20:45
1/10/2018

Nowy rok akademicki czas zacząć! Musimy to jakoś uczcić, a najlepszym sposobem będzie opublikowanie kolejnej części naszego cyklu o uczelnianych wpadkach związanych z bezpieczeństwem i ochroną danych. Jakoś tak wyszło, że w tym odcinku “błyszczą” nie tylko bezduszne i niczyje systemy, ale również sami wykładowcy.

W poprzednich trzech odcinkach pisaliśmy m.in. o wyciekach CV studentów i niedociągnięciach systemów bubliotecznychujawnianiu dokumentów z PESEL-ami, a także o koparkach kryptowalut na stronach uczelni oraz o cieknących wyszukiwarkach studentów. To wszystko było okraszone drobniejszymi klasycznymi wpadkami.

W tym odcinku czekają na was wpadki z następujących uczelni:

  • Politechnika Łódzka,
  • Politechnika Gdańska,
  • Politechnika Poznańska,
  • Akademia Górniczo-Hutnicza w Krakowie (po raz kolejny!),
  • Rzeszowska Szkoła Wyższa (WSPiA),
  • Uniwersytet Medyczny we Wrocławiu,
  • Uniwersytet im. Adama Mickiewicza w Poznaniu.

Mamy też kilka pomniejszych problemów z innych szkół, w tym także szkoły podstawowej!

Serwis promotora

Jeden z naszych Czytelników znalazł w Google (!) aplikację webową prezentującą nazwiska, numery albumów i informacje o pracach dyplomowych, których promotorem jest jeden z pracowników Politechniki Łódzkiej.

Kliknięcie na nazwisko z listy powodowało wyświetlenie informacji o studencie. Można było poznać np. numer telefonu albo osobisty adres e-mail (niektórzy studenci podawali adresy uczelniane).

Rzecznik prasowy PŁ dr inż. Ewa Chojnacka odpowiedziała bardzo rzeczowo.

Wskazany przez Pana Redaktora link do strony został natychmiast zablokowany, a zaistniała sytuacja uznana za naganną (…)

Władze uczelni, aby zapobiec tego typu łamaniu przepisów wzmocnią intensywność działań związanych z problemem udostępniania danych osobowych na stronach jednostek, choć działania te są prowadzone od kilku lat. W 2017 r. weszło w życie zarządzenie rektora w sprawie wdrożenia dokumentacji opisującej sposób przetwarzania danych osobowych w Politechnice Łódzkiej dostosowujące szereg regulacji do wymogów RODO.

Wszyscy nauczyciele akademiccy po raz kolejny zostaną powiadomieni stosownym pismem wskazującym, że platformą wspieraną i dedykowaną do kontaktów ze studentami na PŁ, spełniającą wymogi ustawy z dnia 10 maja 2018r. o ochronie danych osobowych oraz przepisów RODO jest WIKAMP (Wirtualny Kampus PŁ – red.). W PŁ istnieją odpowiednie certyfikowane narzędzia, których stosowanie nie łamie przepisów wynikających z RODO. Na platformie WIKAMP wdrożone są, od ponad 5 lat, mechanizmy umożliwiające współpracę promotorów z dyplomantami.

Centrum E-Learningu jako zarządca platformy podjęło działania umożliwiające rozwiązanie problemu danych osobowych. Przebudowywana jest wyszukiwarka pracowników PŁ, tak aby stała się funkcjonalną książkę telefoniczną, dostępną dla wszystkich pracowników i studentów, zgodną z przepisami RODO. Pozwoli to na ograniczenie prezentowania danych osobowych na stronach Wydziałów.

Centrum E-Learningu przygotowuje również webinarium dla wszystkich pracowników PŁ, poświęcone zasadom prezentowania danych na stronach jednostek.

Jak widać, wykładowca był dobry z grafiki, ale niekoniecznie z backendu…

Kolejna strona wykładowcy

Problem podobny jak powyżej wystąpił na Politechnice Gdańskiej. Na stronie pewnego konkretnego pracownika uczelni znalazły się wyniki kolokwium w formie takiej tabelki.

Spytaliśmy czy jest to zgodne z uczelnianą polityką ochrony danych. Odpowiedział nam p. Paweł Baniel, który jest Inspektorem Ochrony Danych na Politechnice Gdańskiej.

Publikowanie danych w taki sposób jest niezgodne z polityką bezpieczeństwa danych osobowych stosowaną na uczelni. Do publikacji wyników osiąganych przez studentów służy uczelniany portal Moja PG pełniący funkcję elektronicznego albumu, za pośrednictwem którego studenci mogą śledzić swoje postępy w nauce. Chcielibyśmy zapewnić, że dane naszych studentów nie będą w taki sposób publikowane w ramach innych przedmiotów, a na wszelkie zdarzenia związane z bezpieczeństwem danych osobowych niezwłocznie reagujemy

A więc łódzcy studenci mogą już oblewać kolokwia, bez strachu, że internet się o tym dowie.

I jeszcze AGH?

Również na stronie AGH znaleźliśmy coś, co wyglądało na katalog z plikami jakiegoś wykładowcy. Wśród tych plików były wyniki kolokwiów z nazwiskami i numerami albumu. To poniżej to tylko wybrane przykłady. Zgłosiliśmy sprawę władzom AGH. Uczelnia natychmiast zablokowała dostęp do plików.

Niezabezpieczona Wirtualna Uczelnia

To właściwie drobiazg, ale nie zaszkodzi zwrócić uwagę. Rzeszowska WSPIA nie stosuje szyfrowanego połączenia w serwisie Wirtualnej Uczelni, a przecież są tam dane osobowe.

Oczywiście daliśmy uczelni znać, że należałoby to poprawić. Zaś studentom korzystającym ze wspólnego uczelnianego Wi-Fi zdecydowanie odradzamy wykonywanie na kolegach takich żartów jak te, które opisaliśmy w artykule pt. “Nie korzystajcie z Allegro bo ryzykujecie, że ktoś przejmie Wasze konto“. Takie żartowanie z kolegów, jest niepoważne. Nie wolno tego robić. Nie wolno!

Jak nie wirtualna uczelnia to FB

Niektóre uczelnie nie czują potrzeby uruchamiania jakichś tam wirtualnych dziekanatów, loginów czy innych tam pseudonimów? Po co, skoro wystarczy podać oceny przez Facebooka? Tak właśnie zrobił jeden z wydziałów Uniwersytetu Medycznego we Wrocławiu.

Zostawiamy to bez komentarza.

Zajęcia z OSINT w praktyce na AGH!

Pozwólcie, że poprzestaniemy na zaprezentowaniu zrzutu podesłanego przez Czytelnika.

 

OK, to jest klasyka gatunku, ale jakże wybornie podana :)

MOST podpowiada gdzie kupić Viagrę

MOST to program mobilności studentów i doktorantów podobny do Erazmusa, który umożliwia zrealizowanie programu studiów na uczelni innej niż macierzysta. Uniwersytet im. Adama Mickiewicza w Poznaniu zamieścił informacje o programie na stronie most.amu.edu.pl. Oprócz standardowych treści strona zawierała także… ciekawe linki (czerwone obwódki dodane przez nas).

zrzut ekranu zrzut ekranu

Linki prowadziły do stron reklamujących różne produkty – cudowne drzwi, organy drukowane w 3D oraz środki na potencję.  Spytaliśmy osoby odpowiedzialne za program skąd to wszystko się wzięło. Pan Przemysław Stanula z biura prasowego uczelni powiadomił nas, że Centrum Informatyczne zostało powiadomione i podjęło stosowne działania. Później otrzymaliśmy dokładniejsze wyjaśnienia.

Hiper-linki na stronie programu MOST znalazły się podczas kopiowania tekstów ze starej strony na nową (kopiowanie odbyło się na nieodpowiednio zabezpieczonym komputerze webmastera – stąd mógł wyniknąć problem pojawienia się linków). Obecnie prowadzone są prace nad aktualizacją CMS-a strony internetowej. Jeśli chodzi o dane osobowe, to takie dane nie były gromadzone na stronie – znaleźć można na niej jedynie dane statystyczne. Po wskazaniu zaistniałego błędu, wszystkie linki, które nie były częścią strony, zostały usunięte, a hasło administratora zmienione na nowe, 16-znakowe.

Nawet pierdyliardoznakowe hasło administratora nie pomoże, kiedy CMS nie jest aktualny. Viagrę rzeczywiście mogło coś wstrzyknąć podczas “kopiowania plików”. Ale stawiamy pigułki przeciw orzechom, że raczej sama się wstrzyknęła, przez niezałatany CMS.

Znaj imię ojca swego!

Politechnika Poznańska opublikowała na swoich stronach listy osób przyjętych na studia drugiego stopnia. Pisali o tym do nas Czytelnicy. Ich zdaniem uczelnia powinna informować studentów poprzez jakiś zamknięty system, a nie publicznie.

Niestety drodzy studenci jest tak, że wyniki mają być jawne. Zastanowiło nas jedynie, czy konieczne jest publikowanie imion ojców? W sumie uczelnie lubią średniowieczne klimaty, więc może to miała być taka identyfikacja w stylu “Aragorn syn Arathorna”? Tylko dlaczego nie “Maćko z Bogdańca”? Wtedy można by podać adres zamieszkania.

Uczelnia nie ma sobie nic do zarzucenia. Na nasze pytanie odpowiedział uczelniany Inspektor Ochrony Danych p. Piotr Otomański.

Szanowny Panie,

w odpowiedzi na Pana pytanie informuję, iż zgodnie z art. 169 ust. 16 Ustawy z dnia 27 lipca 2005 roku Prawo o szkolnictwie wyższym wyniki postępowania rekrutacyjnego są jawne. Z tego też powodu opublikowanie ich jedynie w serwisie dla kandydatów stałoby w sprzeczności z zapisami ww. ustawy oraz zasadami jawności i transparentności którymi kieruje się Politechnika Poznańska.

Politechnika Poznańska zgodnie z zapisami Rozporządzenia o Ochronie Danych Osobowych (RODO) minimalizuje przetwarzane dane osobowe, jednak w latach ubiegłych w trakcie procesu rekrutacji zdarzały się przypadki rekrutowania osób o takich samych danych osobowych (imię i nazwisko). Z tego też powodu podjęto decyzję o umieszczaniu na listach przyjętych także imion ojców, co umożliwia poprawną identyfikację wszystkich osób przyjętych na studia na Uczelni.

To mógłby być materiał do akademickich rozważań. Co by było, gdyby gdyby dwie osoby o tym samym nazwisku miały ojców o tym samym imieniu? A może wystarczyłoby podawać imię ojca tylko przy osobach, których nazwiska nie są unikatowe? Poddajemy to pod dyskusję.

Dla porządku odnotujemy, że uczelnie mają różne praktyki. Przykładowo UW publikuje numery PESEL, co też nie wszystkim się podoba.

Phishing czy po prostu mail z uczelni?

Osoby, które dostały się na Politechnikę Poznańską (m.in. na wydział informatyki) otrzymały e-maile takie jak ten.

To nie jest całkiem dobry pomysł, aby uczyć ludzi klikania w linki w e-mailach. Poza tym nieskładny język kojarzy się z phishingiem (“administracja Użytkownik”, “przeglądarki Web”). Oczywiście spytaliśmy uczelnię o autentyczność korespondencji i niedługo później telefonicznie zapewniono nas, że wszystko jest OK. Przedstawiciel uczelni przyznał, że ten nieszczęsny język jest tutaj do poprawienia. Miejmy nadzieję, że razem z nim poprawi się podejście do uczenia studentów poprawnych odruchów w internecie. W końcu to kierunek informatyczny!

Jeszcze raz OKE

Niedociągnięciom Okręgowych Komisji Egzaminacyjnych poświęciliśmy osobny tekst. Teraz tylko dodatkowo odnotujemy, że strona OKE w Gdańsku umożliwiająca sprawdzanie wyników dostępna była tylko po HTTP.

zrzut z ekranu

Zwróćcie przy okazji uwagę na niebieski komunikat pod oknem logowania. Możliwe, że ma on związek z naszą interwencją, choć my nie mieliśmy nic przeciwko udostępnianiu przez OKE w Gdańsku dłuższej historii osiągnięć uczniów. Problem w tym, że w przeszłości ta historia była dostępna po podaniu hasła, które od lat się nie zmieniało.

Matury!

Zespół Szkół Łączności im. Mikołaja Kopernika w Poznaniu dba się o bezpieczeństwo danych osobowych uczniów :).
Kartka, która powinna być w posiadaniu komisji maturalnej została skserowana i naklejona na drzwi. Numery PESEL zaklejono korektorem, ale…

zdjęcie

Korektor. Co może pójść nie tak?

Jeśli nie widzicie cyfr, otwórzcie zdjęcie w nowej karcie i przyjcie się uważnie.

Podstawówka?

W naszych “uczelnianych” zestawieniach były już szkoły średnie, więc zejście na poziom szkoły podstawowej nie będzie nadmiernym nadużyciem. Szkoła o nazwie “Pozytywne inicjatywy” prowadzona przez fundację o tej samej nazwie wywiesiła na swoich stronach listy dzieci zapisanych do świetlicy szkolnej. Oto jedna z 3 list.

Napisaliśmy w tej sprawie do biura fundacji, która prowadzi szkołę. Odpisał nam dyrektor, pan Sebastian Krawczyk.

Opublikowana lista jest działaniem zamierzonym, który wynika z udzielonej przez rodziców zgody.
“Oświadczam, że zapoznałam/em się z regulaminem świetlicy szkolnej i zobowiązuje się do jego przestrzegania.
Wyrażam zgodę na przetwarzanie danych osobowych dla potrzeb niezbędnych do realizacji procesu zgłoszenia dziecka do świetlicy zgodnie z ustawą o ochronie danych osobowych z dnia 29.08.1997 Dz.U. 1997 nr 133 poz. 883 z późn. zm.”

Pytanie, czy opublikowanie w internecie listy dzieci zapisanych do świetlicy jest naprawdę niezbędne do realizacji procesu zgłoszenia dziecka do świetlicy? Niektóre szkoły radzą sobie bez tego. Ale jeśli rodzice wyrazili zgodę, to wyrazili. Ciekawi jesteśmy, czy wszyscy. I co by było, gdyby jeden rodzic się zbuntował? <

Klasyka gatunku

Drobniejsze zgłoszenia takie jak to poniższe dostajemy regularnie. W tym przypadku pracownicy SWPS rozesłali do studentów pocztę bez BCC. Nie mogło w tym zestawieniu czegoś takiego zabraknąć.

Saga trwa…

Ten tekst prezentuje tylko małą część znanych nam problemów z ochroną danych na uczelniach i w placówkach oświatowych. Usuwanie skutków innych znanych nam problemów jest w toku, dlatego te problemy nie załapały na to zestawienie. Ale wrócimy do nich :)

Na koniec, dziękujemy Wam, Drodzy Czytelnicy, za stałe nadsyłanie “uczelnianych kwiatków”. Niech Wam egzaminator na sesji wynagrodzi, a piwo tanim będzie!

Jeśli coś nam podesłałeś, a nie widzisz tego w tym artykule, to oznacza, że możemy być jeszcze w trakcie wyjaśniania sprawy, czekamy na załatanie problemu, albo z innych powodów musieliśmy odłożyć publikację. Nie martw się jednak, ten cykl będzie trwał i trwał… A jeśli nam czegoś nie podesłałeś, to na co czekasz? Rozejrzyj się po uczelni, jesteśmy pewni, że coś znajdziesz i czekamy na kontakt :)

Przeczytaj także:

67 komentarzy

Dodaj komentarz
  1. To pokazuje, że poziom bezpieczeństwa polskich uczelni pozostawia wiele do życzenia. Przedmiotów pokroju cyberbezpieczeństwo często uczą ludzie, którzy tak naprawdę nie mają o tym pojęcia. Publikują takie dane, “bo mogą”. Przynajmniej na razie tak uważają, dopóki ktoś pokrzywdzony tego nie zgłosi gdzie trzeba :)

    • > Przedmiotów pokroju cyberbezpieczeństwo często uczą ludzie, którzy tak naprawdę nie mają o tym pojęcia

      może z 10% przedmiotów ogółem uczą ludzie, którzy mają jakiekolwiek pojęcie. Reszta to ostoja PRL.

    • Prywatność to nie to samo co bezpieczeństwo. Jakie implikacje dla bezpieczeństwa ma wywieszenie listy nr albumów i ocen? “powiem mamie, że dostałeś pałę?” ;)

  2. Viagra na UAMie to problem nie tylko strony MOSTu, zaobserwowano to także na stronie jednego z profesorów (również domena amu.edu.pl) ;)

  3. Szkoła średnia, do zeszłego roku dane z papierowych formularzy rekrutacji uczniów (dużo tam tego było) wprowadzali do szkolnego systemu… uczniowie. Robione to było, bodajże, po maturach, dane przychodziły na formularzach papierowych, leżały sobie w sekretariacie i uczniowie wprowadzali. sam nie brałem udziału, ale w konwersacjach przewijał się Microsoft Access. Ponoć do tego był potem jakiś system, że po peselach i podobnych był w stanie jakoś z OKE automatycznie wyciągnąć wyniki testów żeby sprawdzić, kto się dostał. Jak im zwróciłem uwagę na RODO (akurat proceder w zeszłym roku szkolnym się zaczął jak było o nim głośno) to ktoś zaczął myśleć i procederu zaprzestano, oczywiście ku niezadowoleniu uczniów, którzy musieli siedzieć na lekcjach i się uczyć zamiast wpisywać sobie coś do komputera z Facebookiem w drugim okienku.

  4. To je, kurła, dramat.

  5. a potem się dziwić że papierkiem z polskich uczelni to można się tylko podetrzeć

  6. Wpadki wpadkami, ale ja nadal nie pojmuję idei tego anonimizowania wyników kolokwiów itd. Może ktoś mi to wytłumaczyć jak glupiemu? Dlaczego wyniki w nauce studentów uczelni publicznych nie mogą być dostępne jawnie np. w gablocie na korytarzu uczelni? Za moich czasów (nie tak znowu bardzo dawnych) nikt ze znanych mi studentów nie miał problemu z tym, że wyniki były często podawane po nazwisku.

    • Zgadzam się. Nie przesadzajmy, nie wstydźmy się imienia oraz nazwiska i/lub numeru albumu. O ile umieszczanie gdzie popadnie to przesada, to jednak dajmy już spokój klasycznym drzwiom czy gablotkom. Żadna krzywda, a tylko ludziom życie utrudnia (i studentom i wykładowcom).

    • niestety społeczeństwa się bardzo podniecają coraz większą możliwością wpływu… nie wiem może i to dobrze może źle, ale według mnie pewna granica absurdu zostaje właśnie przekraczana. To całe RODO… dobrze, że to tylko europa.

    • Panie Kubo… pracuję w USA na jednym z najlepszych uniwersytetów na świecie i wie Pan co? Wbijam oceny na liście on-line, po czym każdy student widzi tylko swoją ocenę, kiedy się zaloguje. Tymczasem Pan by chciał, żebym jeszcze to drukował, szukał szpilek do umocowania kartki i klucza do gablotki (znając życie, to będzie u jakiejś sekretarki, która zażąda potwierdzenia pobrania klucza, bo tak było w Polsce) i pierniczył się z otwieraniem zaśniedziałego zamka. Nie, jednak nie. Jeśli pan to lubi, to super, ale ja jednak zbyt specjalnie nie kocham takich pomysłów skoro można tego uniknąć.

      A inna sprawa jest taka, że czasy się zmieniły i dzisiaj ktoś może po prostu zrobić zdjęcie, a pan będzie miał problem za dziesięć lat. Ja nie zdałem w czasie studiów tylko jednego egzaminu, tzw. przedmiotu humanizującego. Była to konkretnie “geografia religii”, bo ktoś na wydziale socjologii nie mógłby utrzymać etatu. Jestem biotechnologiem, ale też wiem, że zdjęcie z moim imieniem i nazwiskiem przy niezaliczonej w pierwszym terminie geografii religii mogło by się nie spodobać pewnemu dyrektorowi instytutu z nadania politycznego, chociaż nie ma to zupełnie żadnego związku z moim wykształceniem i pracą. Właśnie dlatego te dane nie powinny być upubliczniane. 20-30 lat temu nie było aparatów cyfrowych i po 5 mminutach każdy zapominał, jaką ocenę dostał kolega. Dzisiaj jak to raz zawiśnie w internecie, to może zostać “na wieki” i to jest powód.

      Nawiasem mówiąc, gdyby któraś z tych rzeczy zdarzyła się w USA, to doszłoby do procesu i wileomilionowego odszkodowania. Dlatego mimo że w USA nie ma RODO, takich rzeczy się pilnuje. Tymczasem w Polsce… zła UE, Niemcy, Żydzi, Soros itd. To jest po prostu tragedia, bo RODO jest akurat bardzo dobrą ustawą.

  7. swps jak zwykle dopisuje hihi

  8. “A więc łódzcy studenci mogą już oblewać kolokwia, bez strachu, że internet się o tym dowie.”

    Oj, chyba o gdańskich wam chodziło :) Przy PŁ chodziło o prace dyplomowe (i – niestety – publikowanie innych danych, niż tylko nazwisko dyplomanta i temat pracy).

    Ale fakt, że także i na PŁ przed wejściem RODO publikowanie w Internecie na prywatnych stronach wykładowców wyników kolokwiów było praktycznie rzecz biorąc na porządku dziennym. Najczęściej ograniczano się do publikowania list w formie: numer albumu + ocena – ale nie zawsze. Choć ci bardziej zapobiegliwi wykładowcy zbierali od studentów listy podpisów pod zgodą na takie postępowanie (nie wiem, co by było, gdyby ktoś się nie zgodził, bo nie spotkałem się z takim przypadkiem, studentom generalnie coś takiego jest na rękę – ale pewnie nie byłoby najmniejszego problemu, o ocenę trzeba by się było dowiedzieć indywidualnie bądź mailem).

    Według mnie – zakazywanie czegoś takiego jest przesadzone. 99,99% studentów taka forma komunikacji odpowiada i nie stanowi dla nich żadnego problemu, że koledzy dowiedzą się, jaką ma ocenę. A wręcz przeciwnie, daje to możliwość porównania swoich wyników z wynikami innych. Dostęp publiczny bez logowania jest wygodny, a reszty świata i tak nie obchodzi to, jaką taka osoba miała ocenę z jakiegoś tam kolokwium na studiach.

    Oczywiście publikowanie danych innych, niż imię i nazwisko/numer albumu i ocena jest niedopuszczalne.

    Co do prac dyplomowych samych w sobie – zdaje się, że one generalnie rzecz biorąc są jawne, więc opublikowanie listy tematów wraz z dyplomantami te tematy realizującymi jest chyba jak najbardziej w porządku.

    Tutaj można przeczytać komunikat, jaki rektor PŁ rozesłał do wszystkich pracowników, jednoznacznie zakazując opisywanych tu praktyk: http://zjk.pl/studenci_sesja.html. Wcześniej wyniki zaliczeń u tego wykładowcy były publikowane na tejże stronie – co studentom odpowiadało. Ale faktem jest, że trzeba brać pod uwagę to, że ktoś może sobie czegoś takiego nie życzyć – jednak udzielenie przez studenta zgody powinno wystarczyć.

  9. Uczelnie takie są. Zamiast udostepnić studentom i wykładowcom przyjazne platformy komunikacyjne, skazują ich na “maile grupowe” i podobne kurioza jak pokazane wyżej. I tak jest od lat.

  10. Zsł Poznań pozdrawia. Gdy zostały umieszczone listy z osobami które się dostały PESELe były całkowicie zakryte. Tylko niektóre były korektorem tak że było widać cyfry :)

  11. .. i dlatego najlepiej posiadać własny serwer pocztowy :)
    .. podajesz alias przeznaczony tylko dla jednego źródła… a nie do maila, jak zaistnieje wpadka to kasujemy …

  12. Czasem się jednak po prostu czepiacie. Np. sprawa przesłania linka w mailu. To nie bank. Poza tym czy napisanie “wejdź na stronę uczelni, poszukaj linka opisanego tak-a-tak” byłoby na pewno bezpieczniejsze? Wszak (na co mamy przykład w innym opisanym przypadku) link na stronie też może być podmieniony. A w tym mailu nie było prośby o wpisanie hasła do jakiejś używanej już usługi na podanej stronie, tylko wprost przeciwnie – przesłano nowe dane dostępowe (login, hasło i adres).

  13. Pytanie co do ocen wraz z nr indeksów na FB, czy to naprawdę jest tak poważne ? Z uwagi na to, że identyfikacja nr indeksów do osoby jest tylko możliwa przez tego kto otrzymał tą informację już z innego źródła, przypadkowa osoba tego nie wie.

    • Identyfikacja przez nr indeksu jest możliwa dla każdego kto wejdzie do budynku uczelni i wie gdzie jest gablota z wynikami z innych przedmiotów

    • Może nie jest to poważne naruszenie, ale sama publikacja tego typu danych na Facebooku imho jest co najmniej dziwna.
      Nie mają własnych serwisów?
      Jeśli na serwisie uczelnianym, to równie dobrze mogą takie oceny wysłać mailem do starosty (tak wyglądało to u mnie), a on by rozpropagował informację dalej.

    • dokładnie (chcociaż nie cierpię tego słowa, ale czasami jest jedynum do użycia)
      to że na FB a nie na stronie uczelni to nie ma znaczenia.
      a że są nr (najprawdopodobniej indexów) i ocen to jest właśnie pozytywne działanie.

      troszkę zabawiliście się w ogrodnika :P

      okey, ja rozumiem, zdecydowanie lepszym roziwązaniem jest np. moodle i tam info o ocenach itd..
      prosto, tanio, jak się chce to i bezpiecznie :P

  14. Nie licząc imon ojca, reszta to zwyczajne czepianie się. Numery indeksów same w sobie nic nie znaczą. Żeby poznać personalia studenta, trzeba widzieć jego indeks i znać jego numer. Nie każda “dana osobowa” jest nią w rzeczywistości, choćby ze względu na bardzo ograniczony zasięg. Jeśli tylko strona nie została zindeksowana i podlinkowana, problemu generalnie nie ma, a doniósł pewnie jakiś student, któremu nie chciało się uczyć i nie ma go na liście szczęśliwców.

    • Zgadzam się. Same numery indeksów… wielki mi wyciek.
      Róbcie tak dalej, tzn. szukajcie dziury w całym (swoją drogę lepiej wziąć się za naukę, niż szukać takich bzdur po ftpach), a w końcu każdy student będzie przychodził osobiście z dowodem do sekretariatu, pojedynczo!, żeby dowiedzieć się jaką dostał ocenę. Zobaczymy kto na tym jak wyjdzie :-).

    • Nie znałeś nr indeksów kolegów?

    • @profesor, znałem, tak samo słyszałem jak wykładowca mówił “siadaj Kowalski, pała”.
      Proszę trochę powagi…

    • Jaki indeks? W jakich uczelniach jeszcze coś takiego, jak papierowy indeks występuje?

      Raczej na większości uczelni, przynajmniej tych większych (co innego jakieś pomniejsze “wyższe szkoły robienia hałasu”) indeksów już nie ma, numerów indeksu zatem też już nie ma, są numery albumu. Mimo tego, że określenie “numer indeksu” bywa nadal z przyzwyczajenia stosowane.

      Dla mnie to też trochę paranoja, bo wychodzi, że nawet w realnym świecie ocenę danemu studentowi podać można tylko rozmawiając z nim osobiście za zamkniętymi drzwiami.

      Ale… w zasadzie RODO do “danych osobowych” zalicza _wszystkie_ dane pozwalające bezpośrednio lub pośrednio zidentyfikować daną osobę. We wcześniejszych przepisach wyglądało to, chyba, nieco inaczej. Ale tu nie ma niczego takiego, że dane po których w danej sytuacji zidentyfikowanie danej osoby może być trudne (jedna nie jest niemożliwe), za dane osobowe nie są uznawane. Czyli… numer albumu użyty w obecności nazwy uczelni (lub w połączeniu z ogólną wiedzą, że np. dany człowiek jest wykładowcą tylko na danej uczelni) do danych osobowych trzeba, niestety, zaliczyć.

      Inna kwestia, że podanie tylko numeru albumu można chyba uznać za spełnienie zasady minimalizacji. I w tym kontekście… za bardzo nie widzę, co z przepisów RODO tak naprawdę łamie taka opublikowana przez wykładowcę na prywatnej stronie lista ocen cząstkowych (usunięta z niej w momencie, gdy przestaje mieć znaczenie dla studentów – np. po wystawieniu ocen na koniec semestru).

      Tylko… nadal jeśli przetwarzanie danych nie jest niezbędne do wykonania umowy (a tutaj raczej nie jest, żadna umowa nie wiąże studenta bezpośrednio z wykładowcą, umowa wiąże go z uczelnią), jest wymóg uzyskania na nie zgody. W praktyce – pisemnej.

      Co większość wykładowców przed wejściem RODO realizowało jeśli planowali publikować oceny na prywatnych stronach http://WWW...

    • @sruden123: Naprawdę uważasz, że skoro nie ma papierowych indeksów zmiana nazwy z “numer indeksu” na “numer albumu” coś zmienia? Uważasz też, że np. system nie może pookazać oceny po zalogowaniu, tylko trzeba o tym rozmawiać za zamkniętymi drzwiami z wykładowcą? Jeżeli mamy takich studentów, to naprawdę nie dziwię się, że mamy taki, a nie innyt poziom

  15. Uczenie powinny zaktualizować systemy na najnowsze, najlepiej takich firm które słuchają się wojska. Możliwość różnych problemów zimniejszy się nawet o dziewięćdziesiąt procent.

  16. Mogę zapytać dlaczego pozasłanialiście wszystkie nazwiska, numery indeksów, ale przy screenie z MOST pozostawiliście widoczne imię, nazwisko i zdjęcie bohaterki wywiadu? Znam dziewczynę i mogę zapewnić, że nie jest to zdjęcie stockowe a dane nie są zmyślone. Ona nie jest autorką tej wpadki administratora, nie studiuje już od dawna na tej uczelni, nie rozumiem więc dlaczego publikujecie twarz niewinnej osoby. Nie chodzi tu nawet o kwestie prawne tylko o zwykłą ludzką przyzwoitość.

    • Imie, nazwisko i zdjecie bohaterki wywiadu jest publicznie dostepne na stronie z tym wywiadem. Nikt nie napisal, ze owa bohaterka jest administratorem, ktory te wpadke zaliczyl, wiec nie wiem czemu ludzka przyzwoitosc nakazuje rozpixelowanie tych danych.

  17. “Nazwisko, imię, drugie imię, imię ojca…” w takim ciągu aż samo nasuwa się by dopisać jeszcze drugie imię ojca.

  18. Czy rzeczywiście numer indeksu jest daną osobową? Podejrzewam, że nawet dla kolegów i koleżanek z grupy/roku rozpoznanie po tym numerze danej osoby będzie stanowić problem. Publikowanie takiej listy na FB nie powinno chyba budzić takiego oburzenia – czy to z tego powodu zabrakło komentarza pod tym screenem :)?

    • Również proszę jednak o komentarz do tego problemu. Też uważam, że publikacja numeru indeksu wraz z oceną nie łamie żadnych przepisów.

    • Po indeksie możesz dojść do imienia i nazwiska. Dane wrzucone na FB mogą być przetwarzane i przechowywane dłużej niż myślisz (nie masz nad nimi kontroli). Nie wszyscy studenci mogą chciec publikacji swoich danych w takim miejscu z takich właśnie powodów.

    • Publikacja samego numeru indeksu i oceny nie jest naruszeniem ochrony danych osobowych. Po indeksie nie “można dojść” do imienia i nazwiska. Chyba, że ktoś inny opublikuje listę przyporządkowująca numery indeksów do nazwisk. Ale wtedy to on narusza ochronę danych osobowych, a nie osoba publikująca same indeksy.

      Logiki w wypowiedzi Piotr Konieczny niestety brak. Idąc jego tokiem rozumowania publikacja tego komentarza jest także naruszeniem ochrony danych osobowych, bo przecież po nicku autora “można dojść” do jego nazwiska (gdy administrator strony opublikuje listę przyporządkowującą nicki do adresów IP, a ISP opublikuje listę adresów IP z nazwiskami abonentów).

    • Różnica jest. Bo choć twój komentarz też zawiera kompromitujące Cie informacje (podobnie jak niska ocena obok numeru indeksu), to opublikowałes samodzielnie i świadomie.

  19. Na UMedzie we Wro numery indeksów są od dawna używane jak pseudonimy i w zasadzie z dużym sukcesem, w związku z brakiem jakiejś sensownej wirtualnej uczelni i nie wywieszaniem list przyjętych kandydatów całkiem dobrze to funkcjonuje.

    • Numery indeksów jako pseudonimy? Studenci nie czują się tam jak bohaterowie Hitmana albo jak więźniowie? ;)

  20. Na Politechnice Łódzkiej już od lat formalnie jest zakaz publikowania czegokolwiek poza platformą Wikamp, a Wikamp to w praktyce jest Moodle i ci co ogarniają po prostu stosują dziennik ocen w Moodle i to załatwia sprawę. Centrum E-learningu organizuje dla chętnych pracowników szkolenia z Moodle, tak że ostatnie co można powiedzieć to że pracownicy nie mają narzędzi do postępowania zgodnie z dobrymi praktykami. Ale inercja jest na tym polu dramatycznie wielka i ze smutkiem muszę stwierdzić że dotyczy też informatyków, którzy powinni przecież być pionierami w tej dziedzinie.

    • To lenistwo, lub ignorancja.

    • @Michał

      Dokładnie, na wielu uczelniach istnieją narzędzia, wystarczy się ich nauczyć i używać. Po nauczeniu są znacznie wygodniejsze od śmietnika opisanego w artykule.

      Ale nie, bo każdy musi być sobie panem i samodzielnie ustalać swoje procedury kontaktu ze studentami. Potem na koniec każdego semestru płacz, że kazali uzupełniać dokumentację elektroniczną, a “tak mało czasu” i “dziwne wymagania”.

      OK rozumiem, że niektórym userom nauczenie się nowych aplikacji zajmuje więcej czasu niż innym – ale właśnie wtedy lepiej jest próbować na bieżąco i zgłaszać ewentualne problemy na bieżąco, niż zostawiać sobie to wszystko na koniec semestru gdy wszystko dzieje się naraz i dostępność osób umiejących pomóc może być ograniczona.

  21. Rozbraja mnie ilość komentarzy, intensywnie broniących opisanych praktyk. Jak widać, społeczne przyzwolenie na sianie danymi gdzie się da, jest duże. Szczególnie danymi studentów lub uczniów, bo jak wiadomo, tych grup społecznych prawa ogólne nie dotyczyły, nie dotyczą i nie będą dotyczyć. W końcu uczelnia ma swoją autonomię, nieprawdaż? Jeśli chce się zatrzymać organizacyjnie w połowie XX wieku, któż jej zabroni? Zawsze można zarzucić reformatorom, że donoszą, bo nie chce im się uczyć.

    Nawet mi się nie chce tego komentować.

    Niebezpiecznik, dobrze że wsadzacie kij w mrowisko.

    To, że opisane praktyki są dość powszechne i mocno utrwalone, nie oznacza że są prawidłowe w dzisiejszych czasach. Z punktu widzenia standardów obowiązujących na rynku są nieprofesjonalne, a część wręcz żałosnych. Wstyd tak robić. Potem się Państwo Wykładowcy dziwicie, że tak trudno Wam nawiązać kontakt z biznesem. Warto zastanowić się nad używanymi metodami komunikacji i sposobem traktowania klienta.

    • Mrowisko powiadasz… przyszłość… przepraszam Pana, szukam zajęć z przedmiotu A003 które prowadzi Pan XG5562 czy wie Pan w której sali są ? … w sali Dzień dobry przepraszam za spóźnienie, SIADAJ P4453, dostaniesz ocenę PR883 za to spóźnienie, przepraszam Panie XG5562, a kolega HT223 kazał przekazać, że też się spóźni.

    • @Jan

      To co opisujesz to dziecinada dobra da zabawy w szkołę (podstawową).

    • Stukot ma tutaj rację, jednak uważam, że Jan interpretujesz to na wyrost.
      Będąc w tej sytuacji studentem jakiegoś kierunku, jesteś w jakiejś grupie, przynależysz do niej i tu musisz liczyć się że Twoje podstawowe dane jak i pozostałych członków tej grupy (jak imię i nazwisko) będą znane i używane. Uważam jednak, że kolejny w kolejce – nr. albumu już powinien zostać “tajemnicą”. Ale to nie oznacza że od razu wszystkie informacje o studentach mogą sobie od tak wisieć w gablotce przy wejściu do uczelni, czy też na stronie www uczelni, albo jakiegoś profesora czy o zgrozo facebooku.

      Jak jesteś VIPem i zależy Ci aby mieć pełną anonimowość by przypadkiem kolega ze studiów nawet nie widział czy jesteś obecny na zajęciach i czy idziesz na poprawkę z egzaminu to proponuję indywidualny tok studiów.

    • @Przeskocz
      A gdzie w RODO jest informacja o “grupie” ? nic takiego nie ma miejsca. Tak jak w “grupie” nie powinniśmy znać numeru PESEL kolegi tak samo jego imienia i nazwiska – wdług RODO

    • @Jan
      Myślę, że warto przeczytać:
      https://niebezpiecznik.pl/post/rodo-naprawa-smartfon-router/

      Szczególnie od nagłówka “Wbrew pozorom RODO jest… racjonalne” :)

  22. Kto pierwszy złamie hasło “16-to znakowe” :D:D – padłem :D taki joke sytuacyjny :D

  23. Ja myślę, że też nie ma co popadać w paranoję z tymi danymi i robić z wszystkiego tajemnicy, ale skoro RODO i inne sprawy no to cóż.

  24. Odnośnie punktu “Jak nie wirtualna uczelnia to FB”

    Uwaga!
    Podaję wyniki kolokwium z przedmiotu “Ochrona danych osobowych w prawodawstwie europejskim”:

    51137 3,5
    58053 4,0
    59159 2,0
    51662 3,0
    53134 3,0
    58640 4,4
    55260 2,0
    54130 3,5
    54409 4,0
    56377 2,0
    51706 3,5
    53071 5,0
    52678 2,0
    53204 3,0
    57424 4,5
    52014 3,5

    Użyłem “niebezpiecznika” do publikacji wyników kolokwium.
    Zostawiam to “bez komentarza”.

    Pozdr, AK

  25. > W sumie uczelnie lubią średniowieczne klimaty, więc może to miała być taka identyfikacja w stylu “Aragorn syn Arathorna”?

    ómarłem :D

  26. Bez urazy ale posrało was z tą notoryczną paranoją. Niedługo nie będzie można pewnie odezwać się publicznie do człowieka po imieniu. Normalni ludzie nie funkcjonują w ten sposób.

  27. aż szkoda, że takie łamanie przepisów nie jest ścigane z urzędu. :)

    teraz to tylko poszkodowani powinni zgłosić się do UODO, który ciekawe co by zrobił :)

    opublikował coś bzdurnego, moim zdaniem, jak w sprawie umów powierzenia pomiędzy JST a KBW ??

    ehhh, szkoda gadać

  28. Wystarczy wpisać:
    https://www.google.pl/search?q=imi%C4%99+nazwisko+nr+albumu+karol+OR+ireneusz+OR+krzysztof+OR+adam+OR+zbigniew+OR+sebastian+OR+mateusz+OR+katarzyna+OR+agnieszka+&oq=imi%C4%99+nazwisko+nr+albumu+karol+OR+ireneusz+OR+krzysztof+OR+adam+OR+zbigniew+OR+sebastian+OR+mateusz+OR+katarzyna+OR+agnieszka
    aby zobaczyć, ile takich danych google zaindeksowało (imiona dodane aby dostać trafniejsze wyniki w google). Wyników są setki (tysiące?) z każdej możliwej uczelni.

  29. Lubię ten serwis, ale większość punktów w tym artykule to moim zdaniem histeria. Cieszę się, że jak byłem studentem to mogłem normalnie pójść zobaczyć wyniki przyklejone do drzwi. Nikt nie widział w tym problemu. To jest nawet dobre, pozwala wpisać jakiś żarcik wykładowcy (typu: “poprawka będzie trudniejsza” itd.) i generalnie skraca dystans.

    Podam przykład totalnej paranoi spowodowanej RODO (autentyk!):
    Koleżanka przychodzi na uczelnię, umówiła się z profesorem na lekcję (akademia muzyczna, zajęcia indywidualne).
    Pyta się w portierni: przyszłam na lekcję z Panem X, czy jest już na uczelni? W której salce?
    Odpowiedź (wrzaskiem): Co Pani sobie wyobraża, ja nie mogę tego powiedzieć bo RODO!!!1111oneoneone

  30. Z tą podstawówką to przeginacie. No i co że jest lista i bardzo dobrze. Wszyscy i tak na świetlicy się znają. I co z tego że ktoś wie że moje dziecko jest w świetlicy ? A nadpobudliwych powinno się wysłać do psychiatry albo niech wszędzie mówią że nie życzą sobie to zamiast imienia i nazwiska będzie numer albo jakieś imię z bajki. Jak takie durne przykłady będą dawane to niedługo jak w obozach się poczujemy. Ludzie trochę normalności w szkołach, przychodniach, etc…

  31. Szanowni Panstwo, nie rozumiem czemu namawiają Państwo do nadsyłania wykrytych naruszeń do redakcji. Czy to jest ‘nauka bezpieczenstwa’. Przecież RODO nakłada na administratorów obowiązek wyznaczenia w jednostkach publicznych IODa i umieszczanie danych kontaktowych w obowiązku informacyjnym. To ją/jego powinniśmy poinformować. Szanuję wiedzę waszych pracowników ale wysyłanie zgłoszeń o lukach czy naruszeniach praw i wolności osób których dane są przetwarzane do osób postronnych to słaba praktyka. Czy jak znajdziemy czyjeś dokumenty na ulicy to też powinniśmy do was to zgłosić to jednocześnie wysyłając skan dowodu? A może jednak bezpieczniej będzie bezpośrednio oddać portfel poszkodowanemu?
    Pozostawiam to wam pod rozwagę.

    • Wszystko super, tylko jeśli media nie będą nagłaśniać takich przypadków, to nic się nie zmieni. Dlatego jednak dobrze jest informować niebezpiecznik.

  32. To dodam od siebie, że nasza młodsza pociecha, która właśnie zawędrowała do przedszkola (śląsk), jest skrzętnie ujęta na liście danej grupy w przedszkolu – Imię i nazwisko, i tak 8 grup, w sumie 159 dzieciaków.
    Dla odmiany najmłodszy członek rodziny, które poszedł do żłobka jest identyfikowany tylko i wyłącznie po numerze wniosku ;)

  33. czyli podsumowanie audytu wyrywkowego uczelni: jest super świetnie pod względem bezpieczeństwa, jedynie drobne głupstewka udaje się uszukać studenciakom głodnym zemsty na docentach
    i tak trzymać, pozytywny artykuł

  34. A w ogóle to oceny nauczyciele powinni mówić na ucho, jak np. pytają by inni uczniowie się nie dowiedzieli. Porażka z tą poufnością, a za granicą jak byłem to w hotelu kazali dać dowód (UE) i kserowali i nie było gadania jak nie to nie przyjmiemy (CRO)

  35. Wystarczy wpisać w wyszukiwarkę: “Wydział MT polsl listy studentów” i pierwszy wynik przekieruje nas do strony z plikami excel, zawierającymi imona, nazwiska i nr albumów wszystkich studentó na wydziale MT Politechniki Śląskiej :D

  36. W świecie wirtualnym niektórzy chcą zabezpieczać wszystko i wszystkich. Tymczasem w realu: po ulicy może przechodzić człowiek z nożem w kieszeni. Wsadzi ten nóż komuś w brzuch i pójdzie dalej. Językiem RODO można powiedzieć tak “Ofiara się nie zabezpieczyła więc sama sobie winna”. Powinien na brzuchu mieć jakąś osłonę, ale co z twarzą ?
    Był morderca, który rozpylał w twarz cjanek potasu osoba natychmiast się przewracała
    i umierała na zawał serca. To co, miał chodzić w masce gazowej ?
    Poziom zabezpieczeń wynika z poziomu ludzkiej kultury w danym okresie historycznym.
    Taki prosty przykład:
    Kiedyś w Szwecji jak zapomniałeś czegoś na ławce to leżało i leżało. Dzisiaj Szwecja wzbogaciła się kulturowo i już zrobić tego nie można.
    Prawo ma zabezpieczać ludzi, ale gdyby wszyscy byli św. Franciszkiem i Klarą nie potrzebne byłyby zabezpieczenia. Prawo nie może dogonić rzeczywistości, bo gdy jest zbyt ostre to ludzie uważają je za absurdalne.
    W świecie wirtualnym ludzie mają mentalność hackera to znaczy, złamałem kod to go wykorzystam, bo mi się należy nagroda za złamanie kodu. Nagrodą może być obśmianie kogoś w Internecie, pochwalenie się, kradzież.
    Przepisy RODO wyprzedzają rzeczywistość, gdy chodzi o życie zwykłych ludzi, dlatego wiele osób postrzega je jako absurdalne. Powiem szczerze nie wiem jak rozwiązać ten problem.


  37. Opublikowana lista jest działaniem zamierzonym, który wynika z udzielonej przez rodziców zgody.
    “Oświadczam, że zapoznałam/em się z regulaminem świetlicy szkolnej i zobowiązuje się do jego przestrzegania.
    Wyrażam zgodę na przetwarzanie danych osobowych dla potrzeb niezbędnych do realizacji procesu zgłoszenia dziecka do świetlicy zgodnie z ustawą o ochronie danych osobowych z dnia 29.08.1997 Dz.U. 1997 nr 133 poz. 883 z późn. zm.””

    Bzdura na bzdurze. Jeśli przetwarzanie jest faktycznie niezbędne do realizacji procesu zgłoszenia dziecka do świetlicy to nie wymaga żadnej dodatkowej zgody, zgoda jest domniemana i konieczna.

    Co więcej, zbieranie dodatkowej zgody jest tylko robieniem sobie kłopotu – bo jak rodzic zgodę wycofa (a zgodę można wycofać w każdym momencie), to trzeba te dane z każdego miejsca wykasować… Co chwilę widzę takie absurdy, reagowanie na RODO wymyślonymi z dupy dodatkowymi podpisami, które nie są potrzebne albo wręcz są szkodliwe (ostatnio na przykład w urzędzie przy składaniu wniosku chcieli, żebym się zgodził na przetwarzanie danych na potrzeby przetworzenia tego wniosku, czysty idiotyzm, którego RODO wcale nie wymaga).

  38. Oczywiście wyniki nie powinny być udostępniane publicznie najlepiej w ogóle. Uczelnie mają swoje platformy, np. moodle i “naukowcy” mogą przesłać ocenę każdemu z osobna. Mnie na studiach irytowało, gdy nie zdałem i wszyscy koledzy i koleżanki to widzieli – to było czasami poniżające. Majac imie i nazwisko, które jest jest jedyne takie na świecie łatwo znaleźć taką osobę w internecie. Załóżmy, że bierzesz udział w rekrutacji i jakaś hrka wpisze Twoje imię w google i sprawdzi twoją ocenę. Fajne? Chyba nie. Mamy XXI wiek i skoro możemy chronić nasze dane to róbmy to a na uczelniach powinna pracować elita inteligencji i zdawać sobię sprawę z takich działań, jednak jak pokazuje ta sytuacja nie do końca tak jest.

  39. […] jednostki samorządowe to tylko wierzchołek góry lodowej. Przypominamy, że ponad miesiąc  temu portal Niebezpiecznik.pl wskazał, że podobne kłopoty pojawiają się także na uczelniach wyższych, czyli dane ponad 1,3 […]

  40. ja ostatnio zgłaszałam robienie przez wykładowcę z ukrycia zdjęć studentce na obronie mgr jednej z w/w uczelni, wizerunek jako dana osobowa, identyfikacja na podstawie konkretnej sytuacji- obrona i przesyłanie ich dalej bez jej wiedzy z obraźliwymi komentarzami to… poprosili, żeby przesłać im to również mimo, że prosiłam o spotkanie, bo jak prześlę kilku osobom- dyrektor, drugi, dziekan to również udostępnię to nikt nie był już zainteresowany… w starciu wykładowca- student wciąż duży może więcej

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.