Słoweński Organ Ochrony Danych: szkoły muszą przestrzegać zasady ochrony danych w fazie projektowania i domyślnie
Zewnętrzny dostawca posiłków otrzymał nieograniczony dostęp do całej bazy danych uczniów. Tymczasem, by zapobiec wystąpieniu tych nieprawidłowości, wystarczyłoby właściwe wdrożenie zasad ochrony danych w fazie projektowania i domyślnej ochrony danych.
Tło sprawy
Słoweński organ ochrony danych wszczął kontrolę z urzędu po otrzymaniu oficjalnego zawiado-mienia o naruszeniu ochrony danych. Szkoła zgłosiła nieautoryzowany dostęp do danych uczniów przez zewnętrznego dostawcę posiłków, z którym zawarła umowę na posiłki szkolne. Dostawca uzyskał dostęp do całej bazy danych uczniów szkoły, w tym danych wrażliwych, takich jak dotacje i salda kont, mimo że wymagał jedynie imion i nazwisk do śledzenia posiłków.
Kluczowe ustalenia
Słoweński organ nadzorczy zidentyfikował znaczące nieprawidłowości w szkolnych praktykach ochrony danych. Zewnętrzny dostawca posiłków otrzymał nieograniczony dostęp do całej bazy danych uczniów, w tym do niepotrzebnych mu informacji, takich jak dotacje i salda kont. Szkoła zaniedbała wdrożenie odpowiednich środków w celu zapewnienia ochrony danych w fazie projektowania i domyślnie, zgodnie z art. 25 RODO. Procedura kontrolna ujawniła brak odpowiedniej oceny ryzyka
w celu zidentyfikowania i złagodzenia zagrożeń wynikających z przyznania tak szerokiego dostępu do danych wrażliwych. Chociaż szkoła niezwłocznie zgłosiła naruszenie, nie wdrożyła skutecznych, długoterminowych środków, by wyeliminować pierwotne przyczyny i zapobiec ponownemu wystąpieniu naruszenia. Sprawa ta podkreśla znaczenie przyjęcia właściwych protokołów ochrony danych w instytucjach edukacyjnych, które zapewniają bezpieczeństwo i integralność danych osobowych uczniów.
Słoweński urząd ochrony danych udzielił nagany szkole i jej dyrektorowi jako osobie odpowiedzialnej. Administrator danych złożył wniosek o ochronę sądową do lokalnego sądu, który oddalił wniosek i podtrzymał decyzję słoweńskiego organu. Sąd podkreślił, że właściwe wdrożenie zasad ochrony danych w fazie projektowania i domyślnej ochrony danych mogło zapobiec późniejszym nadużyciom, w tym nieautoryzowanym zmianom danych przez zewnętrznego dostawcę, a nawet potencjalnym oszustwom.
