znany, albowiem AOD kwestionując swoją odpowiedzialność za naruszenie bezpieczeństwa ich przetwarzania, nie współpracował z nami celem dokładnego wyjaśnienia okoliczności incydentu. (…) Zupełnie mija się z prawdą twierdzenie, że tylko 26 osób miało dostęp do nagrań. W piśmie z […].06.2020 r. powołano się na analizę zabezpieczonych dowodów, która miałaby wskazywać na ograniczony dostęp jedynie 26 osób. Informacja ta jest tak niewiarygodna, że budzi naszą wątpliwość, co do rzetelności AOD w sprawie - który wszak jest podmiotem mającym interes w nieujawnianiu faktu dokonanego przez swoich pracowników naruszenia. W tym miejscu wyjaśniam, że każda grupa akademicka liczy 26 osób, natomiast rozpowszechnione nagrania dotyczyły egzaminów przynajmniej 6-ciu grup z naszego semestru. Nadto, z nagraniami mogli zapoznać się także studenci z Wydziału […] oraz osoby odrabiające zajęcia (ok. 200 osób)”. Ponadto z przekazanych przez tę osobę informacji wynika,  że „Faktem jest, że […] uruchomiły mechanizm "wycieku danych", tj. zgłosiły przekazaną przez studentów informację o naruszeniu bezpieczeństwa danych osobowych do Dziekana i Rektora lecz finalnie powołany przez Administratora IODO oraz Rektor (który jest "jednostką decyzyjną" jak ujął to IODO) wyrazili stanowisko, że incydent oglądania przez 200 osób dowodów osobistych jakichś 100-150 innych osób, to nie jest wyciek danych osobowych”.

W związku z uzyskaniem powyższej informacji o naruszeniu poufności danych osobowych większości uczestniczących w tych egzaminach studentów, w zakresie danych znajdujących się na legitymacji studenckiej lub dowodzie osobistym, w dniu […] lipca 2020 r. Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Administratora o wyjaśnienie, czy w związku z zaistniałym zdarzeniem została dokonana analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny,  czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie Prezes UODO wskazał Administratorowi, w jaki sposób może dokonać zgłoszenia naruszenia oraz wezwał do złożenia wyjaśnień w terminie  7 dni od dnia otrzymania pisma.

Z odpowiedzi na powyższe, której Administrator udzielił pismem z dnia […] sierpnia 2020 r.,  wynika, że naruszenie ochrony danych osobowych polegające na udostępnieniu danych osobowych nieuprawnionym odbiorcom miało miejsce. Z pisma tego wynika również, że Administrator dokonał oceny zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Administrator wskazał bowiem, że „Zabezpieczono logi i informacje o osobach, które nagrania pobrały (…)  Z przeprowadzonych ustaleń wynika, że mechanizmy bezpieczeństwa platformy e-learningowej nie zostały przełamane jak również nie doszło do tzw. wycieku danych. Ponadto na podstawie analiz dokonanych przez Administratora Platformy e-learningowej i Działu ds. […] ustalono, że nagranie pobrane zostało przez 26 osób znanych Uczelni z imienia i nazwiska - członków wspólnoty Uczelni tj. (egzaminowani studenci danego kierunku oraz nauczyciele akademiccy), na których ciąży odpowiedzialność indywidualna za ich nierozpowszechnianie. W związku z zakresem udostępnienia rzeczonych nagrań ograniczonych wyłącznie do uczestników egzaminu oraz niskim prawdopodobieństwem naruszenia praw i wolności osób, których dane dotyczą Uczelnia odstąpiła od obowiązku zgłaszania naruszenia do Urzędu Ochrony Danych Osobowych, o którym mowa w art. 33 ust. 1 Rozporządzenia RODO”. Administrator w piśmie tym oświadczył również, że „Dziekan Wydziału […] został pouczony, że w przypadku powzięcia informacji o nieetycznym wykorzystaniu przez studentów lub pracowników danych zachodzą przesłanki do wdrożenia postępowań dyscyplinarnych, o których mowa w art. 275 oraz art. 307 ustawy z dnia 20.07.2018 r. Prawo o szkolnictwie wyższym i nauce (tj. Dz. U. z 2020 poz. 85 z późn. zm.)”. Ponadto z wyjaśnień zawartych w tym piśmie wynika, że „Administrator Platformy e-learningowej opracował autorską poprawkę do systemu […] uniemożliwiającą studentom pobieranie filmów. Pobieranie filmów jest normalną funkcjonalnością systemu (nie zalicza się do działań hakerskich czy podatności systemu) dla zalogowanych studentów i jest rejestrowane - utworzony pokój wirtualny dostępny jest wyłącznie dla egzaminowanej grupy i tylko te osoby mają dostęp do zapisywanych nagrań. Błąd osoby prowadzącej polegał na niewyłączeniu pokoju i dostępu do niego po zakończeniu egzaminu”. Jak wynika z powyższego, Administrator stwierdził, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą.

W związku z ww. pismem - z uwagi na zawartą w nim ocenę ryzyka naruszenia praw  lub wolności osób, których dane dotyczą, Prezes UODO w piśmie z dnia […] września 2020 r. poinformował Administratora, że zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz że do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Ponadto wskazał Administratorowi, że „Przy ocenie, czy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych należy brać pod uwagę m.in. treść motywu 75 oraz 85 ww. rozporządzenia. Nadto Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01) wskazała, że administrator oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia powinien uwzględnić konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia oraz zaleciła, by w trakcie oceny brać pod uwagę wskazane w tych Wytycznych kryteria. W ww. Wytycznych wyjaśniono również, że podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna. Należy przy tym zwrócić uwagę, że na wyżej wskazanych nagraniach widoczne są między innymi dowody osobiste i legitymacje studentów, stąd należy dokonać oceny jakie dane zostały udostępnione osobom nieupoważnionym i w konsekwencji: jakie wiąże  się z tym ryzyko naruszenia praw lub wolności osób fizycznych”. Jednocześnie Prezes UODO wezwał Administratora, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, do udzielenia w terminie 7 dni od dnia doręczenia pisma informacji, czy w związku z zaistniałym zdarzeniem dokonana została ponowna analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna  do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie, a jeśli tak, to czy wyniki ponownie przeprowadzonej analizy są identyczne jak rezultaty poprzednio przeprowadzonej przez administratora oceny ww. zdarzenia.

W odpowiedzi z dnia […] września 2020 r. Administrator poinformował Prezesa UODO,  że „(…) od daty złożenia pierwszych wyjaśnień (…) do dnia dzisiejszego do Uczelni nie wpłynęła żadna dodatkowa informacja, mająca bezpośredni wpływ na czynniki determinujące konieczność przeprowadzenia ponownej analizy ryzyka w zakresie incydentu, którego możliwa eskalacja została bezzwłocznie, skutecznie i technicznie powstrzymana. Dodatkowo wyjaśniam, że nagrania przebiegu egzaminu były dostępne dla studentów oznaczonego rocznika jednego kierunku i prowadzących zajęcia wykładowców, gdzie w zakresie znajomości tożsamości osoby, których dane dotyczą takimi informacjami wzajemnie dysponują. Bezspornym jest jednak fakt, iż zakres danych możliwych  do pobrania przez ww. grupę osób był szerszy, nie mniej zostały podjęte skuteczne środki blokujące to naruszenie wraz z autorskim informatycznym przeprogramowaniem funkcjonalności platformy  e-learningowej. W związku z tym, że nagrania mogły być pobrane przez wyżej opisaną grupę będącą wyodrębnioną częścią społeczności akademickiej oceniono ryzyko naruszenia praw o wolności osób, których dane dotyczą na małe”. Do wyjaśnień załączone zostało pismo, w którym ówczesny Rektor polecił Dziekanowi Wydziału przekazanie wszystkim studentom między innymi informacji o tym,  że „5. Jeśli znane są studentom okoliczności nieetycznego wykorzystania danych osobowych przez studentów lub pracowników uprzejmie proszę o przekazanie mi takiej informacji w formie pisemnej wraz z dowodem na jej poparcie. W przypadku potwierdzenia ww. informacji o naruszeniu bezpieczeństwa uprzejmie proszę o wystąpienie do właściwego rzecznika dyscyplinarnego  z wnioskiem o wszczęcie postępowania wyjaśniającego, a jeśli to będzie zasadne następującej po nim procedury dyscyplinarnej z wszelkimi przewidzianymi prawem sankcjami, w tym ze skreśleniem  z listy studentów lub rozwiązaniem stosunku pracy włącznie oraz obowiązkami prawnymi Uczelni  w szczególności powiadomienia właściwych organów ścigania”. Z wyżej wskazanego pisma Administratora wynika również, że „Do Uczelni nie wpłynęła żadna informacja w odniesieniu  do pkt. 5 przywołanego pisma, mogąca mieć znaczenie dla sprawy oraz implikująca konieczność ponownej analizy. Co istotne podkreślić należy, że każdy student Śląskiego Uniwersytetu Medycznego w Katowicach zobowiązany jest do poszanowania godności każdego człowieka,  a w szczególności, wzajemnie w ramach środowiska akademickiego. Takie zobowiązanie znane jest studentom i wyrażone w Regulaminie Studiów Śląskiego Uniwersytetu Medycznego w Katowicach oraz jest potwierdzane podpisem każdego studenta. Nadto studenci zobowiązani są Statutem Uczelni do przestrzegania przepisów wewnętrznych obowiązujących w Uczelni (norm, zasad współżycia  i zwyczajów akademickich) w tym, w szczególności odnoszących się do ochrony prywatności. Mając na uwadze powyższe obowiązki studentów i pozostałych członków wspólnoty akademickiej  w zakresie zgłaszania incydentów związanych z bezpieczeństwem informacji nie wpłynęła  do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań”.

Nadto, w dniu […] września 2020 r. Administrator wystosował do Prezesa UODO pismo dotyczące wpływających do Urzędu Ochrony Danych Osobowych skarg na Administratora  w związku z zaistniałym zdarzeniem, w którym poinformował, że „Z analizy skarg (…) wynika,  że znormalizowana in blanco treść skargi a co istotne przedstawione w niej załączniki  (w tym, zawierające korespondencję, zrzuty ekranów) zostały wzajemnie udostępnione przez inicjatora(-ów) skarg indywidualnych, bądź zostały udostępnione przez autora treści znormalizowanych skarg nieoznaczonej grupie studentów, co czyni go w świetle ww. kontekstu odpowiedzialnym za rozprzestrzenianie informacji w sposób niekontrolowany (wzorca in blanco  z załącznikami). Nie można zatem przypisać takiej winy Śląskiemu Uniwersytetowi Medycznemu  w Katowicach, który podjął wszelkie dostępne i możliwe skuteczne środki (…) blokujące  to naruszenie wraz z autorskim informatycznym przeprogramowaniem funkcjonalności platformy  e-learningowej. Powyższe czyni dysponenta wzorca skarg in blanco wyłącznym właścicielem ryzyka naruszenia praw i wolności osób, których dane w załącznikach dotyczą, bowiem jak ze składanych przez Uczelnię wyjaśnień wynika dostęp do udostępnionych wewnątrz grupy studentów nagrań miało wyłącznie 26 osób znanych Uczelni z imienia i nazwiska, a co istotne lista osób, którą przedkładam w załączeniu do niniejszego pisma nie koreluje z danymi osobowymi skarżących. W związku  z tym skarżący niewystępujący na załączonej liście nie mogli pozyskać nagrania przebiegu egzaminu bezpośrednio z systemu e-learningowego Uczelni, lecz jeśli miało to miejsce, wtórnie padając prawdopodobnie ofiarą manipulacji”.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w dniu […] października 2020 r. Prezes UODO wszczął wobec Administratora postępowanie administracyjne (sygnatura pisma: […]).

W odpowiedzi na powyższe, pismem z dnia […] października 2020 roku, Administrator wyjaśnił, że uznał, iż „jest mało prawdopodobne by przedmiotowe naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych z następujących przyczyn:

1. (…) nagrania były przypadkowo udostępnione w platformie e-learningowej Śląskiego Uniwersytetu Medycznego wskutek incydentu związanego z bezpieczeństwem informacji, który polegał na niezamknięciu pokoju wideokonferencyjnego, w którym prowadzony był egzamin przez błąd pracownika […]. Brak zamknięcia pokoju wideokonferencyjnego, w którym nagrywany był przebieg egzaminu spowodował, że po zakończeniu renderowania przez platformę  e-learningową opublikowany został automatycznie przez system w tym pokoju plik z nagraniem przebiegu egzaminu (dostępny dla zalogowanych użytkowników). W ramach podjętych działań Administrator platformy opracował poprawkę autorską do systemu […], która całkowicie uniemożliwia technicznie powtórzenie zaistniałej sytuacji.

2. Do ww. pliku z przebiegiem egzaminu dostęp mieli tylko i wyłącznie zalogowani studenci konkretnego kierunku i roku studiów - z analizy logów systemowych wynika, że było to 240 osób (…)

3. Plik z egzaminem pobrało 26 osób, co stanowi faktyczny zakres udostępnienia. Wśród ww. 26 osób znajduje się 2 nauczycieli akademickich oraz jeden Administrator platformy  e-learningowej. (…)

4. Z analizy nagrań przebiegu egzaminów wynika, że dowody osobiste były przedstawiane przez Studentów sporadycznie i prezentowana była ich tylko pierwsza strona ze zdjęciem (co dotyczy ewentualnego szerszego zakresu ujawnionych przez Studenta danych niż przetwarzanych podczas egzaminu: wizerunek, głos, imię, nazwisko, informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi).

5. Co najistotniejsze bardzo wiele z okazywanych dokumentów z uwagi na jakość łącza studentów była całkowicie nieczytelna, a w pozostałych przypadkach jakość można określić na granicy czytelności (…)

6. Dodatkowo informuję, że wygenerowane nagranie, do którego mogli mieć dostęp studenci za pośrednictwem wbudowanego w przeglądarkę internetową odtwarzacza strumieni online, również przy odczycie z uwagi na jakość łącza odbiorcy mogło być gorszej jakości niż opisana w punkcie poprzedzającym - najprawdopodobniej całkowicie rozmazane i nieczytelne.

7. Wartym zaznaczenia jest również kontekst przetwarzania, bowiem w przypadku prowadzenia egzaminu ustnego w formie tradycyjnej dana grupa studencka miałaby dostęp lub mogłaby podejrzeć ten sam zakres danych egzaminowanego Studenta. Różnica polega jedynie na formie zdalnej kształcenia oraz na incydencie, którego wystąpienie dało możliwość odtworzenia nagrania ww. 26 zalogowanym do platformy elearningowej osobom - członkom wspólnoty akademickiej”.

W piśmie tym Administrator wyjaśnił ponadto, że „(…) Uczelnia zgodnie z art. 76a ustawy z dnia  20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz.U. 2018 poz. 1668 ze zm.), który został dodany ustawą z dnia 16.04.2020 r. (Dz.U. z 2020 r. poz. 695), od […].04.2020 r. mogła zorganizować weryfikację osiągniętych efektów uczenia się określonych w programie studiów, w szczególności przeprowadzać zaliczenia i egzaminy kończące określone zajęcia oraz egzaminy dyplomowe, poza siedzibą uczelni lub poza jej filią z wykorzystaniem technologii informatycznych zapewniających kontrolę ich przebiegu i rejestrację. W związku z ww. podstawą prawną  i zmienionym sposobem egzaminowania nauczyciel akademicki dla zapewnienia prawidłowego przebiegu egzaminu musiał zweryfikować tożsamość uczestnika egzaminu”. Podkreślono również, że „(…) Uczelnia uruchomiła szereg kanałów informacyjnych, którymi to studenci mogli w sposób indywidualny czy też anonimowy uzyskiwać informacje na temat incydentu, z których jednak skarżący nie skorzystali (…). Ww. kanały informacyjne oczywiście nie zastępują obowiązków określonych w art. 34 RODO, jednakże dają możliwość studentowi przestawienia dodatkowych informacji, zgłoszeń, obaw i innych okoliczności, które mogłyby powodować zmianę oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą, a zatem implikować podjęcie działań informacyjnych Administratora tak wobec studentów, jak i Urzędu Ochrony Danych Osobowych  w zakreślonym przepisami terminie”.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowią, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później  niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa  w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym  w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą,  oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;  b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane  lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych,  w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:

1. jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;

2. zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:

a. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

b. opis możliwych konsekwencji naruszenia ochrony danych osobowych;

c. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków  w celu zminimalizowania jego ewentualnych negatywnych skutków.

W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego  na udostępnieniu na platformie […] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestników - studentów została wylegitymowana legitymacją studencką lub dowodem osobistym. Administrator nie kwestionował, iż sytuacja taka miała miejsce - wskazał nawet w złożonych przez siebie wyjaśnieniach, że cyt.: „(…) nauczyciel akademicki dla zapewnienia prawidłowego przebiegu egzaminu musiał zweryfikować tożsamość uczestnika egzaminu”. Administrator podnosił jednak, że cyt.: „(…) dowody osobiste były przedstawiane przez Studentów sporadycznie i prezentowana była ich tylko pierwsza strona ze zdjęciem (co dotyczy ewentualnego szerszego zakresu ujawnionych przez Studenta danych niż przetwarzanych podczas egzaminu: wizerunek, głos, imię, nazwisko, informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi)”. Ustosunkowując się do powyższego wskazać należy, że dane widoczne na pierwszej stronie dowodu osobistego (w zależności od chwili jego wydania, jako że obecnie w obiegu funkcjonują dowody osobiste wydane według trzech wzorów), poza: zdjęciem, imionami, nazwiskiem, datą urodzenia i płcią, obejmują dodatkowo:

1) w przypadku dowodów wydanych przed 1 marca 2015 roku: nazwisko rodowe, imiona rodziców, podpis, numer dowodu osobistego i termin jego ważności,

2) w przypadku dowodów osobistych wydanych od 1 marca 2015 roku do 3 marca 2019 roku: nazwisko rodowe, imiona rodziców,

3) w przypadku dowodów osobistych wydanych po 4 marca 2019 roku: obywatelstwo, numer dowodu osobistego i termin jego ważności.

Ponadto Administrator nie odniósł się do kwestii danych widocznych na legitymacjach studenckich, które studenci okazywali w związku z przystępowaniem do egzaminu. Zgodnie z:

1) rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września 2011 r. w sprawie dokumentacji przebiegu studiów (Dz. U. z 2011 r., poz. 201, Nr 1188, ze zm. - obowiązującym  od dnia 1 października 2011 roku, uchylonym z dniem 1 października 2016 roku),

2) rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów (Dz. U. z 2016 r., poz. 1554, ze zm. - obowiązującym od dnia  1 października 2016 roku, uchylonym z dniem 1 października 2018 roku), które określają wzór elektronicznej legitymacji studenckiej, na legitymacji tej widoczne są: kolorowe zdjęcie posiadacza legitymacji, nazwa uczelni, imię, nazwisko, adres, data wydania, numer albumu, numer PESEL (a w  przypadku obcokrajowców odpowiednio: data urodzenia). Zgodnie natomiast  z obecnie obowiązującym rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia  27 września 2018 r. w sprawie studiów (Dz. U. z 2018 r., poz. 1861, ze zm. - obowiązującym od dnia 1 października 2018 roku), legitymacja taka zawiera wszystkie wyżej wskazane dane poza adresem studenta.

W złożonych wyjaśnieniach Administrator wskazał, że utrwalone na nagraniach dane znajdujące się na ww. dokumentach mogły pozostawać nieczytelne lub jedynie częściowo czytelne. Powyższe stwierdzenie może budzić wątpliwości w kontekście celu, dla którego dokumenty te były okazywane, tj. zweryfikowania tożsamości osoby przystępującej do egzaminu. Ponadto fakt, że dane mogły być częściowo czytelne nie wyklucza możliwości zapoznania się z nimi przez osobę nieuprawnioną. Wreszcie nie można pominąć istnienia programów umożliwiających stosowną obróbkę zdjęć lub nagrań w sposób umożliwiający odczytanie tych danych. Te wszystkie okoliczności, jako istotne, powinny być wzięte pod uwagę przez Administratora przy ocenie, czy doszło do naruszenia ochrony danych osobowych, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów danych, a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z udzielonych wyjaśnień, Administrator tego nie uczynił.

Należy również podkreślić, że w przedmiotowej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych. Administrator w swoich wyjaśnieniach podkreślał, że nie wpłynęły do niego informacje wskazujące na nieuprawnione wykorzystanie danych osobowych udostępnionych w wyniku przedmiotowego naruszenia. Dlatego uznał, że naruszenie nie wiąże się  z ryzykiem naruszenia praw lub wolności osób nim dotkniętych. Warto podkreślić, że administrator przewidział jednak, że naruszenie może wiązać się z takim ryzykiem - świadczy o tym fakt zwracania się przez niego o przekazywanie sygnałów o ewentualnym nieuprawnionym wykorzystaniu udostępnionych danych osobowych i grożenia konsekwencjami, z jakimi takie wykorzystanie danych może się wiązać (postępowanie dyscyplinarne, skreślenie z listy studentów, rozwiązanie stosunku pracy, zawiadomienie organów ścigania). Uzależnianie reakcji na zaistniałe naruszenie od ziszczenia się jego potencjalnych konsekwencji jest sprzeczne z zasadą, zgodnie z którą administrator ma przeciwdziałać konsekwencjom naruszenia lub minimalizować jego negatywne skutki (w sytuacji, gdy niezasadne jest już stosowanie środków im zapobiegających). Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować - w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych,  z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Zatem podnoszona przez Administratora okoliczność, że cyt.: „nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań” nie ma znaczenia dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. 

W przedmiotowej sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych przez tyle osób, ile miało do nich potencjalny dostęp. To jest co najmniej tyle osób, ile było zarejestrowanych na platformie, ponieważ z informacji, które wpłynęły do tutejszego Urzędu wynika, że istniała „możliwość obejrzenia nagrania po uzyskaniu linku do […] bez konieczności logowania”. Złożone przez Administratora w dniu […] września 2020 roku wyjaśnienia wskazują ponadto, że dostęp do przedmiotowych nagrań uzyskał szerszy niż zakładany przez Administratora krąg osób. Należy również podkreślić, że fakt ewentualnego otwierania pliku zawierającego przedmiotowe nagranie przez kogokolwiek, jego pobierania czy dalszego udostępniania prowadzi do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Z uwagi na powyższe, należy uznać, że w wyniku przedmiotowego zdarzenia doszło do naruszenia poufności danych tych osób, które przystępując do egzaminów legitymowały  się widocznymi na przedmiotowym nagraniu legitymacjami studenckimi lub dowodami osobistymi - w zakresie danych znajdujących się na tych dokumentach - to jest do naruszenia bezpieczeństwa prowadzącego do przypadkowego, nieuprawnionego ujawnienia danych tych osób, co w sposób jednoznaczny przesądza, że wystąpiło naruszenie ochrony danych osobowych. Warto również zaznaczyć, że w wyniku zaistniałego zdarzenia udostępniono nieuprawnionym odbiorcom, oprócz danych znajdujących się na okazywanych przez nich dokumentach, również informacje dotyczące studenta: o grupie, roku studiów, kierunku, przedmiocie oraz udzielonych podczas egzaminu odpowiedziach.

Podkreślić należy, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na udostępnieniu na platformie […] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestniczących w nich studentów została wylegitymowana legitymacją studencką lub dowodem osobistym, w wyniku czego doszło do naruszenia poufności danych tych studentów w zakresie danych znajdujących się na legitymacji studenckiej lub dowodzie osobistym, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, zwanych dalej również ,,wytycznymi”: „Ryzyko to istnieje  w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić  w przypadku osób, których dane osobowe - w niektórych przypadkach łącznie z numerem ewidencyjnym PESEL lub serią i nr dowodu osobistego - zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem. W przedmiotowej sprawie doszło do ujawnienia nagrań, na których utrwalono wizerunki i głosy studentów, którzy w trakcie przystępowania do egzaminów okazywali celem weryfikacji swojej tożsamości legitymacje studenckie lub dowody osobiste, na których zawarte są wyżej wymienione dane osobowe - w niektórych przypadkach również numer ewidencyjny PESEL lub seria i nr dowodu osobistego  w zestawieniu z pozostałymi danymi. Ponadto, poprzez udostępnienie tych nagrań osobom nieuprawnionym, doszło do ujawnienia innych danych, takich jak cyt.: „(…) informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi”.  W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie  z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33  ust. 3 tego rozporządzenia oraz zawiadomienia tych osób o naruszeniu zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 tego rozporządzenia.

Dla powyższej oceny nie ma wpływu to, czy plik zawierający nagranie obrazujące przebieg przedmiotowych egzaminów został pobrany przez dwadzieścia sześć osób, którą to liczbę wskazuje Administrator w złożonych wyjaśnieniach. Nie ma bowiem pewności, że plik ten nie został następnie udostępniony innym nieuprawnionym odbiorcom, przy czym administrator nie może obarczać odpowiedzialnością za naruszenie osób, którym udostępniono te nagrania - w omawianym przypadku nie budzi wątpliwości to, że to właśnie zaniechania administratora doprowadziły do naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób nim dotkniętych. Warto raz jeszcze podkreślić, że z informacji otrzymanych przez Prezesa UODO  w związku z zaistniałym zdarzeniem, wynika między innymi, że istniała „możliwość obejrzenia nagrania po uzyskaniu linku do […] bez konieczności logowania”. Nawet gdyby przyjąć, że możliwość zapoznania się z danymi osobowymi, które obrazuje udostępnione nagranie, miało tylko ww. dwadzieścia sześć osób, to fakt pozostawania tych osób w jakimikolwiek związku  z Administratorem nie daje żadnych gwarancji co do intencji tych osób, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. W ww. wytycznych stwierdzono: ,,To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją  w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców,  z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach - z uwagi na fakt,  że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące - odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania”. W przedmiotowej sprawie nie ma jednak podstaw, by nieuprawnionych odbiorców uznać i traktować jako „odbiorców zaufanych”, co przesądza o istnieniu ryzyka naruszenia praw lub wolności dla osób objętych przedmiotowym naruszeniem. Ponadto, Grupa Robocza Art. 29  w wytycznych wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.

Bez znaczenia jest również fakt, że „w ramach podjętych działań Administrator platformy opracował poprawkę autorską do systemu […], która całkowicie uniemożliwia technicznie powtórzenie zaistniałej sytuacji”. Dane zostały bowiem udostępnione nieuprawnionym osobom,  co oznacza (co należy ponownie podkreślić), że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych (obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego) przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Opracowanie  i wdrożenie takiej poprawki uznać należy za środek podjęty przez administratora celem zminimalizowania ryzyka wystąpienia tego typu naruszenia w przyszłości, a nie działanie minimalizujące ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Również ustalenie przez Administratora, kim były osoby, które pobrały plik zawierający przedmiotowe nagrania, nie minimalizuje ryzyka naruszenia praw lub wolności osób, których ujawnione dane dotyczą. Podkreślić jednocześnie należy, że administrator danych dopuszczający możliwość wykorzystania środków komunikacji takich jak wykorzystane do przeprowadzenia egzaminów w przedmiotowej sprawie, powinien mieć świadomość ryzyk związanych np.  z nieprawidłowym zabezpieczeniem nagrań przed nieuprawnionym dostępem i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne. Istnienie tych ryzyk,  w sytuacji braku działań administratora danych mających na celu ich minimalizację poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej  i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa,  D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego  w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą - szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem  i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się. Administrator podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.

W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą,  o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.

Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków,  o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika,  że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Ponadto zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33  i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast z art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wynika, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na: jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, instytut badawczy lub Narodowy Bank Polski. Z ust. 3 tego artykułu wynika ponadto, że administracyjne kary pieniężne, o których mowa między innymi w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:

a) Charakter i waga naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679);

Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.

b) Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679);

Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło kilka miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez Administratora z obowiązku powiadomienia ich o naruszeniu.

c) Liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679);

W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych wielu osób - wszystkich tych studentów VI roku z sześciu grup studenckich liczących po 26 osób (zgodnie z informacjami przekazanymi Prezesowi UODO) przystępujących do egzaminów praktycznych z pediatrii, należących do wszystkich sekcji egzaminowanych od początku trwania egzaminów (odbywających się w terminach: […].05.2020 r., […].05.2020 r. i […].05.2020 r.), którzy przystępując do przedmiotowych egzaminów, okazywali legitymację studencką lub dowód osobisty.

d) Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679);

Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą, pomimo powzięcia informacji o zdarzeniu od osób, których dane dotyczą oraz kierowanych do niego pism Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Ww. obowiązki Administratora, wynikające z art. 33 ust. 1 i 3 oraz  art. 34 ust. 1 i 2 nie zostały zrealizowane. Takie zaniechanie w tym zakresie, pomimo obowiązku działania ,,bez zbędnej zwłoki”, sprawiło, że osobom fizycznym uniemożliwiono możliwie najszybsze podjęcie działań, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia, co z kolei nie pozostaje bez wpływu na ich skuteczność w przypadku wykonania tego obowiązku przez Administratora.

e) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679);

W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Administratora. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Administratora nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

f) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679);

Dane osobowe udostępnione osobom nieuprawnionym nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dane znajdujące się w dowodach osobistych, poza: zdjęciem, imionami, nazwiskiem, datą urodzenia i płcią, to dodatkowo:

· w przypadku dowodów wydanych przed 1 marca 2015 roku: nazwisko rodowe, imiona rodziców, podpis, numer dowodu osobistego i termin jego ważności,

· w przypadku dowodów osobistych wydanych od 1 marca 2015 roku do 3 marca 2019 roku: nazwisko rodowe, imiona rodziców,

· w przypadku dowodów osobistych wydanych po 4 marca 2019 roku: obywatelstwo, numer dowodu osobistego i termin jego ważności.

Na legitymacjach studenckich, zgodnie z:

· ww. rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września 2011 r. w sprawie dokumentacji przebiegu studiów,

· ww. rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,

które określają wzór elektronicznej legitymacji studenckiej, widoczne są: kolorowe zdjęcie posiadacza legitymacji, nazwa uczelni, imię, nazwisko, adres, data wydania, numer albumu, numer PESEL (a w przypadku obcokrajowców odpowiednio: data urodzenia). Zgodnie natomiast z obecnie obowiązującym ww. rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów, legitymacja taka zawiera wszystkie wyżej wskazane dla legitymacji dane poza adresem studenta.

Ponadto wskutek przedmiotowego naruszenia osoby nieuprawnione mogły zapoznać się  z innymi informacjami dotyczącymi studentów: o grupie, roku studiów, kierunku, przedmiocie oraz udzielonych podczas egzaminu odpowiedziach.

g) Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679);

O naruszeniu ochrony danych osobowych stanowiących przedmiot niniejszej sprawy, to jest  o udostępnieniu osobom nieuprawnionym danych osobowych przetwarzanych przez Administratora, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679 - informacja ta wpłynęła z kilkunastu innych źródeł. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazanie takiej informacji Prezesowi UODO należy uznać za obciążającą tego administratora.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679). Administrator przekazał osobom, których dane dotyczą, pewne informacje dotyczące naruszenia i umożliwił  im komunikację dzięki przeznaczonym do tego kanałom komunikacji. Wskazał również osobom mogącym mieć nieuprawniony dostęp do ujawnionych nagrań na możliwe konsekwencje dyscyplinarne i karne ich bezprawnego użycia. Takie działanie Administratora zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne ze spełnieniem obowiązku, o którym mowa w art. 34 rozporządzenia 2016/679.

Żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji  w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane  w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:

a) stopień odpowiedzialności administratora z uwzględnieniem środków technicznych  i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) - naruszenie oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi;

b) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679) - nie stwierdzono wcześniejszych, popełnionych przez administratora, naruszeń;

c) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa  w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679)  - w sprawie Prezes UODO nie stosował wcześniej środków, o których mowa we wskazanym przepisie;

d) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679  (art. 83 ust. 2 lit. j rozporządzenia 2016/679) - administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji;

e) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) - nie stwierdzono aby administrator osiągnął w związku z naruszeniem jakiekolwiek korzyści lub uniknął strat finansowych.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego,  że Administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku  jest niezbędne zważywszy także na to, że Administrator zignorował fakt, iż z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno przedmiotowemu Administratorowi jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych  z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.

W związku z powyższym wskazać należy, że kara pieniężna w wysokości 25 000 złotych (słownie: dwudziestu pięciu tysięcy złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Jednocześnie wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją  na administratora będącego jednostką sektora finansów publicznych (uczelnią publiczną - wskazaną w art. 9 pkt 11 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych) mieści się w określonym w art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r.  poz. 1781) limicie 100 000 złotych.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia,  za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U.  z 2019 r. poz. 2325 ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.  z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U.  z 2020 r. poz. 1325, ze zm.), od dnia następującego po dniu złożenia wniosku.

Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.  z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

 

 

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jan Nowak
date 2021-01-05
Wprowadził informację:
user Wioletta Golańska
date 2021-01-19 11:14:07
Ostatnio modyfikował:
user Edyta Madziar
date 2021-01-19 12:47:01