Pracownik SGGW lekkomyślnie przekopiował dane osobowe studentów i kandydatów na studia na komputer przenośny. 5 listopada komputer ten został skradziony. Nie są znane lata, których dotyczą te dane. Uczelnia zadbała o to by zminimalizować potencjalne straty oraz podjęła działania, by takie zdarzenie nie mogło się powtórzyć. Sprawą zajmuje się policja. Na głównej stronie SGGW został zamieszczony komunikat, którego fragmenty podajemy podaje poniżej. Poprosiłem rzecznika prasowego SGGW o skomentowanie wydarzenia. Jego wypowiedź znajduje się w dalszej części publikacji.
Z komunikatu o naruszeniu danych osobowych
Administrator danych osobowych, jakim jest Szkoła Głowna Gospodarstwa Wiejskiego w Warszawie […] niniejszym informuje o możliwości naruszenia ochrony Pani/Pana danych osobowych, w związku z incydentem do jakiego doszło w dniu 5 listopada 2019 r. w Warszawie.
[…] Administrator Danych Osobowych nie może wykluczyć, iż w wyniku tego incydentu nieznane osoby uzyskały dostęp do Pani/Pana danych osobowych, przez co doszło do naruszenia ochrony danych osobowych.
Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.
[…] istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią. Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych
[…] incydent został zgłoszony przez Administratora Danych Osobowych do Urzędu Ochrony Danych Osobowych i do organów ścigania. Ponadto pracownik Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie będący użytkownikiem skradzionego komputera, złożył zawiadomienie w KP Warszawa Ursynów o podejrzeniu popełnienia przestępstwa przez nieznanych sprawców, polegającego na kradzieży komputera przenośnego zawierającego dane osobowe kandydatów na studia.
Wypowiedź rzecznika prasowego SGGW
Dr inż. Krzysztof Szwejk, rzecznik prasowy: Dane osobowe studentów i kandydatów na studia w SGGW wyciekły, gdyż jeden z pracowników lekkomyślnie kopiował je na przenośny komputer. Nie miał do tego prawa i zrobił to wbrew obowiązującym na uczelni procedurom. Uczelnia zgodnie z prawem może przechowywać dane z rekrutacji tylko przez jeden rok i takie dane posiadamy. Nie wiemy z ilu lat ten pracownik miał dane na tym komputerze. To właśnie wyjaśniają Policja i Prokuratura. Toczy się śledztwo w tej sprawie. Zakres skradzionych danych jest szczegółowo podany w komunikacie Administratora Danych Osobowych (na stronie uczelni). Prawdopodobnie komputer skradziono przypadkowo, ale ponieważ nie wiemy ile tych rekordów bezprawnie było zapisanych na tym komputerze i czy dojdzie do ich wykorzystania, postanowiliśmy opublikować komunikat i personalnie powiadomić wszystkie osoby, które do nas aplikowały w ostatniej rekrutacji (studenci oraz te osoby, które u nas mimo aplikacji nie studiują). Do tych osób mamy kontakty mailowe. Mamy też kontakty do naszych obecnych studentów i oni też otrzymali taką informację (mail i poprzez system ehms). Wszystkie starsze dane są usuwane z serwerów uczelni. Ponieważ nie dysponujemy pełnymi informacjami, postanowiliśmy powiadomić o możliwym wykorzystaniu danych jak największą liczbę osób. Zależy nam na tym, aby w tej sytuacji studenci i kandydaci na studia mogli na wszelki wypadek i w miarę swoich możliwości ochronić się przez bezprawnym wykorzystaniem skradzionych danych. Dlatego w komunikacie podaliśmy ewentualne kroki zaradcze, które mogą oni wykonać we własnym zakresie w celu minimalizacji skutków. Po uzyskaniu informacji, że na komputerze były dane osobowe nieznanej nam liczby osób, uczelnia zrobiła i nadal robi wszystko aby zminimalizować ewentualne starty. Uczelnia zgłosiła fakt kradzieży danych osobowych do wszystkich przewidzianych prawem instytucji. W komunikacie podaliśmy także informacje do jakich instytucji można zgłaszać zastrzeżenie o możliwej kradzieży danych osobowych.
Jest nam przykro z powodu wycieku tych danych i w imieniu uczelni przepraszam za zaistniały fakt. Zdaję sobie sprawę, że wizerunkowo poniesiemy dużą stratę, ale w tej chwili nie to jest najważniejsze. W tym momencie najważniejsze jest, żeby po tym co się stało w maksymalny sposób zabezpieczyć interes studentów i osób, które aplikowały na studia w SGGW. Mam nadzieję, że nie dojdzie do nieuprawnionego wykorzystania skradzionych danych osobowych, ale lepiej dmuchać na zimne.
Komentarz:
Wyciek danych osobowych to poważna sprawa. Uświadamia ona nam, ze wprowadzenie RODO jest zasadne. Nic nie odwróci tego co się stało ale ważne jest, że Administrator Danych Osobowych SGGW podjął działania informacyjne, w tym m.in. ostrzegł potencjalnych właścicieli tożsamości o niebezpieczeństwach wynikających z zaistniałej sytuacji i wskazał sposoby zaradcze a także przeprowadził szereg posunięć w kierunku zapobieżenia takim incydentom w przyszłości.
Uczelnia znalazła się w sytuacji kryzysowej, zostało tez naruszone jest dobre imię. Z uznaniem przyjmuję opublikowanie na widocznym miejscu strony internetowej SGGW oświadczenia Administratora Danych Osobowych SGGW a także wypowiedź rzecznika prasowego SGGW dla prasy. Najlepszą receptą na kryzys jest bowiem przyznanie faktu zamiast chowania głowy w piasek. SGGW zrobiło więcej bo poinformowało osoby, których może dotyczyć bezpośrednio skutek zdarzenia, przeprowadziło dodatkowe szkolenia pracowników oraz inne działania. Działania te zostały przeprowadzone w trosce o interes studentów i pracowników SGGW. A zatem moje zaufanie do SGGW nie zostało naruszone.
Andrzej Rogiński