W dniu 18 września 2022 r. do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 rozporządzenia 2016/679, dokonane w trybie art. 33 rozporządzenia 2016/679 przez SGH, jako administratora w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, które zostało zarejestrowane pod sygnaturą DKN.5130.10053.2022.
W dniu 23 września 2022 r. Uczelnia dokonała zgłoszenia uzupełniającego, uszczegóławiając przedłożone wstępnie wyjaśnienia.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Naruszenie ochrony danych osobowych polegało na niezamierzonym ujawnieniu w sieci Internet informacji zgromadzonych w zasobach zarządzanej przez Uczelnię aplikacji I., będącej modułem systemu informatycznego R., skutkującym naruszeniem ich poufności oraz – w konsekwencji – uzyskaniem przez osoby trzecie nieuprawnionego dostępu do przetwarzanych w ten sposób danych osobowych dotyczących (…) studentów, absolwentów i byłych studentów (osób skreślonych z listy studentów) SGH.
Stwierdzone w niniejszej sprawie naruszenie przepisów o ochronie danych osobowych dotyczyło 1461 osób.
Do naruszenia ochrony danych osobowych doszło w następstwie błędu popełnionego w ramach prac programistycznych, mających na celu przeniesienie systemu R. na nowy serwer produkcyjny, podczas których kontrola dostępu do przetwarzanych w systemie danych osobowych została wyłączona.
SGH wyjaśniła w treści zgłoszenia, że „[w] momencie rozpoczęcia prac programistycznych nie była jeszcze odpowiednio skonfigurowana usługa L. Aby prace mogły być prowadzone dopuszczono na serwerze deweloperskim możliwość nieautoryzowanego wywoływania podstron panelu administratora w module I.”, jednakże zmiana ta „została przeoczona i wprowadzona na serwer produkcyjny, a wykonane testy nie wykazały błędnego działania systemu”. Incydent doprowadził do zaindeksowania niezabezpieczonych danych przez wyszukiwarkę internetową Z., stwarzając możliwość niezgodnego z prawem przetwarzania ich przez osoby trzecie.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Naruszenie ochrony danych osobowych objęło następujące kategorie danych osobowych: imię, nazwisko, imiona rodziców, data urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka obcego, średnia ocen, liczba uzyskanych punktów.
Uczelnia podtrzymała przedstawione w zgłoszeniu uzupełniającym stanowisko dotyczące liczby osób objętych przedmiotowym naruszeniem ochrony danych osobowych, wskazując, iż liczbę tę ustalono na podstawie „analizy logów będących zapisem ruchu sieciowego oraz aplikacyjnego”, którą „prowadziły dwa niezależne zespoły, na podstawie numerów rekrutacji, których adresy URL były otwierane, co świadczyło o potencjalnym dostępie do wszystkich danych znajdujących się w danej rekrutacji”. Uczelnia wyjaśniła, że „[d]ostęp do danych był bezpośrednio na stronie systemu lub w eksportowanym pliku z danej rekrutacji, jeżeli w logach nie było informacji o dostępie do rekrutacji, dane w niej zawarte nie zostały odczytane. Nie było bezpośredniego dostępu do bazy danych czy jej kopii zapasowej. Analiza trwała od momentu wystąpienia zdarzenia do przekazania zgłoszenia uzupełniającego, analizowano zapisy w systemie S. […] oraz lokalne logi aplikacji I. i urządzeń sieciowych”.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Wobec nieprzeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, SGH nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 rozporządzenia 2016/679, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 rozporządzenia 2016/679.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Uczelnia jest organem jednostki sektora finansów publicznych, zastosowanie znajdzie art. 102 ustawy z dnia 10 maja 2018 r., z którego wynika ograniczenie wysokości administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych, do kwoty 100 000 PLN (słownie: stu tysięcy złotych).
Zdaniem Prezesa UODO SGH powinna – i jest w stanie – ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, w związku z czym uznaje on nałożenie kary w wysokości 35 000 PLN (słownie: trzydziestu pięciu tysięcy złotych) za w pełni uzasadnione.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
