Norweski organ ochrony danych nałożył karę administracyjną na Uniwersytet w Agder
Na mocy decyzji z dnia 4 września 2024 r. norweski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości około 12 700 euro na Uniwersytet w Agder za naruszenie przepisów RODO.
Powodem było niezapewnienie odpowiednich środków ochrony danych osobowych przy użyciu Microsoft Teams. Naruszenie zostało wykryte w lutym 2024 roku, gdy pracownik odkrył, że dokumenty zawierające dane osobowe były dostępne w otwartych folderach. Umożliwiało to dostęp do nich osobom nieupoważnionym. Dane dostępne były od sierpnia 2018 roku, czyli odkąd Uniwersytet rozpoczął korzystanie z platformy Teams.
W wyniku tego naruszenia dane osobowe około 16 tys. osób, w tym pracowników, studentów oraz osób zewnętrznych, były dostępne dla innych pracowników Uniwersytetu. Dokumenty zawierały informacje takie jak imiona i nazwiska, numery identyfikacyjne, informacje o egzaminach specjalnych, liczba podejść do egzaminów oraz dodatkowe ustalenia. Naruszenie objęło również dane uchodźców z Ukrainy związanych z Uniwersytetem, w tym ich dane kontaktowe, status osiedlenia oraz informacje o edukacji.
Norweski organ ochrony danych stwierdził, że Uniwersytet w Agder nie zastosował odpowiednich środków bezpieczeństwa, które byłyby zgodne z wymogami RODO, szczególnie w zakresie art. 32 (bezpieczeństwo przetwarzania) i art. 24 (obowiązki administratora). Organ norweski nakazał Uniwersytetowi wdrożenie skuteczniejszych zabezpieczeń, aby uniknąć podobnych naruszeń w przyszłości i lepiej chronić dane osobowe przechowywane i udostępniane w Microsoft Teams.
