W listopadzie 2019 roku UODO otrzymało zgłoszenie o naruszenie ochrony danych osobowych kandydatów na studia do Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie. Naruszenie owe miało związek z kradzieżą prywatnego laptopa jednego z pracowników uczelni. Laptop wykorzystywany był również do czynności służbowych, między innymi do przetwarzania danych w celach rekrutacyjnych.
Naruszenia zasad poufności
W trakcie audytu RODO i trwającego postępowania administracyjnego, odkryto poważne naruszenie zasad poufności i rozliczalności. Naruszone dane osobowe kandydatów na SGGW z ostatnich pięciu lat, mogły dotyczyć szacunkowo do 100 tys. osób. Dodatkowo administrator nie wiedział, że dane przetwarzane są na prywatnym nośniku pracownika. Materiał dowodowy z toku postępowania ukazuje również brak wiedzy administratora o kontroli całego procesu przetwarzania danych. Pobieranie danych nie było w żaden sposób weryfikowane w systemach informatycznych ani rejestrowane pod kątem ostatecznej lokalizacji i tożsamości osoby przetwarzającej. SGGW nie wdrożyła odpowiednich środków technicznych, aby zapewnić prawomocne bezpieczeństwo przechowywania i przetwarzania danych. Pod wpływem powyższych czynników prezes UODO nałożył na uczelnię karę pieniężną w wysokości 50 tys. zł.
Na wysokość kary miało wpływ również złamanie zasady ograniczenia przechowywania danych przez administratora, określonej w RODO. Dane rekrutacyjne, o które toczył się spór, pochodziły z okresu pięciu lat, co było niezgodne z regulaminem ustalonym przez SGGW. Uczelnia wcześniej zobowiązywała się do przetrzymywania danych osobowych tylko przez trzy miesiące od zakończenia procesu rekrutacji. Inspektor odpowiedzialny za przeprowadzenie audytu RODO, nie był również wprowadzony w przebieg rekrutacji przy użyciu właściwego systemu informatycznego dla tego procesu.
Prezes UODO wymierzając karę pieniężną wziął pod uwagę czynniki łagodzące, takie jak chęć współpracy w trakcie całego postępowania i audytu ochrony danych osobowych, a także usunięcie przyczyny niepoprawnego przetwarzania i zabezpieczenie danych na czas przyszłych rekrutacji.
Obowiązki administratora danych
Obowiązkiem administratora danych definiowanych w RODO, niezależnie od ich ilości, jest zapewnienie wystarczających środków techniczno-organizacyjnych. W ocenie prezesa UODO czynności stosowane przez SGGW były niezadowalające i niezgodne z prawem. Wszelkie nośniki powinny być poddawane przeglądom i uaktualniane, aby dostosować do najnowszych ustaleń prawnych, a także wymagań technicznych. Administrator na samym początku organizacji procesu wdrażania RODO, nie określił poziomu ryzyka, z jakim może się spotkać lub nie dobrał odpowiednich środków do zniwelowania spodziewanego zagrożenia. Chcąc zabezpieczyć systemy w prawnie wymagany sposób, muszą być one nieustannie kontrolowane i testowane, aby zapewnić poufność, integralność i odporność. Również sam administrator powinien kontrolować kto i w jakim stopniu ma dostęp do przetwarzanych przez uczelnię danych.
- UODO ukarał Stołeczny Ośrodek dla Osób Nietrzeźwych - 1 lipca 2022
- Publiczne podawanie wagi niezgodne z zapisami RODO - 28 czerwca 2022
- Organy ochrony danych podejmują współpracę w sprawie platformy Vinted - 18 czerwca 2022