SGGW w Warszawie otrzymała karę za naruszenie zasad poufności i przetwarzania danych osobowych

W listopadzie 2019 roku UODO otrzymało zgłoszenie o naruszenie ochrony danych osobowych kandydatów na studia do Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie. Naruszenie owe miało związek z kradzieżą prywatnego laptopa jednego z pracowników uczelni. Laptop wykorzystywany był również do czynności służbowych, między innymi do przetwarzania danych w celach rekrutacyjnych.

Naruszenia zasad poufności

W trakcie audytu RODO i trwającego postępowania administracyjnego, odkryto poważne naruszenie zasad poufności i rozliczalności. Naruszone dane osobowe kandydatów na SGGW z ostatnich pięciu lat, mogły dotyczyć szacunkowo do 100 tys. osób. Dodatkowo administrator nie wiedział, że dane przetwarzane są na prywatnym nośniku pracownika. Materiał dowodowy z toku postępowania ukazuje również brak wiedzy administratora o kontroli całego procesu przetwarzania danych. Pobieranie danych nie było w żaden sposób weryfikowane w systemach informatycznych ani rejestrowane pod kątem ostatecznej lokalizacji i tożsamości osoby przetwarzającej. SGGW nie wdrożyła odpowiednich środków technicznych, aby zapewnić prawomocne bezpieczeństwo przechowywania i przetwarzania danych. Pod wpływem powyższych czynników prezes UODO nałożył na uczelnię karę pieniężną w wysokości 50 tys. zł.

Na wysokość kary miało wpływ również złamanie zasady ograniczenia przechowywania danych przez administratora, określonej w RODO. Dane rekrutacyjne, o które toczył się spór, pochodziły z okresu pięciu lat, co było niezgodne z regulaminem ustalonym przez SGGW. Uczelnia wcześniej zobowiązywała się do przetrzymywania danych osobowych tylko przez trzy miesiące od zakończenia procesu rekrutacji. Inspektor odpowiedzialny za przeprowadzenie audytu RODO, nie był również wprowadzony w przebieg rekrutacji przy użyciu właściwego systemu informatycznego dla tego procesu.

Prezes UODO wymierzając karę pieniężną wziął pod uwagę czynniki łagodzące, takie jak chęć współpracy w trakcie całego postępowania i audytu ochrony danych osobowych, a także usunięcie przyczyny niepoprawnego przetwarzania i zabezpieczenie danych na czas przyszłych rekrutacji.

Obowiązki administratora danych

Obowiązkiem administratora danych definiowanych w RODO, niezależnie od ich ilości, jest zapewnienie wystarczających środków techniczno-organizacyjnych. W ocenie prezesa UODO czynności stosowane przez SGGW były niezadowalające i niezgodne z prawem. Wszelkie nośniki powinny być poddawane przeglądom i uaktualniane, aby dostosować do najnowszych ustaleń prawnych, a także wymagań technicznych. Administrator na samym początku organizacji procesu wdrażania RODO, nie określił poziomu ryzyka, z jakim może się spotkać lub nie dobrał odpowiednich środków do zniwelowania spodziewanego zagrożenia. Chcąc zabezpieczyć systemy w prawnie wymagany sposób, muszą być one nieustannie kontrolowane i testowane, aby zapewnić poufność, integralność i odporność. Również sam administrator powinien kontrolować kto i w jakim stopniu ma dostęp do przetwarzanych przez uczelnię danych.

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu