Niedawno opisywaliśmy sprawę wycieku danych z warszawskiej SGGW. Jednemu z pracowników skradziono laptop, na którym znajdowały się wrażliwe dane osobowe wszystkich studentów z ostatnich lat, którzy aplikowali na tę uczelnię. SGGW zachowała się poprawnie, a informacje o wycieku nie tylko zostały zgłoszone odpowiednim organom, ale i podane do wiadomości publicznej.

Szkoła Główna Gospodarstwa Wiejskiego poinformowała w swoim komunikacie, że podjęto kroki administracyjne, organizacyjne, prawne, a także szkoleniowe. Przeprowadzono odpowiednie zajęcia, w ramach których informowano pracowników o zgodnym z prawem przetwarzaniu danych osobowych, ze szczególnym uwzględnieniem procedur bezpieczeństwa.

Skutkiem wycieku danych z SGGW jest udostępnienie formularza, poprzez który można konsultować się z enigmatycznie nazwanym zespołem. Niestety, sam formularz jest — o ironio — najpewniej niezgodny z RODO, co znaczy, że dane mogą być przetwarzane niezgodnie z prawem.

W związku z wyciekiem danych ruszyła strona http://www.pokrzywdzenisggw.pl. Nie wiadomo do końca, przez kogo jest ona prowadzona, a w stopce serwisu znajduje się, obok copyright, nic nie mówiące „pozew zbiorowy studentów". Serwis nie jest związany z SGGW, ale doskonale wkomponowuje się w ostatnie wydarzenia.

W serwisie znajduje się formularz kontaktowy, w którym administrator wymaga podania takich danych jak imię, nazwisko, inicjały i adres e-mail.

Formularz nie jest ponadto opatrzony żadnymi klauzulami co do celu przetwarzania tych danych, a także podmiotu, który się tym będzie zajmował. Podając imię, nazwisko, czy e-mail nie wiemy de facto, co się z tymi informacjami stanie. Strona nie jest również odpowiednio zabezpieczona, a przeglądarki internetowe ostrzegają przed tym, że połączenie z witryną nie jest bezpieczne

Niewątpliwie dane osobowe są przetwarzane przez wskazaną wyżej witrynę, a — jak już chyba wszyscy wiemy — z przetwarzaniem danych osobowych wiąże się słynne już RODO. Unijne regulacje dotyczą każdego przedsiębiorcy, zarówno jednoosobowej działalności, jak i spółki.

Każdy przedsiębiorca, który przetwarza dane osobowe, musi czynić zadość wymogom stawianym przez obowiązujące prawo, na przykład przez rozporządzenie o ochronie danych osobowych. Podstawowe jest uzyskanie zgody na przetwarzanie danych osobowych, a także określenie celu tego procesu i poinformowanie o innych kwestiach, które przewiduje m.in. prawo unijne.

Jeżeli prowadzeniem strony internetowej — skupiającej ofiary wycieku danych z SGGW — zajmuje się przedsiębiorca, to istnieje duża szansa na to, iż dane są przetwarzane za pośrednictwem owej witryny niezgodnie z prawem, bo nie wypełnia on obowiązków, które wynikają z przepisów o ochronie danych osobowych.