Osoby, których dane skradziono, domagają się podjęcia przez uczelnię rozmów na temat jej odpowiedzialności. Szkoła uważa, że trzeba poczekać na zakończenie dochodzenia.
W listopadzie ubiegłego roku skradziony został laptop, na którym przechowywano szczegółowe dane kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego (SGGW). Pracownik uczelni nie powinien ich kopiować, a tym bardziej wynosić poza teren szkoły, ale był na tyle niefrasobliwy, że to właśnie zrobił. W grudniu policja poinformowała o zatrzymaniu trzech obywateli Gruzji podejrzanych między innymi o tę kradzież. Samego komputera nie odzyskano. Nie wiadomo, czy ktoś uzyskał dostęp do zgromadzonych na nim informacji i będzie chciał je wykorzystać. Wiadomo natomiast, że chodzi o bardzo szczegółowe dane z naborów prowadzonych przez kilka ostatnich lat, takie jak PESEL, seria i numer dowodu osobistego, adres czy nawet numer telefonu (patrz infografika).
Po ujawnieniu kradzieży SGGW w komunikacie opublikowanym na swej stronie sama zwróciła uwagę na zagrożenia wynikające z możliwości przejęcia danych studentów i absolwentów. Ostrzegała przed ryzykiem wyłudzenia kredytów w instytucjach pozabankowych, w których można je zaciągać przez internet czy nawet telefon, wyłudzenia ubezpieczeń czy też skorzystania ze świadczeń opieki zdrowotnej.

Zrobić więcej

Studenci i absolwenci, których dane znajdowały się na laptopie, uważają, że uczelnia powinna zrobić więcej. Za pośrednictwem kancelarii prawnej zwrócili się do władz SGGW o podjęcie rozmów na temat rekompensat finansowych, a także zasad ponoszenia odpowiedzialności w przyszłości, jeśli okaże się, że ktoś wykorzysta dane osobowe, np. do zaciągnięcia kredytu.
– Tak naprawdę próbujemy jedynie zabezpieczyć swoją przyszłość. Zależy nam, by uczelnia przyznała się do swoich błędów oraz wzięła na siebie odpowiedzialność. Nadal bowiem nie widzimy, żeby poczuwała się do winy – mówi studentka reprezentująca grupę poszkodowanych.
W tej chwili prowadzeniem negocjacji z SGGW zainteresowanych jest prawie tysiąc studentów i absolwentów. Ostatecznie może ich być jednak kilkakrotnie więcej.
– Problem dotyczy nie tylko obecnych studentów, absolwentów, ale i osób, które w tych latach wyłącznie próbowały się dostać na SGGW, a ostatecznie nigdy tu nie studiowały – zwraca uwagę nasza rozmówczyni.

Realne straty

Pod koniec stycznia kancelaria Barta Litwiński, reprezentująca poszkodowanych, wysłała do SGGW pismo. Prosi w nim o podjęcie rozmów na temat rekompensat za już poniesione wydatki i zasad ponoszenia odpowiedzialności za ewentualne szkody, które mogą się pojawić w przyszłości. Pierwszy punkt dotyczy kosztów związanych z działaniami podejmowanymi w celu minimalizacji ryzyka zaciągnięcia kredytów i pożyczek. Podpowiadała je zresztą sama uczelnia. Wśród sugerowanych środków wskazano założenie kont w systemach informacji kredytowej i monitorowanie aktywności kredytowej. Tyle że to kosztuje. Przykładowo usługa Alerty BIK kosztuje w swym podstawowym zakresie 24 zł (99 zł za rozszerzony), ChronPESEL.pl – 98 zł za rok.
– Mamy realne koszty, które muszą ponosić osoby poszkodowane, aby zabezpieczyć się przed ryzykiem wykorzystania ich danych osobowych. Da się je wyliczyć co do jednego złotego i nie widzę powodów, dla których te koszty miałyby czekać na zwrot. Tym bardziej że mówimy o studentach, dla których nawet stosunkowo niskie wydatki mogą być dużym obciążeniem – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Dodaje, że równie realne jest ryzyko wykorzystania tych danych, np. do wzięcia kredytu.
– Dlatego uważam, że uczelnia powinna pomyśleć o stworzeniu funduszu pomocy, który byłby uruchamiany w razie potrzeby. Równie ważne jest wypracowanie szybkich kanałów komunikacji, poprzez które studenci mogliby zgłaszać ewentualne problemy – podkreśla.
Studenci i absolwenci uważają również, że należy im się zadośćuczynienie za poniesioną krzywdę. Na razie nie wysunęli konkretnych roszczeń, licząc, że kwoty zostaną ustalone podczas rozmów z SGGW.
– Po wykryciu incydentu uczelnia nie dotrzymała terminów, w jakich powinna powiadomić wszystkich, których wyciek dotyczy. Uważamy, że wszyscy zainteresowani powinni zostać o nim jak najszybciej powiadomieni – zauważa studentka reprezentująca poszkodowanych.
– Nie dostaliśmy również informacji, dlaczego osoby nieuprawnione miały dostęp do naszych danych, dlaczego przechowywano je na prywatnym laptopie i to przez tak długi okres. Uczelnia nie udzielała w odpowiednim czasie odpowiedzi od inspektora ochrony danych, a same odpowiedzi nie są satysfakcjonujące – dodaje.

Kontrola UODO

SGGW uważa, że za wcześnie jest na rozmowy.
– Uczelnia nie uchyla się od odpowiedzialności, ale musimy poczekać na oficjalne zakończenie dochodzenia i stwierdzenie zakresu odpowiedzialności – odpowiedział na nasze pytania dr inż. Krzysztof Szwejk, rzecznik prasowy szkoły.
Zaznaczył, że SGGW jest uczelnią publiczną i jej budżet podlega reżimowi finansów publicznych.
– Odpowiedzialność uczelni wobec konkretnych osób, których prawa zostały naruszone przez działanie bądź zaniechanie jej pracownika, z uwagi na indywidualny charakter poszczególnych roszczeń powinna dotyczyć każdego przypadku z osobna – podkreślił.
CO BYŁO W LAPTOPIE / DGP
Szkoła wysłała pismo z odmowną odpowiedzią do kancelarii reprezentującej poszkodowanych. W tej chwili, ze względu na szczególną sytuację związaną z koronawirusem, rozmowy i tak nie mogłyby być prowadzone. Formalna odmowa ich podjęcia oznacza jednak, że kolejnym krokiem będzie skierowanie wezwań do zapłaty. W razie odmowy sprawa skończy się w sądzie. Ze względu na liczbę poszkodowanych ewentualne postępowanie byłoby wyjątkowo skomplikowane i czasochłonne. Z tego względu ugoda byłaby dla obydwu stron dużo korzystniejszym rozwiązaniem.
Niedługo powinno się też okazać, jakie decyzje w sprawie uczelni podejmie Urząd Ochrony Danych Osobowych. Natychmiast po nagłośnieniu incydentu rozpoczął on kontrolę w tej sprawie.
– Czynności kontrolne zostały zakończone. Obecnie dobiega końca analiza materiału dowodowego zebranego pod kątem ustalenia zastosowanych zasad bezpieczeństwa danych studentów. Po jej zakończeniu prezes UODO będzie mógł zadecydować o ewentualnym skorzystaniu ze środków określonych w przepisach o ochronie danych osobowych – mówi Adam Sanocki, rzecznik prasowy UODO.