O școală secundară din Irlanda a fost avertizată de Data Protection Commission după ce un elev a reușit să intre în sistemul informatic al instituției și să acceseze date timp de cinci luni.
Elevul ar fi observat parola unui profesor în timp ce acesta se conecta la computer, a memorat-o și a folosit-o ulterior pentru a intra în platformele școlii. Cazul a fost considerat de autoritatea irlandeză pentru protecția datelor drept o breșă gravă de securitate.
Școala nu a descoperit singură problema. Potrivit DPC, conducerea a aflat abia după 18 luni, de la un părinte.
Date sensibile accesate în sistemul școlii
Informațiile accesate includeau și date considerate sensibile, categorie care poate acoperi detalii despre sănătate, origine etnică, date biometrice sau alte informații personale protejate prin lege.
Data Protection Commission a constatat că școala nu își cunoștea suficient obligațiile privind protecția datelor și nu avea măsuri adecvate pentru a proteja informațiile elevilor și ale personalului.
Autoritatea a vorbit despre lipsuri clare în instruirea angajaților, dar și despre monitorizare insuficientă a accesului la sistemele care prelucrau informații sensibile.
Cazul scoate în evidență o problemă tot mai prezentă în instituțiile publice și private din Irlanda: folosirea platformelor digitale fără reguli clare, fără instruire reală și fără controale tehnice eficiente.
Un alt caz: un colegiu, compromis prin telefonul unui angajat
Separat, DPC a avertizat și un colegiu după ce un escroc a reușit să pătrundă în rețeaua instituției prin intermediul unui angajat care lucra de la distanță.
Angajatul a primit un apel de la o persoană care pretindea că reprezintă o companie de securitate cibernetică. Escrocul l-a convins că are probleme cu contul bancar și l-a determinat să instaleze un program de acces la distanță pe laptopul de serviciu.
Pentru că laptopul era conectat la conturile de lucru, atacatorul a putut ajunge în rețeaua colegiului.
DPC spune că instituția nu avea un sistem de monitorizare a securității, nu primea alerte privind activitatea suspectă și nu dispunea de programe adecvate pentru protejarea rețelei.
Totuși, verificările nu au găsit dovezi că datele personale ar fi fost copiate sau extrase din sistem.
CV-uri încărcate într-un instrument AI gratuit
Raportul DPC menționează și un caz care atrage atenția asupra folosirii neglijente a inteligenței artificiale la locul de muncă.
O companie financiară din Irlanda a încărcat 32 de CV-uri într-un instrument AI gratuit, pentru a lucra mai eficient. Documentele conțineau fotografii, date din pașapoarte, nume, adrese, date de contact și referințe.
Autoritatea a atras atenția că instrumentele AI gratuite pot deveni un risc major atunci când sunt folosite cu date personale, mai ales fără aprobarea și controlul angajatorului.
Pentru multe companii, tentația este evidentă: angajații folosesc rapid aplicații online pentru a economisi timp. Problema apare atunci când informații confidențiale ajung în servicii externe, fără ca organizația să știe unde sunt stocate, cine le poate vedea și cum pot fi folosite mai departe.
Date medicale cerute inutil de la angajați
Un alt caz analizat de DPC vizează o organizație caritabilă care le cerea angajaților să trimită prin email detalii medicale personale atunci când lipseau de la serviciu din motive de sănătate.
Informațiile ajungeau la departamentele de resurse umane și financiar. Organizația a susținut că avea nevoie de aceste date pentru evidența concediilor medicale și pentru salarizare.
DPC a considerat însă practica excesivă. Autoritatea a stabilit că organizația prelucra date medicale inutile și că departamentul financiar nu avea un motiv legitim să vadă asemenea informații.
Cazul este important și pentru angajații români din Irlanda. Angajatorii pot cere justificări pentru absențele medicale, dar nu au dreptul să colecteze mai multe informații decât este necesar.
Presa și dreptul de a fi uitat
Raportul DPC include și o decizie legată de presă și de așa-numitul „drept de a fi uitat” din GDPR.
O persoană a cerut unui ziar să șteargă un articol despre o condamnare penală. Publicația a refuzat, argumentând că informațiile erau corecte, proveneau din documente ale instanței și rămâneau de interes public.
Data Protection Commission a acceptat argumentele ziarului și a stabilit că, în acel caz, libertatea de exprimare și dreptul publicului la informare au avut prioritate.
Decizia arată că GDPR nu poate fi folosit automat pentru ștergerea articolelor de presă, mai ales atunci când informațiile sunt recente, corecte și legate de proceduri judiciare.
Raportul DPC confirmă că breșele de securitate nu apar doar în urma unor atacuri sofisticate. Uneori, o parolă văzută întâmplător, un telefon primit de la un escroc sau folosirea neglijentă a unui instrument AI pot expune date personale importante. Autoritatea irlandeză spune că va continua să urmărească modul în care organizațiile își protejează sistemele și informațiile aflate în grijă.











