Orzeczenie to należy postrzegać jako jednoznaczny sygnał dla administratorów danych, że bierność, opieranie się na przypuszczeniach o niskim ryzyku lub niedostateczne zabezpieczenia techniczne i organizacyjne mogą skutkować nie tylko naruszeniem obowiązków z RODO, ale także sankcjami finansowymi.

Stan faktyczny i przedmiot naruszenia

W toku postępowania ustalono, że Śląski Uniwersytet Medyczny w Katowicach udostępnił na platformie edukacyjnej nagrania z przebiegu egzaminów praktycznych z pediatrii. Nagrania zawierały dane osobowe studentów, w tym wizerunek, głos, dane z dokumentów tożsamości oraz informacje o przedmiocie, toku studiów i udzielonych odpowiedziach. Co istotne, dostęp do materiałów był możliwy bez logowania – wystarczyło posiadanie linku.

Studenci nie byli informowani przed egzaminem o tym, że nagrania zostaną udostępnione w tej formie. Część z nich zaczęła samodzielnie analizować udostępnione pliki, obawiając się ujawnienia danych z dowodów osobistych lub legitymacji. Obawy te zostały uznane przez Prezesa UODO za uzasadnione, a administrator nie podjął wymaganych działań sygnalizacyjnych – ani nie zgłosił incydentu do organu nadzorczego, ani nie zawiadomił osób, których dane dotyczą.

Stanowisko Prezesa UODO

W decyzji z 5.1.2021 r., DKN.5131.6.2020, Legalis, Prezes UODO jednoznacznie stwierdził, że uniwersytet naruszył obowiązki wynikające z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Wbrew twierdzeniom administratora, organ nadzorczy uznał, że fakt braku dowodów na nieuprawnione wykorzystanie danych nie zwalnia z obowiązku zgłoszenia naruszenia, jeśli występuje wysokie ryzyko dla osób fizycznych.

Prezes UODO odrzucił argumenty dotyczące nieczytelności materiałów filmowych, wskazując, że przy współczesnych możliwościach technologicznych (m.in. narzędziach do poprawy jakości obrazu) nie można wykluczyć skutecznego odczytania danych osobowych. Organ podkreślił również, że sam fakt istnienia nieograniczonego dostępu do nagrań z egzaminów – poprzez linki możliwe do udostępnienia – już stanowi zagrożenie dla poufności i integralności danych.

Szczególną uwagę zwrócono na szeroki zakres danych objętych incydentem, który wykraczał poza dane identyfikacyjne. Utrwalone zostały bowiem również dane o postępach w nauce, aktywności studentów i ich odpowiedziach egzaminacyjnych – co może mieć istotne znaczenie dla ich prywatności i godności osobistej.

Ochrona Danych Osobowych – Sprawdź aktualną listę szkoleń Sprawdź

Ocena sądów administracyjnych: WSA i NSA

Wojewódzki Sąd Administracyjny w Warszawie, rozpoznając skargę ŚUM, potwierdził, że obowiązek zgłoszenia naruszenia i zawiadomienia osób, których dane dotyczą, nie zależy od potwierdzenia rzeczywistego wycieku danych. Wystarczające jest istnienie potencjalnego ryzyka ich nieuprawnionego ujawnienia. Sąd odrzucił zarzuty braku „realnego zagrożenia” oraz „technicznej możliwości” odczytania danych jako niemające znaczenia dla oceny istnienia obowiązków z art. 33 i 34 RODO.

W dalszej kolejności Naczelny Sąd Administracyjny oddalił skargę kasacyjną ŚUM, uznając, że organ nadzorczy miał prawo oprzeć się na własnej wiedzy eksperckiej i nie był zobowiązany do powoływania biegłego. NSA podkreślił również, że administrator nie może opierać się wyłącznie na wewnętrznych przekonaniach o braku zagrożenia, jeśli nie przeprowadził kompletnej i udokumentowanej analizy ryzyka. Ocena ryzyka musi być przejrzysta, rzeczowa i zgodna z celem regulacji, czyli zapewnieniem wysokiego poziomu ochrony danych.

Znaczenie dla praktyki ochrony danych osobowych

Wyrok NSA ma dalekosiężne skutki interpretacyjne:

  1. Obowiązek zgłoszenia naruszenia ma charakter prewencyjny – administratorzy muszą działać nie dopiero w reakcji na incydent, lecz w momencie wystąpienia ryzyka.
  2. Nie można zasłaniać się brakiem skargi – brak informacji o negatywnych skutkach po stronie osób, których dane dotyczą, nie zwalnia z obowiązku działania.
  3. Rzetelna analiza ryzyka to fundament rozliczalności – subiektywne przeświadczenie administratora nie może zastąpić obiektywnej oceny, popartej dokumentacją.
  4. Rozszerzona ochrona danych wizualnych i dźwiękowych – dane biometryczne i behawioralne (wizerunek, głos, zachowanie) wymagają równie wysokiej ochrony jak dane identyfikacyjne.
  5. Obowiązki techniczno-organizacyjne nie kończą się na szyfrowaniu – brak zabezpieczenia dostępu do nagrań wskazuje na naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f RODO).

Wnioski praktyczne dla administratorów danych

Sprawa Śląskiego Uniwersytetu Medycznego przypomina, że niedostateczna analiza ryzyka i bierność w przypadku incydentów mogą skutkować dotkliwymi konsekwencjami. Administratorzy danych, w szczególności w sektorze edukacyjnym i publicznym, powinni:

  • ustanowić wewnętrzne procedury reagowania na naruszenia, obejmujące schematy decyzyjne i kryteria oceny ryzyka,
  • zapewnić przeszkolenie personelu w zakresie RODO, zwłaszcza w kontekście pracy z materiałem audiowizualnym,
  • dokumentować każdą ocenę ryzyka oraz decyzję o zgłoszeniu (lub jego braku) wraz z jej uzasadnieniem,
  • stosować zasadę „privacy by design”, szczególnie przy wdrażaniu narzędzi zdalnej edukacji, egzaminowania i udostępniania materiałów.

Podsumowanie

Wyrok NSA w sprawie ŚUM, poparty decyzją Prezesa UODO oraz orzeczeniem WSA, potwierdza jedno z kluczowych założeń RODO: ochrona danych osobowych nie może być bierna ani reaktywna. Obowiązki administratora aktywują się już na etapie ryzyka naruszenia, a ich niedopełnienie może prowadzić do sankcji – także w sytuacji braku „realnego wycieku”.

Orzeczenie to stanowi przestrogę dla administratorów, by nie minimalizowali znaczenia incydentów oraz przykład rzetelnej analizy obowiązków wynikających z RODO. W dobie zdalnej edukacji, nagrań egzaminów i cyfrowego zarządzania procesami kadrowymi, każdy incydent musi być traktowany z najwyższą starannością – nie tylko techniczną, ale przede wszystkim prawną.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →