Życie akademickie

Będą pozywać uczelnie za wycieki danych?

Opublikowano: 05.11.2018

forum akademickie

1,3 mln informacji o aktualnych studentach (dane GUS „Szkolnictwo wyższe w roku akademickim 2017/2018” z listopada 2017: https://stat.gov.pl/files/gfx/portalinformacyjny/pl/defaultaktualnosci/5488/8/5/1/szkolnictwo_wyzsze_w_roku_akademickim_2017-2018_dane_wstepne.pdf), setki tysięcy o rekrutowanych absolwentach, pracownikach i współpracownikach – polskie szkoły wyższe zarządzają ogromną ilością danych osobowych. Ostatnie przypadki z Poznania, Krakowa (https://niebezpiecznik.pl/post/prywatne-serwisy-wykladowcow-z-danymi-osobowymi-czyli-uczelnianych-wpadek-czesc-v/?more) i innych miast Polski pokazują, że uczelnie nie zawsze są przygotowane do tego zadania. Roszczenia prawne za wycieki danych stają się jednak coraz bardziej realne – kilka dni temu do sądu w Kalifornii wpłynął pozew, w którym 2 użytkowników Google+ skarży jego właściciela. Choć to zagraniczny przypadek, dotyczy mniejszej ilości danych niż przetwarzają polskie uczelnie (z dostępnych danych medialnych wynika, że luka w zabezpieczeniu Google+ mogła dotyczyć 500 tys. użytkowników). Każdy, nawet najmniejszy wyciek, może mieć poważne konsekwencje.

Wytyczne Urzędu Ochrony Danych Osobowych odnoszą się do wielu przypadków związanych m.in. z realizowaniem obowiązku informacyjnego przez szkołę w trakcie rekrutacji czy udzielania informacji osobom trzecim, jednak nie są w stanie przewidzieć wszystkich okoliczności. Ostatnie wpadki polskich uczelni są dowodem na to, jak wiele pozostaje do zrobienia w tym temacie.

Szereg zaniedbań

– Nie można wykluczyć, że wyciek danych osobowych spowoduje szkodę majątkową lub niemajątkową wśród studentów. Są to okoliczności umożliwiające studentowi lub grupie studentów kierowanie roszczeń odszkodowawczych zarówno do administratora, jak również podmiotu przetwarzającego dane osobowe. Koszty takich procesów nie różnią się od innych sporów odszkodowawczych. Uczelnie, z których wyciekły dane muszą liczyć z koniecznością wypłaty odszkodowań, jak również sankcjami administracyjnymi. Nie możemy zapominać o karach pieniężnych RODO, które mają mieć charakter odstraszający – podkreśla radca prawny Tomasz Bojkowski. – Warto pamiętać, że RODO opiera się na zasadzie adekwatności, co oznacza, że pojedynczy wyciek, o charakterze okazjonalnym i indywidualnym, przy zachowaniu odpowiedniego poziomu staranności administratora nie może być zrównany z wyciekiem będącym następstwem systemowych zaniedbań w obszarze ochronypodsumowuje radca prawny.

Na ile prawdopodobne są roszczenia prawne ze strony studentów? – Nigdy się nad tym nie zastanawiałem – mówi Łukasz, student III roku jednej z krakowskich uczelni. – Dopóki nie odczuję takiej wtopy na sobie, to raczej nie pozwę uczelni, mam wystarczająco spraw na głowie. Jeśli zostanę bezpośrednio poszkodowany, to nie będę się wahał, zwłaszcza teraz, po wprowadzeniu RODOdodaje Łukasz.

Najpoważniejszy błąd

Świadomość ryzyk związanych z zarządzaniem danymi osobowymi pozwala zapobiegać ich występowaniu w przyszłości.

– Studenci należą od grona wymagających użytkowników, którzy oczekują od uczelni nowoczesnych rozwiązań dostosowanych do ich potrzeb (skracających np. kolejki do dziekanatów). Jednocześnie są coraz bardziej świadomi wartości swoich danych osobowych – ocenia Grzegorz Kaliński, prezes zarządu firmy Kalasoft. – Dylematem każdego producenta oprogramowania pozostaje to, jak często przekazywać użytkownikom nowe aktualizacje systemu. Czy udostępniać częściej mniej funkcjonalności, czy przeciągać wdrożenia w czasie, dostarczając bardziej rozbudowane rozwiązania (uwzględniające większą liczbę use case’ów bezpieczeństwa)? Do danej wersji systemu można dodać np. dodatkowe szyfrowanie czy poziom autoryzacji. Pomimo dostępnych środków, nie istnieje system dla uczelni, który byłby w pełni odporny na wszystkie zagrożenia. Z doświadczenia wiem, że najpoważniejszym problemem jest zwykle błąd ludzki. Newralgiczne dane dostępowe powinny być właściwie przechowywane zarówno przez placówki, jak i użytkowników. Każde, nawet najmniejsze naruszenie zasad i procedur bezpieczeństwa może prowadzić do sytuacji kryzysowych – podsumowuje Grzegorz Kaliński.


PARTNERZY

forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie
forum akademickie