Varšavská univerzita dostala pokutu kvůli úniku osobních údajů

Předseda polského Úřadu pro ochranu osobních údajů (UODO) Jan Nowak uložil Varšavské univerzitě humanitních věd pokutu ve výši 50 000 PLN (necelých 300 000 Kč) poté, co zjistil závažné porušení ochrany osobních údajů.

V listopadu 2019 obdržel Nowak zprávu o úniku osobních údajů uchazečů o studium. Oznámení se týkalo krádeže soukromého přenosného počítače jednoho z univerzitních zaměstnanců, který zařízení používal také k obchodním účelům, včetně zpracování osobních údajů uchazečů kvůli náborovým aktivitám. Po inspekci provedené na univerzitě v souvislosti s porušením údajů tedy zahájil správní řízení z moci úřední. O výši pokuty rozhodly následující okolnosti:

  • Rozsah úniku: Jednalo se o širokou škálu dat zájemců o studium za posledních 5 let, celkem mohlo být dotčeno až 100 osob.
  • Porušení zásady důvěrnosti a odpovědnosti dle GDPR: Správce údajů neměl ponětí, že jsou osobní údaje zpracovávány na soukromém počítači zaměstnance. Neprovedl kontrolu zpracování údajů – neověřil, na kterých médiích se zpracovávají údaje o uchazečích shromážděné z IT systému, a tuto operaci do IT systému nezaznamenal.
  • Porušení zásady omezení úložiště dle GDPR: Zpracovávat osobní údaje, které uchazeči univerzitě poskytli před pěti lety, bylo v rozporu s předepsanou dobou uchovávání osobních údajů uchazečů o studium. Údaje měly být uchovány pouze tři měsíce od dokončení náborového procesu.
  • Porušení povinností správce: Univerzita nepřijala dostatečná organizační a technická opatření k zajištění bezpečnosti zpracování osobních údajů uchazečů o studium. Taková opatření by měla být pravidelně aktualizována s ohledem na dostupné technologie.

Nevíte, co zmíněná opatření obnášejí a jak je správně nastavit? S tím vám pomůže náš GDPR nástroj Privatry.


Jako nedostatek vnímal Nowak i to, že pověřenec pro ochranu údajů při své práci nezohledňoval rizika spojená se zpracováním údajů. Univerzita ho nezapojila do náborového procesu, takže nemohl dohlédnout na fungování IT systému určeného pro tuto činnost.

Za polehčující okolnosti naopak považoval dobrou spolupráci univerzity s dozorovým úřadem v průběhu kontroly i během správního řízení, přijetí opatření k nápravě porušení a zajištění bezpečnosti ze strany univerzity při budoucím zpracování údajů.

Zdroj: Evropský sbor pro ochranu osobních údajů