Wyciek danych z SGGW był poważniejszy niż sądzono. Studenci mogą domagać się odszkodowań

Pracownikowi największej w Polsce uczelni rolniczej skradziono laptopa. Choć komputer był prywatny, to znalazły się na nim dane kandydatów na studia na SGGW.

Czemu? Otóż pracownik kopiował dane - z naruszeniem przepisów i zasad uczelni. Były tam m.in. numery PESEL, dowodów osobistych i adresy. Ilu może być poszkodowanych?

Dr inż. Krzysztof Szwejk, rzecznik uczelni, przyznaje w rozmowie z money.pl, że pracownik SGGW nie kasował co roku danych z rekrutacji, co powinien robić. Na jego urządzeniu mogły się więc znaleźć dane wszystkich kandydatów na studia na SGGW z ostatnich pięciu lat. Jak precyzuje dr Szwejk, jest bardzo prawdopodobne, że na skradzionym komputerze znalazły się dane nawet 70 tys. osób.

Rzecznik przyznaje, że sytuacja jest poważna. Jednak uspokaja, że uczelnia jest w kontakcie ze służbami - i na razie nie ma żadnych informacji, że ktoś chce te dane wykorzystywać - na przykład próbując wyłudzić kredyt.

Tymczasem osoby, które aplikowały w ostatnich latach na studia na SGGW, zastrzegają dokumenty, wymieniają dowody czy wykupują abonamenty w narzędziach, jak "Chroń PESEL" czy "Alert BIK". W mediach społecznościowych pytają przedstawicieli uczelni, czy zamierza ona zwrócić za to pieniądze.

Rzecznik uczelni mówi nam jednak, że żadne decyzje jeszcze nie zapadły - trwa natomiast analiza prawna całej sytuacji.

Podejście uczelni do bezpieczeństwa danych zaniepokoiło UODO. Tymczasem RODO daje możliwość nałożenia gigantycznych kar w takich sytuacjach, nawet milionowych. Czy więc mogą one dotknąć SGGW?

Eksperci w to wątpią. - Warto pamiętać, że polskie przepisy modyfikują w tym zakresie RODO i mówią, że na podmioty publiczne nałożone mogą być kary pieniężne w wysokości do 100 tys. zł - mówi w rozmowie z money.pl Andrzej Boboli, radca prawny z kancelarii Olesiński & Wspólnicy.

Studenci SGGW wzywają też w mediach społecznościowych do składania zbiorowego pozwu przeciw uczelni. Czy to możliwe? - W tym przypadku raczej nie. Na tym etapie trudno mówić o realnych szkodach majątkowych po stronie studentów, a z kolei szkody niemajątkowe w tym wypadku byłyby naruszeniem dóbr osobistych (czyli prywatności), które co do zasady nie mogą być ścigane pozwem zbiorowym. Studenci mogą jednak pozywać uczelnię indywidualnie - komentuje ekspert z kancelarii Olesiński & Wspólnicy.

Jakie kwoty mogą wywalczyć studenci? - W tym przypadku jest wyciek danych, ale jeszcze nie ma szkody. Jeśli tak pozostanie, to oczywiście studenci i tak mogą domagać się zadośćuczynienia za naruszenie prywatności. Podobnie było niedawno w Niemczech – poszkodowany dostał ok. 50 euro za naruszenie, jednak o znacznie mniejszej istotności - mówi nam Andrzej Boboli.

Nawet więc jeśli każda z poszkodowanych osób wywalczyła podobną kwotę, co jednak trudno sobie wyobrazić, to uczelnia musiałaby wypłacić ok. 15 mln zł odszkodowań.

Oczywiście jednak sytuacja może się zmienić - gdyby oszuści zaczęli wykorzystywać dane z komputera. Wtedy jednak odszkodowania zależałyby od ewentualnych strat.

Radca prawny jednak zaznacza, że SGGW może się bronić. - Pewnym czynnikiem łagodzącym dla uczelni może być też to, że to jej pracownik złamał procedury – choćby przez to, wykorzystywał prywatny komputer do celów służbowych lub nie kasował danych co rok po każdej rekrutacji - dodaje Boboli.

A co z samym pracownikiem, który nielegalnie przenosił dane na swój prywatny komputer? - Odpowiedzialność samego pracownika jest co do zasady ograniczona do trzykrotności jego pensji. Chyba, że wykazana zostanie wina umyślna pracownika - dodaje radca.

Czytaj też: RODO. Jest pierwsza kara i od razu na milion zł

Co powinny zrobić teraz osoby, które aplikowały na SGGW? Eksperci dają sporo rad, ale przyznają, że nic nie da gwarancji, że nie stanie się ofiarą oszustwa.

- Samo unieważnienie dowodu nic nam nie da - na taki dowód dalej można brać kredyty czy pożyczki. Istnieją różne inne usługi - np. zastrzegania dowodów w banku oraz zastrzegania numeru PESEL. Niestety część z nich jest płatna, a żadna nie daje ochrony absolutnej - mówi Marcin Maj, ekspert z serwisu Niebezpiecznik.

- Ja poradziłbym jedno - jeśli dojdzie do wycieku tożsamości i np. ktoś weźmie pożyczkę na nasze dane, to absolutnie nie możemy pokpić takiej sprawy. Nie wystarczy powiedzieć "niech mi udowodnią, że wziąłem pożyczkę". Trzeba w takich przypadkach aktywnie się bronić. Zgłaszać sprawę na policję oraz zgłaszać nadużycia do firm i banków, odpowiadać na pisma. Spowoduje to wstrzymanie ewentualnych działań windykacyjnych - dodaje.

A czy ta sprawa czegoś nauczy tych, którzy na co dzień pracują z dużą ilością wrażliwych danych? Tu eksperci już zgodni nie są.

- Niestety, nie do końca w to wierzę. Może jednak pomóc zrozumieć studentom, jak ważne są nasze dane i ich ochrona. Bardzo szeroki ich zakres na co dzień udostępniamy np. na portalach społecznościowych - uważa Andrzej Boboli.

Ale Marcin Maj jest tu większym optymistą. - Podejrzewam, że nie tylko na SGGW, ale na wielu innych uczelniach nastąpi teraz gruntowny przegląd i korekta praktyk - uważa.

- Uczelnie jako instytucje dobrze wiedzą, co trzeba zrobić by chronić dane studentów. Mają swoich Inspektorów Ochrony Danych i specjalistów od tego. Niestety gorzej jest ze świadomością na poziomie pracowników, także tych dydaktycznych. Znam sytuacje, w których wykładowcy np. umieszczali dane studentów na prywatnym serwerze bez pytania o zgodę, a na skargi studentów odpowiadali na zasadzie "nie mamy pana płaszcza i co nam pan zrobi?". Może teraz to się troszeczkę zmieni - uważa Marcin Maj.

Czytaj też: Pierwsza kara za RODO. Prawnicy rozczarowani: "To pójście na łatwiznę"

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl