Od kilku dni internet rozgrzewa informacja o kradzieży komputera jednego z pracowników SGGW (Szkoła Główna Gospodarstwa Wiejskiego), na którym znajdowały się „dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie”. Temat jest poważny nie tylko ze względu na bardzo szeroki zakres potencjalnie danych, jakie potencjalnie mogą dostać się w niepowołane ręce. Jest poważny również dlatego, że pokazuje pewnego rodzaju patologię, jeśli chodzi o przetwarzanie danych, i to nawet w takich instytucjach jak SGGW, i to w momencie, gdy RODO obowiązuje od kilku już lat. Zwłaszcza że dyskusje, które wejściu w życie RODO towarzyszy raczej każdemu powinny uświadomić, co to są dane osobowe i na czym powinna polegać ich ochrona.

Naruszenie ochrony danych osobowych w SGGW

A tutaj mamy prawdopodobnie – w mojej ocenie – do czynienia z zachowaniem wręcz absurdalnym. Pracownik SGGW nie tylko – na co mogą wskazywać pojawiające się informacje – przechowywał te dane na prywatnym komputerze, który wynosił poza teren uczelni, to jeszcze dane te nie były najprawdopodobniej w odpowiedni sposób zabezpieczone.

A wydawałoby się, że w takim przypadku szyfrowanie dysków nie tylko by sprawę załatwiło (oczywiście przy odpowiednio skomplikowanym haśle), ale zarazem nie jest to wiedza tajemna, dostępna tylko dla wybranych. Wręcz przeciwnie. Zresztą zakładam, że nawet jakby w SGGW nie mieli formalnego działu IT z odpowiednio przeszkoloną kadrą, to chociaż jacyś studenci „bawią się w dział IT”, i nawet oni powinni sobie z tematem poradzić.

Dodam jeszcze – bo w trakcie rozmowy o tej sprawie ze znajomymi ten temat się pojawił – że fakt ustawienia logowania do systemu operacyjnego nie jest wystarczającym zabezpieczenie w tym kontekście (dostęp do danych znajdujących się na dysku komputera), bo nawet jeśli nikt nie przełamie tego zabezpieczenia, to zawsze może wystartować komputer z zewnętrznego nośnika lub… przełożyć dysk do innego komputera.

Na pewno coś zawiodło. I obawiam się, że nie jedna procedura, a cały zestaw procedur (jeśli w ogóle jakieś były, ale wierze, że były), oraz wyobraźnia tzw. czynnika białkowego, czyli pracownika uczelni. Dzięki temu na stronach SGGW możemy przeczytać m.in.:

W dniu 5 listopada 2019 r. miało miejsce zdarzenie kradzieży komputera przenośnego użytkowanego przez jednego z pracowników Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie. Na dysku tego komputera znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie.

Ale ważniejsze od samego faktu, że taka sytuacja miała miejsce, wydaje się zakres danych, jakie potencjalnie mogą trafić w niepowołane ręce:

Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

Powiem szczerze, że nawet jeśli liczyłbym na to, że skradziony komputer trafił do jakiegoś komisu, gdzie szybko znalazł nowego właściciela, który nawet nie zaglądał, co tam wcześniej na dysku było, tylko i tak bym się chyba martwił, gdybym aplikował do SGGW. Choć raczej wśród członków facebookowej grupy „Pozew zbiorowy w sprawie RODO SGGW” raczej byście mnie nie znaleźli. I to nie tylko dlatego, że z Facebooka nie korzystam w prywatnych sprawach (cały czas jeszcze sprawdza się jako narzędzie do strzyżenia owieczek ;-)).

Dalej w komunikacie mamy wymienione potencjalne konsekwencje wycieku:

Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:

  • uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
  • korzystania z praw obywatelskich osoby, której dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego – uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu.

Oraz zalecenia, co zrobić, by ustrzec się „przed negatywnymi skutkami zaistniałego naruszenia”. Tego już nie będę nawet cytował, bo… Chyba nawet nie warto.

Za to zacytuje fragment dotyczący działań mających na celu „naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków” bo mam wrażenie, że ktoś w PRowca za bardzo się wczuł:

Zapewniam, iż Administrator Danych Osobowych w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków tego naruszenia podjął niezwłocznie adekwatne środki organizacyjne, administracyjne i prawne, w tym ponownie poinformował pracowników, iż przetwarzanie danych osobowych, których administratorem lub procesorem jest SGGW może odbywać się wyłącznie na nośnikach służbowych zapewniających właściwą ochronę poufności i bezpieczeństwa danych osobowych zgodnie z obowiązującymi w SGGW wewnętrznymi procedurami. Administrator Danych Osobowych przeprowadził też kolejne szkolenie kadry kierowniczej z zakresu przepisów o ochronie danych osobowych oraz kontynuuje harmonogram cyklicznych szkoleń dla pracowników uczelni z tego zakresu. Jednocześnie incydent został zgłoszony przez Administratora Danych Osobowych do Urzędu Ochrony Danych Osobowych i do organów ścigania. Ponadto pracownik Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie będący użytkownikiem skradzionego komputera, złożył zawiadomienie w KP Warszawa Ursynów o podejrzeniu popełnienia przestępstwa przez nieznanych sprawców, polegającego na kradzieży komputera przenośnego zawierającego dane osobowe kandydatów na studia.

A energię tę chyba lepiej byłoby przeznaczyć choćby na korektę literówek w tekście, bo nawet nazwa uczelni (!) napisana jest z błędem, i to w otwierającym komunikat zdaniu („Szkoła Głowna Gospodarstwa Wiejskiego”). Coś czuje, że może to być nowy rekord, jeśli chodzi o karę nałożoną przez Urząd Ochrony Danych Osobowych…

(!) Zgłoś błąd na stronie

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)