Două amenzi emise de Autoritatea poloneză pentru protecția datelor în domeniul educației

universitatea

Supervizorul polonez pentru protecția datelor amendează Universitatea din Varșovia (SGGW) cu 50.000 PLN.

În noiembrie 2019, UODO a fost sesizată cu privire la încălcarea confidențialității solicitanților de formare la SGGW. Raportul se datorează furtului unui laptop al unui angajat al universității care utilizează acest dispozitiv în scopuri comerciale, inclusiv prelucrarea datelor cu caracter personal ale candidaților la formare la SGGW. În urma unei inspecții efectuate la universitate în legătură cu încălcarea, președintele UODO a inițiat proceduri administrative din oficiu.

Pe baza probelor adunate în timpul procesului, președintele UODO a aplicat o amendă administrativă universității. La stabilirea cuantumului amenzii, Autoritatea a luat în considerare faptul că încălcarea datelor cu caracter personal a vizat solicitanții de formare la SGGW în ultimii cinci ani, a acoperit o gamă largă de date și că numărul persoanelor în cauză ar putea ajunge la 100.

De asemenea, a fost important pentru stabilirea cuantumului amenzii că operatorul nu știa despre computerul personal al angajatului și nici nu a controlat prelucrarea datelor, neverificând datele personale ale candidaților la sondajele colectate de sistemul informatic.

Datele cu caracter personal ale candidaților la formare timp de cinci ani au fost prelucrate cu încălcarea perioadei prevăzute de trei luni de la finalizarea procesului de recrutare. Aceasta reprezintă o încălcare a principiului limitării stocării prevăzut în GDPR.

Mai mult, în cursul procedurilor s-a stabilit că universitatea nu a implementat măsuri organizatorice și tehnice adecvate pentru a asigura securitatea procesării datelor cu caracter personal ale candidaților la formare.

Este responsabilitatea operatorului să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor prelucrate. Acestea trebuie revizuite și actualizate în mod constant în conformitate cu legislația existentă și tehnologia în schimbare.

Stabilirea măsurilor tehnice și organizaționale adecvate este un proces în doi pași. În primul rând, este important să se determine nivelul de risc asociat procesării datelor cu caracter personal. Apoi, este necesar să se determine ce măsuri tehnice și organizaționale vor fi adecvate pentru a asigura un nivel de securitate adecvat acestui risc.

Aceste standarde ar trebui să includă măsuri precum capacitatea de a asigura confidențialitatea continuă, integritatea, disponibilitatea și reziliența sistemelor și serviciilor de procesare și a procesului regulat de testare.

În opinia autorității de supraveghere, măsurile luate de universitate, inclusiv prelucrarea datelor candidaților la formare, sunt insuficiente.

În același timp, președintele UODO a constatat că, în acest caz, responsabilul cu protecția datelor (DPO) își îndeplinea sarcinile fără a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare. Responsabilul cu protecția datelor desemnat nici măcar nu a fost implicat în procese importante la universitate legate de funcționarea sistemului IT. Implicarea DPO poate reduce riscul prelucrării necorespunzătoare.

La impunerea unei amenzi, președintele UODO a luat în considerare circumstanțele atenuante, cum ar fi: o bună cooperare cu autoritatea de supraveghere atât în ​​timpul inspecției, cât și în timpul procedurilor administrative, acțiunile întreprinse de universitate pentru remedierea încălcării și asigurarea securității procesării de date în viitor.

DPA polonez condamnă școala pentru prelucrarea datelor personale ale elevilor fără temei juridic în legătură cu un sondaj efectuat în anul școlar 2019/2020.

Sondajul a fost realizat printr-un sondaj, iar studenții, inclusiv minorii, au completat numele, starea civilă - părinții, educația și profesia acestora, numărul persoanelor din gospodărie, starea financiară, sănătatea și dependențele tutorilor legali (părinții), locuințele și informații despre beneficiile sociale.

Prelucrarea datelor cu caracter personal ale elevilor implică colectarea, stocarea și distrugerea acestor date.

În cursul inspecției UODO, sa constatat că studiul a fost realizat pentru a identifica elevii care au nevoie de sprijin psihologic de la școala la care frecventează. Sondajul a fost realizat de profesorii clasei. A fost realizat sub formă de hârtie sub instrucțiuni directe de la directorul școlii.

Toate exemplarele returnate ale studiului au fost distruse de o comisie oficială.

Conform concluziilor verificării, datele personale incluse în anchete nu au fost introduse în sistemele electronice, nu au fost înregistrate pe suporturile de date electronice sau pe alți suporturi de informații, inclusiv pe hârtie. După colectarea chestionarelor, profesorii nu au făcut scanări sau copii pe hârtie și nici nu au făcut alte documente suplimentare care să conțină date personale despre chestionare. De la data inspecției, datele personale ale studenților primite în legătură cu sondajele nu mai sunt prelucrate.

Conform dovezilor obținute în urma verificării, investigațiile au fost efectuate într-un mod care exclude posibilitatea divulgării neautorizate a datelor conținute în acestea.

Prin efectuarea unui sondaj în rândul elevilor, școala a încălcat principiul legalității prelucrării datelor, conform căruia datele cu caracter personal trebuie prelucrate în mod legal, onest și transparent pentru persoana vizată. Principiul de mai sus este dezvoltat în formularea articolului 6 alineatul (1) litera (c) din GDPR, potrivit căreia prelucrarea este legală numai dacă este îndeplinită condiția conform căreia este necesar să se respecte o obligație legală la care este supus operatorul.

Școala poate prelucra date cu caracter personal în cadrul sarcinilor stabilite de lege. La rândul lor, conform Legii educației, școlile prelucrează date cu caracter personal în măsura necesară pentru îndeplinirea sarcinilor și obligațiilor care decurg din aceste prevederi. Actele normative, care reglementează funcționarea instituțiilor de învățământ, nu specifică astfel de sarcini și obligații ale școlilor, care ar justifica prelucrarea datelor cu caracter personal ale elevilor în modul în care a fost efectuată în legătură cu cercetarea efectuată.

Potrivit președintelui UODO, în circumstanțele cazului, pedeapsa a fost o remarcă.

Directorul școlii a luat imediat o serie de măsuri corective, cum ar fi: distrugerea chestionarelor, organizarea instruirii personalului pentru sensibilizarea cu privire la protecția datelor cu caracter personal și analizarea incidentului pentru efectuarea sondajului în rândul elevilor, având în vedere riscul pentru drepturi și libertăți.

În plus, pe baza circumstanțelor, nu există niciun motiv să credem că persoanele vizate au suferit daune ca urmare a evenimentului.