Προσωπικά δεδομένα διαθέσιμα μέσω Teams
Πρόστιμο της νορβηγικής αρχής προστασίας δεδομένων σε Πανεπιστήμιο για το χωρίς περιορισμούς ανέβασμα αρχείων στο πρόγραμμα της Microsoft
Πρόστιμο 12.700 ευρώ επέβαλε η νορβηγική αρχή προστασίας δεδομένων στο Πανεπιστήμιο του Άγκντερ για την παραβίαση των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων. Το Πανεπιστήμιο δεν είχε εφαρμόσει κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων κατά τη χρήση του Microsoft Teams.
Τον Φεβρουάριο του 2024, ένας υπάλληλος του εκπαιδευτικού ιδρύματος διαπίστωσε πως έγγραφα που περιείχαν προσωπικά δεδομένα είχαν αποθηκευτεί σε ανοικτούς φακέλους στο Teams, στους οποίους είχαν πρόσβαση όλα τα μέλη του προσωπικού, ανεξαρτήτως θέσης και καθηκόντων. Η αβλεψία αυτή είχε διαρκέσει από τον Αύγουστο του 2018, όταν το Πανεπιστήμιο ξεκίνησε να χρησιμοποιεί το Teams.
Τα προσωπικά δεδομένα ήταν διαθέσιμα μέσω του συστήματος και οι υπάλληλοι μπορούσαν να αποκτήσουν πρόσβαση σε αυτά μέσω αναζήτησης σε ανοικτούς φακέλους. Η παραβίαση αφορά έγγραφα που περιελάμβαναν προσωπικά δεδομένα υπαλλήλων, φοιτητών και τρίτων προσώπων, με τον αριθμό των υποκειμένων που επηρεάστηκαν να ανέρχεται σε 16.000.
Στις πληροφορίες που μπορούσε κανείς να βρει με τον τρόπο αυτό, περιλαμβάνονταν ονοματεπώνυμα, αριθμοί ταυτότητας, δεδομένα σχετικά με εξετάσεις, ειδικά συμφωνητικά, καθώς και προσωπικά στοιχεία προσφύγων από την Ουκρανία που σχετίζονταν με το Ίδρυμα.
Στις περισσότερες περιπτώσεις, πρόσβαση στα δεδομένα αυτά είχαν μόνο τα μέλη του προσωπικού του Πανεπιστημίου. Το Πανεπιστήμιο θα πρέπει να διασφαλίσει πως οι υπάλληλοι δεν θα έχουν πρόσβαση σε προσωπικά δεδομένα, τα οποία δεν χρειάζονται βάσει καθηκόντων. Αυτό περιλαμβάνει την υιοθέτηση ορθών διαδικασιών και την εκπαίδευση των υπαλλήλων στην προστασία των προσωπικών δεδομένων μέσω των συστημάτων που χρησιμοποιούνται από το Πανεπιστήμιο. Επιπροσθέτως, το Πανεπιστήμιο έχει την υποχρέωση να διαμορφώσει διαδικασίες ελέγχου πρόσβασης, ώστε παρόμοιες παρεκκλίσεις να μην είναι δυνατές.
Από το δελτίο τύπου της νορβηγικής αρχής προστασίας δεδομένων