Kara dla SGGW – ciąg dalszy

SGGW odwołało się od kary UODO – bezskutecznie

Zapadł wyrok w sprawie odwołania decyzji UODO nakładającej karę na SGGW za uchybienia w związku z rekrutacją studentów w 2019 roku. Finał sprawy ogłosił WSA 13 maja 2021. Podtrzymano wcześniejszą decyzję wobec uczelni.

Uchybienia w ochronie danych kandydatów na studia

Problemy SGGW zaczęły się, gdy doszło do incydentu z kradzieżą laptopa pracownika uczelni. W toku postępowania UODO okazało się, że na prywatnym sprzęcie były zapisane dane osobowe przyszłych studentów. Mimo wewnętrznych procedur, wykradzione zostały dane rekrutacyjne studentów z okresu pięciu lat. W tym przypadku pracownik dopuścił się przekroczenia uprawnień. Doprowadziło ono do poważnego naruszenia ochrony danych osobowych. Jednak w ocenie organu nadzoru to uczelnia, jako administrator ponosi odpowiedzialność za sytuację. W konsekwencji wykrytych nieprawidłowości nałożono karę pieniężną – 50 tyś zł.

Strategia obrony SGGW przed karą

Ukarana uczelnia mimo wykazanych w postępowaniu administracyjnym uchybień chciała uniknąć kary. Zakwestionowano wyniki kontroli, próbując dowodzić przed sądem, że w zaistniałej sytuacji to pracownik pełnił rolę administratora danych. Zdaniem SGGW obowiązywały procedury nakazujące przetwarzać dane kandydatów na studia przez okres do 3 miesięcy. Organy uczelniane nie posiadały wiedzy, ani nie wyraziły zgody, by pracownik przetwarzał dane osobowe przez okres dłuższy. Według SGGW  realizował on obowiązki w związku z procesem rekrutacji na studia. Nie był jednak uprawniony do czynności takich jak eksportowanie danych z Systemu Obsługi Kandydatów na nośniki zewnętrzne.

Zarzuty wobec uczelni podtrzymane przez Sąd

W ocenie WSA działania kontrolne i decyzja UODO są prawidłowe. Sąd nie przychylił się do interpretacji przepisów SSGW. W orzeczeniu jednoznacznie stwierdza się, że kara jest należna. Okoliczności, które doprowadziły do kradzieży danych kandydatów na studia są niedopuszczalne. Organy uczelniane  nie wdrożyły wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danych. Definicja administratora według RODO jasno wskazuje, że to uczelnia pełniła tę rolę. Była zatem odpowiedzialna nie tylko za określenie celów i sposobów przetwarzania danych osobowych, ale też za działania pracowników. Nie można traktować pracownika jako odrębny podmiot prawa. Pracodawca ma możliwość egzekucji odpowiedzialności odszkodowawczej, porządkowej i dyscyplinarnej. Nie ma jednak podstaw, by przerzucać na niego obowiązki administratora.

To administrator ponosi odpowiedzialność. Do niego należało przeprowadzenie analizy ryzyka oraz jego ocena. Zagrożenia nie były rzetelnie uwzględnione. Uczelnia nie miała wdrożonych procedur pozwalających na efektywne zabezpieczenie przetwarzanych danych. Środki techniczne i organizacyjne stosowane przez podmiot były nieadekwatne. Stąd w ocenie sądu SGGW nie kontrowało należycie procesu przetwarzania danych.

Źródło:

  1. https://uodo.gov.pl/pl/138/2128

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres e-mail.
You need to agree with the terms to proceed

Menu