top of page
Szukaj

Naruszenie - Librus

Czego dotyczy naruszenie w programie Librus Synergia i jak powinna wyglądać obsługa tego zdarzenia przez jednostki oświatowe?

Naruszenie - Librus
W związku z docierającymi do nas informacjami na temat wykrycia podatności w aplikacji dostarczanej przez Librus Synergia, chcielibyśmy Państwa wesprzeć w formalnym przeprocedowaniu zaistniałego zdarzenia.

W przesłanej przez Librus Synergia informacji możemy przeczytać, że W dniu 11 czerwca 2025 r. o godz. 10.40 Podmiot przetwarzający otrzymał zgłoszenie od jednej z placówek oświatowych korzystających z rozwiązania LIBRUS Synergia o podejrzeniu naruszenia ochrony danych osobowych polegającego na możliwym, nieuprawnionym dostępie odbiorców grupowych wiadomości systemowych (przesłanych za pomocą rozwiązania LIBRUS Synergia) do danych osobowych pozostałych adresatów wiadomości.


W wyniku przeprowadzonej niezwłocznie analizy technicznej i potwierdzenia zasadności zgłoszenia, o godz. 12:07 tego samego dnia potwierdzono wystąpienie naruszenia.


Z uwagi na konieczność dokonania szczegółowej weryfikacji charakteru błędu, oceny jego potencjalnych skutków oraz zabezpieczenia środowiska produkcyjnego, przekazanie niniejszego zawiadomienia jest możliwe dopiero w dniu dzisiejszym, aby zapewnić rzetelność i kompletność informacji przekazywanej administratorom danych.


Rozwiązanie LIBRUS Synergia (wyłącznie w kontekście wiadomości grupowych dostępnych w skrzynce odbiorczej) w sposób nieprawidłowy przesyłało przeglądarce internetowej odbiorcy (grupowej wiadomości systemowej) informacje o pozostałych adresatach wiadomości (obejmujących takie dane jak: imię i nazwisko rodzica, imię i nazwisko ucznia, identyfikator wewnętrzny użytkownika oraz informację o klasie i grupie)... Z zamieszczonej powyżej informacji wynika, że wykryta podatność polegała na możliwości wglądu ze strony odbiorcy wiadomości w dane osobowe innych odbiorców, do których wysłano wiadomość zbiorczą oraz że błąd został skutecznie usunięty w dniu 12.06.2025 r. Wszystkie jednostki oświatowe, które otrzymały podobnego maila zobowiązane są do wykonania procedury wynikającej z przepisów RODO a samo zdarzenie powinno zostać ocenione przez jednostkę pod kątem wagi naruszenia i wewnętrznie odnotowane. Po zastosowaniu metodyki oceny zdarzenia uzyskano wynik wagi naruszenia (WN) równy 1,75 co oznacza, że waga naruszenia jest niska, co z kolei skutkuje brakiem konieczności zgłoszenia zdarzenia do Prezesa Urzędu Ochrony Danych Osobowych. Niemniej rekomendujemy podjęcie tego kroku, ze względu na stanowisko wyrażone w opublikowanym przez Urząd Ochrony Danych Osobowych poradniku dotyczącym obsługi naruszeń, w którym zaleca się zgłaszanie zdarzeń, które nie tyle skutkują wysokim ryzykiem naruszenia praw i wolności osób, których dane dotyczą, ale także takich, które mogą generować takie ryzyko. Prawidłowa obsługa tego zdarzenia, powinna polegać na stworzeniu następujących dokumentów:

  1. Raport z naruszenia ochrony danych - gotowy raport, po podpisaniu przez Dyrektora należy dołączyć do dokumentacji dotyczącej naruszeń (lub przetwarzania danych w ogóle) i odnotować w rejestrze naruszeń.

  2. Zawiadomienie osób, których dotyczy naruszenie – Zamieszczamy propozycję informacji, którą należy rozesłać do wszystkich użytkowników dziennika elektronicznego. Jest to krok, który należy podjąć przed lub równolegle z poinformowaniem Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu. Informację najlepiej jest przekazać za pośrednictwem dziennika elektronicznego, w takiej samej treści dla wszystkich odbiorców. Tym samym będzie można przeprowadzić test odpowiadający na pytanie czy podatność została rzeczywiście usunięta. Pobierz plik z treścią gotowego zawiadomienia

  3. Zgłoszenie naruszenia ochrony danych osobowych - można dokonać elektronicznie poprzez: Przesłanie wypełnionego formularza interaktywnego na adres: kancelaria@uodo.gov.pl (w tytule wpisać „NARUSZENIE – nazwa jednostki”)

    lub

    Przesłanie formularza interaktywnego na skrzynkę epuap: /UODO/SkrytkaESP

    lub

    Formularz dostępny na stronie https://www.biznes.gov.pl/pl/portal/ou889 (potrzebny profil zaufany).

 

PODSUMOWUJĄC NALEŻY:

  1. Sporządzić raport

  2. Poinformować osoby, których dane obejmowała podatność (wszyscy użytkownicy)

  3. Wysłać zgłoszenie naruszenia do PUODO


 

Wystąpił problem z naruszeniem ochrony danych? Potrzebne jest doradztwo i pomoc w tym zakresie? U nas otrzymacie Państwo PILNE WSPARCIE. Prosimy o kontakt:



Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych oraz innych ważnych tematach dla oświaty. Jeżeli masz pytanie lub ciekawe tematy na POSTY, wyślij do nas taką informację - opublikujemy odpowiedź na BLOGU.



Dodatkowe informacje:

 
 

Chcesz otrzymywać bezpłatne aktualności - Zarejestruj się

bottom of page