Pracownik ujawnił poufne dane studentów, uczelnia nie widzi problemu

dodał 29 grudnia 2017 o 08:45 w kategorii Prywatność, Wpadki  z tagami:
Pracownik ujawnił poufne dane studentów, uczelnia nie widzi problemu

Każdy student może uzyskać dostęp do darmowej wersji pakietu Microsoft Office 365. Wystarczy zgłosić się do odpowiedniego pracownika uczelni i po kłopocie. Prawda? Nie zawsze, bo w przypadku studentów UMCS kłopoty dopiero wtedy się zaczęły.

Podstawowe dane 63 osób studiujących na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie zostały przekazane pracownikowi w celu założenia kont pozwalających korzystać z Office’a bez opłat. Każdemu studentowi administrator stworzył oddzielne konto, wysyłając mailem login i hasło. Byłoby dobrze, gdyby nie robił nic ponadto, ale on – jak informują studenci – sporządził listę zawierającą ich imiona, nazwiska, adresy e-mail, loginy i hasła, po czym umieścił ją na Dysku Google.

„Z tej listy można było dodatkowo wywnioskować miejsce zamieszkania studentów, uczelnię, na której studiują, kierunek oraz nawet narodowość, bo niektóre prywatne maile były założone na zagranicznych portalach (końcówka adresu e-mail np. .ru)” – tłumaczą studenci, dodając, że plik nie został w żaden sposób zabezpieczony i każdy, kto miał do niego link, mógł dokument wyświetlić oraz skopiować.

Rektorat UMCS, fot. Pawelrm, CC BY 3.0

Jakby tego było mało, link do Dysku Google wraz z poleceniem udostępnienia został przesłany osobie, która pośredniczyła w kontaktach między pracownikiem uczelni a resztą studentów. W efekcie lista trafiła na Facebooka, co prawda, do zamkniętej grupy, ale „jak to bywa w praktyce, nie oznacza to, że mają do niej dostęp tylko uprawnione osoby. Na takich grupach znajdują się boty, znajomi ludzi do niej należących, a czasami w 100% obcy ludzie, którzy zostali do niej zaakceptowani przez niedopatrzenie” – czytamy w mailu, który dotarł na adres redakcji.

„Oczywiście student powinien wiedzieć, że taka lista nie powinna być nigdzie udostępniana, ale przede wszystkim taka lista nigdy nie powinna wyjść od administratora” – uważają studenci, którzy bezzwłocznie zgłosili problem pracownikowi UMCS. Konta zostały usunięte, ale zanim do tego doszło, ktoś zdążył już niektóre przejąć. „Wielu studentów nie mogło się do nich zalogować i otrzymywali informację, że wpisują niepoprawne hasło” – opowiadają poszkodowani. Niestety lista z ich danymi była dostępna na Dysku Google przez kolejne 24 godziny.

Post z danymi studentów na Facebooku

Dalej robi się jeszcze ciekawiej. „Gdy studenci poinformowali administratora, że zamierzają zgłosić ten wyciek do odpowiednich organizacji, rektoratu i zamierzają postępować zgodnie z prawem regulującym takie wycieki, usłyszeli groźby, że to oni zostaną zgłoszeni do rektoratu i dyscyplinarnie usunięci ze studiów za «godzenie w dobre imię uczelni». Od tego czasu odbyło się już kilka rozmów z administratorem w obecności wielu świadków. (…) Oczywiście można się domyślić, że w trakcie rozmowy ze studentami administrator starał się ich zastraszyć i obarczyć winą. W trakcie rozmowy w obecności dziekana wszystkim zarzutom zaprzeczał i utrzymywał, że nic się nie stało” – piszą studenci.

Okiem prawnika

O przyjrzenie się zaistniałej sytuacji poprosiliśmy Beatę Marek, prawniczkę specjalizującą się w kwestiach bezpieczeństwa danych, autorkę serwisów Cyberlaw.pl oraz Pomocnik RODO. Jakie przepisy mógł naruszyć pracownik UMCS, tworząc i udostępniając listę osób, którym założył konta?

„Uczelnia powinna mieć opracowany System Zarządzania Bezpieczeństwem Informacji, na który składają się m.in. Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym. Zgodnie z tymi procedurami oraz przepisami prawa dane powinny być przetwarzane wyłącznie u dostawców (procesorów/ przetwarzających), z którymi podpisana jest umowa powierzenia. Organ nadzorczy w toku kontroli powinien ustalić, czy doszło do naruszenia przepisów prawa, w tym także przepisów karnych. Należałoby tutaj oceniać sprawę nie tylko pod kątem art. 31, ale także art. 51 i 52 ustawy o ochronie danych osobowych” – wyjaśnia prawniczka. Warto te artykuły zacytować:

Art. 51.

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52.

Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

„Pamiętajmy, że niezależnie od tego szkodę ponieśli studenci i można tutaj mówić o naruszeniu przepisów prawa cywilnego, jak np. art. 23 KC. Można rozważać pozew zbiorowy przeciwko Uczelni. Uczelnia jest i tak w lepszej sytuacji w obecnym stanie prawnym, bo po 25 maja 2018 r. mówilibyśmy o nałożeniu kary finansowej na Uczelnię przez organ nadzorczy i to proporcjonalnej do stopnia naruszenia. Mogłaby to być wysoka kara” – informuje Beata Marek.

Co z odpowiedzialnością studenta, który przyczynił się do ujawnienia poufnych danych, wykonując polecenie pracownika UMCS? „W toku czynności okaże się, jak to faktycznie wyglądało. Pamiętajmy, że fakt, że ktoś spełnia czyjeś polecenie i narusza prawo, nie zwalnia go automatycznie z odpowiedzialności. To może wpłynąć jedynie na uznanie, że ktoś działał z winy nieumyślnej. W tym wypadku np. lekkomyślnie umieścił te dane” – tłumaczy specjalistka od bezpieczeństwa informacji.

Pozostaje jeszcze kwestia gróźb, które miały paść pod adresem studentów. Jak wyjaśnia Beata Marek: „Studenci powinni dysponować materiałem dowodowym, takim jak zeznania świadków czy wręcz korespondencja, np. e-mail. Należy o wszystkim poinformować prokuraturę i odpowiednio policję prowadzącą czynności w jej imieniu. O tym, jaka będzie kwalifikacja i czy w ogóle będzie, zdecyduje prokuratura. Pamiętajmy, że aby doszło do naruszenia art. 191 §1 KK, to osoba musiałaby w stosunku do drugiej zastosować groźbę bezprawną w celu zmuszenia jej do zaniechania, w tym wypadku poinformowania o naruszeniu”.

Doraźne postępowanie sprawdzające na UMCS

Studenci poinformowali o wycieku władze uczelni (rektorat i dział prawny) oraz GIODO. Skierowaliśmy stosowne zapytania do obu instytucji. Jako pierwsza odpowiedziała nam Katarzyna Kozielewicz z Biura Prasowego UMCS, publikujemy otrzymany komentarz w całości:

Na podstawie czynności podjętych w ramach postępowania sprawdzającego doraźnego prowadzonego przez Administratora bezpieczeństwa informacji UMCS na mocy obowiązujących przepisów prawa oraz w oparciu o już zgromadzone informacje i dowody należy stwierdzić:

  • nie doszło do udostępnienia danych osobowych studentów UMCS na ogólnodostępnym publicznym dysku Google czy też koncie Facebook;
  • rzeczywiście miało miejsce umieszczenie niektórych danych studentów (imię, nazwisko, adres e-mail) jednego z roczników prowadzonego przez UMCS kierunku, przy czym miało to miejsce na utworzonym i wydzielonym dla tego rocznika dysku i koncie Facebook, które to zasoby dostępne są wyłącznie dla osób uprawnionych studiujących na danym roku, bez możliwości dostępu do dysku czy konta przez osoby nieuprawnione. Co więcej to same osoby zainteresowane, których dane dotyczyły, umieściły tam swoje dane, w pełni dobrowolnie, odpowiadając na post starosty danego roku dotyczący zainteresowania uzyskaniem dostępu do darmowego oprogramowania udostępnianego studentom w ramach usług Microsoft Live@Edu/Office 365. Dane samodzielnie przekazane za pośrednictwem konta staroście przez studentów zostały zebrane w jeden plik, który został przekazany przez starostę pracownikowi UMCS i posłużył do założenia studentom właściwych kont dostępowych. Po założeniu kont, plik z danymi pracownik uczelni przekazał zwrotnie do starosty roku i to starosta umieścił ten plik na wspomnianym powyżej dysku i koncie Facebook (zaznaczamy – niedostępnych publicznie, a wydzielonych dla danej grupy osób, których sprawa dotyczy), na którym wcześniej studenci te same dane osobowe sami umieszczali.

Biorąc pod uwagę powyższe, w szczególności fakt, iż zasoby, na których nastąpiło umieszczenie danych nie są publicznie dostępne, a zwłaszcza fakt samodzielnej publikacji tych danych przez osoby, których one dotyczyły, nie można stwierdzić naruszenia polegającego na upublicznieniu danych przez pracownika UMCS. Pracownik natychmiast po uzyskaniu informacji o udostępnieniu przez starostę roku danych na wyodrębnionym dysku zablokował wszystkie uprawnienia.

Studenci zwracają uwagę, że na Dysku Google listę umieścił nie starosta, tylko pracownik uczelni. Jak piszą: „Grupa na Facebooku posłużyła staroście do zebrania danych studentów (imiona, nazwiska, maile), ale lista z loginami, hasłami i dodatkowymi informacjami to już wyciek po stronie UMCS i to właśnie te dodatkowe informacje pozwalają na szybką i dokładną identyfikację tożsamości studentów”. Co ciekawe, wspomniana grupa została z Facebooka usunięta, prawdopodobnie na wniosek osoby trzeciej.

Fragment pliku udostępnionego na Dysku Google

Martwić też może fakt, że zgłoszenie incydentu do GIODO nie dotarło, o czym poinformowała nas rzeczniczka Agnieszka Świątek-Druś. „Sprawa ta będzie w najbliższym czasie przedmiotem analizy GIODO i w zależności od rozwoju sytuacji (np. wpłynięcia oficjalnej skargi) GIODO podejmie decyzję co do swoich dalszych działań” – napisała przedstawicielka Generalnego Inspektora Ochrony Danych Osobowych. Studenci zapowiadają ponowne wysłanie zgłoszenia. Będziemy trzymać rękę na pulsie i poinformujemy, jeśli sytuacja się zmieni.