Глобиха Варшавския университет заради изгубен преносим компютър и училище за провеждане на анкета за намиране на деца, нуждаещи се от психологическа подкрепа

Две глоби, издадени от полския надзорен орган за защита на данните в сферата на образованието

Полският надзорен орган за защита на данните глоби Варшавския университет (SGGW) с 50 000 PLN.

През ноември 2019 г. UODO е уведомен за нарушаване на неприкосновеността на лични данни на кандидатите за обучение в SGGW. Известяването е заради кражба на преносим личен компютър на служител на университета, който използва това устройство и за бизнес цели, включително обработка на лични данни на кандидати за обучение в SGGW. След проверка, извършена в университета във връзка с нарушението, председателят на UODO образувал служебно административно производство.

Въз основа на събраните по време на производството доказателства председателят на UODO наложил административна глоба на университета. При вземането на решение относно размера на глобата надзорният орган взел предвид, че нарушението на личните данни се отнася до кандидати за обучение в SGGW през последните пет години, обхваща широк спектър от данни и че броят на засегнатите лица може да достигне до 100.

За установяването на размера на глобата е било важно също така, че администраторът не е знаел за личния компютър на служителя, нито е контролирал обработката на данни, като не е проверил носителя на  личните данни на кандидатите за проучванията, събрани от ИТ система.

Личните данни на кандидатите за обучение от пет години са обработени в нарушение на предвидения срок от три месеца след завършване на процеса на набиране. Това представлява нарушение на принципа за ограничаване на съхранението, предвиден в GDPR.

Нещо повече, в хода на проведеното производство е установено, че университетът не е приложил подходящи организационни и технически мерки за осигуряване на сигурността при обработката на лични данни на кандидати за обучение.

Задължението на администратора е да приложи подходящи технически и организационни мерки, за да гарантира сигурността на обработваните данни. Те трябва да се преразглеждат и актуализират постоянно според  съществуващото законодателство и променящата се технология.

Установяването на подходящи технически и организационни мерки е процес от две стъпки. На първо място, важно е да се определи нивото на риск, свързано с обработката на лични данни. След това е необходимо да се установи кои технически и организационни мерки ще бъдат подходящи за осигуряване на ниво на сигурност, подходящо за този риск.

Тези норми трябва да включват мерки като способността да се осигури постоянната поверителност, целостта, наличността и устойчивостта на системите и услугите за обработка и процес за редовно тестване.

По мнението на надзорния орган мерките, предприети от университета, включително обработката на данни на кандидати за обучение, са недостатъчни.

В същото време председателят на UODO констатира, че в случая служителят по защита на данните (DPO) изпълнява задачите си, без да отчита надлежно риска, свързан с операциите по обработка. Назначеният служител по защита на данните дори не е участвал във важни процеси в университета, свързани с функционирането на ИТ системата. Участието на DPO може да намали риска от неподходяща обработка.

При налагане на глоба председателят на UODO взел предвид смекчаващи обстоятелства, като например: добро сътрудничество с надзорния орган както в хода на инспекцията, така и по време на административното производство, предприемане на действия от университета за отстраняване на нарушението и осигуряване на сигурност при обработката на данни в бъдеще.

Полският DPA порица училище за обработката на лични данни на учениците без правно основание във връзка с анкета, проведена през учебната 2019/2020 година.

Проучването е направено чрез анкета,  а ученици, включително непълнолетни, са попълвали  имена, семейно положение – родители, тяхното образование и професия, броя на хората в домакинството, финансовото състояние, здравословното състояние и зависимостите на законните настойници (родителите), жилище и информация за социалните придобивки.

Обработката на личните данни на учениците включва събиране, съхранение и унищожаване на тези данни.

В хода на проверката на UODO е установено, че проучването е проведено с цел идентифициране на ученици, които се нуждаят от психологическа подкрепа от училището, което посещават. Проучването е проведено от класни ръководители. Проведено е под формата на хартиени бланки по директни указания от директора на училището.

Всички върнати копия от проучването са унищожени от официална комисия.

Според констатациите от проверката личните данни, включени в проучванията, не са въвеждани в електронни системи, не са били записвани на електронни носители на данни или други носители на информация, включително на хартиен носител. След събирането на анкетите учителите не са направили никакви сканирания или копия на хартиен носител, нито са направили други допълнителни документи, съдържащи лични данни относно анкетите. Към датата на проверката личните данни на учениците, получени във връзка с анкетите, вече не се обработват.

Според доказателствата, получени в резултат на проверката, проучванията са проведени по начин, който изключва възможността за неразрешено разкриване на съдържащите се в тях данни.

Провеждайки анкета сред учениците, училището е нарушило принципа на законосъобразност на обработката на данни, според който личните данни трябва да се обработват законосъобразно, честно и по прозрачен начин за субекта на данните. Горният принцип е развит в текста на член 6, параграф 1, буква в) от GDPR, според който обработката е законна само ако  е изпълнено условието тя да е необходима за спазване на законово задължение, на което е подчинен администраторът.

Училището може да обработва лични данни в рамките на своите задачи, поставени от закона. На свой ред, съгласно Закона за образованието, училищата обработват лични данни до степента, необходима за изпълнение на задачите и задълженията, произтичащи от тези разпоредби. Нормативните актове, регламентиращи функционирането на образователните институции, не уточняват такива задачи и задължения на училищата, които биха оправдали обработването на личните данни на учениците по начина, по който то е извършено във връзка с проведеното проучване.

Според председателят на UODO при установените обстоятелства по случая наказанието е забележка.

Директорът на училището незабавно предприел редица коригиращи мерки, като например: унищожаване на анкетите, организиране на обучение на персонала за повишаване на осведомеността им по въпросите на защитата на личните данни и анализ на инцидента за провеждане на анкетата сред учениците, предвид риска за правата и свободите на физическите лица.

Освен това въз основа на обстоятелствата няма основания да се счита, че субектите на данни са претърпели вреда в резултат на събитието.

Можете да споделите: