Wytyczne Urzędu Ochrony Danych Osobowych odnoszą się do wielu przypadków związanych m.in. z realizowaniem obowiązku informacyjnego przez szkołę w trakcie rekrutacji czy udzielania informacji osobom trzecim, jednak nie są w stanie przewidzieć wszystkich okoliczności.

 

Możliwe roszczenia o odszkodowanie

- Nie można wykluczyć, że wyciek danych osobowych spowoduje szkodę majątkową lub niemajątkową wśród studentów. Są to okoliczności umożliwiające studentowi lub grupie studentów kierowanie roszczeń odszkodowawczych zarówno do administratora, jak również podmiotu przetwarzającego dane osobowe. Koszty takich procesów nie różnią się od innych sporów odszkodowawczych. Uczelnie, z których wyciekły dane muszą liczyć z koniecznością wypłaty odszkodowań, jak również sankcjami administracyjnymi. Nie możemy zapominać o karach pieniężnych RODO, które mają mieć charakter odstraszający – podkreśla radca prawny Tomasz Bojkowski. - Warto pamiętać, że RODO opiera się na zasadzie adekwatności, co oznacza, że pojedynczy wyciek, o charakterze okazjonalnym i indywidualnym, przy zachowaniu odpowiedniego poziomu staranności administratora nie może być zrównany z wyciekiem będącym następstwem systemowych zaniedbań w obszarze ochrony – podsumowuje radca prawny.


Luki w oprogramowaniu

Świadomość ryzyk związanych z zarządzaniem danymi osobowymi pozwala zapobiegać ich występowaniu w przyszłości.
- Studenci należą od grona wymagających użytkowników, którzy oczekują od uczelni nowoczesnych rozwiązań dostosowanych do ich potrzeb (skracających np. kolejki do dziekanatów). Jednocześnie są coraz bardziej świadomi wartości swoich danych osobowych – ocenia Grzegorz Kaliński, prezes zarządu firmy Kalasoft. - Dylematem każdego producenta oprogramowania pozostaje to, jak często przekazywać użytkownikom nowe aktualizacje systemu. Czy udostępniać częściej mniej funkcjonalności, czy przeciągać wdrożenia w czasie, dostarczając bardziej rozbudowane rozwiązania (uwzględniające większą liczbę use case'ów bezpieczeństwa)? Do danej wersji systemu można dodać np. dodatkowe szyfrowanie czy poziom autoryzacji. Pomimo dostępnych środków, nie istnieje system dla uczelni, który byłby w pełni odporny na wszystkie zagrożenia.