Warszawska uczelnia zapłaci karę. Sąd potrzymał decyzję Prezesa UODO

Jak wskazuje Urząd Ochrony Danych Osobowych (UODO) w oficjalnym komunikacie, sprawa, którą zajmował się WSA dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. „Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. Późniejsza kontrola, jak i postępowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co skończyło się nałożeniem kary pieniężnej” - przypomina Urząd.

Tłumacząc swoje działania uczelnia przed sądem stwierdziła, że to nie ona była w rzeczywistości administratorem danych, jakie znajdowały się w bazie na skradzionym prywatnym komputerze pracownika instytucji. W związku z tym (SGGW) próbowała wykazać, że to właśnie on był administratorem danych ze względu na fakt, że bez wiedzy administratora i z naruszeniem wewnętrznych przepisów przetwarzał dane rekrutacyjne studentów z okresu pięciu lat na prywatnym urządzeniu. „Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mają być przetwarzane maksymalnie  przez okres trzech miesięcy” - czytamy w komunikacie.

Pracownik uczelni nie występuje jako odrębny podmiot prawa

WSA nie zgodził się ze stanowiskiem i argumentacją Szkoły Głównej Gospodarstwa Wiejskiego, podkreślając, że UODO słusznie uznał SGGW jako administratora tych danych. „Sąd zaznaczył, że w myśl definicji administratora zawartej w RODO, to uczelnia pełniła tę rolę, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Pracownik, któremu skradziono laptopa z danymi, nie był zaś podmiotem, który samodzielnie decydował o celach i sposobach ich przetwarzania. Czynności przetwarzania wykonywał ponieważ był pracownikiem tej uczelni, zaangażowanym w proces rekrutacji na studia” - wskazuje UODO.

WSA zaznaczył, że pracownik uczelni nie występuje jako odrębny podmiot prawa. „Jego działania są tym samym działaniami pracodawcy, który ponosi za nie odpowiedzialność, zachowując w stosunku do zatrudnionej osoby możliwość egzekucji odpowiedzialności odszkodowawczej, porządkowej i dyscyplinarnej. Oceny tej sytuacji nie zmienił fakt, że działania pracownika wykraczały poza powierzone mu obowiązki” - czytamy w komunikacie.

WSA popiera UODO

Tym samym sąd zgodził się z UODO, wskazując, że SGGW naruszyła szereg zasad RODO, w tym m.in. zasadę integralności i poufności. WSA stwierdził, że administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. „Nie wdrożył w związku z tym odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Tymczasem zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny i to bez rejestrowania tego procesu w systemie informatycznym” - podkreśla UODO.

Wymiar sprawiedliwości potwierdził, że Szkoła Główna Gospodarstwa Wiejskiego nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik, jak i nie weryfikowała prawidłowości jego działań.

Sąd zaznaczył również, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.