Szkoła Główna Gospodarstwa Wiejskiego jeszcze w 2020 r. za niewdrożenie odpowiednich środków bezpieczeństwa danych została ukarana przez Prezesa UODO karą finansową na kwotę 50 tys. zł. Jak się okazało, skargę uczelni na tę decyzję oddalił Wojewódzki Sąd Administracyjny w Warszawie.
Zdarzenie, które doprowadziło do ukarania uczelni, miało miejsce w listopadzie 2019 r. Jak się okazało, doszło wtedydo kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. W toku postępowania stwierdzono nieprawidłowości u administratora danych, dlatego został on ukarany.
Więcej na temat decyzji Prezesa UODO przeczytasz tutaj>>
SGGW złożyła skargę na tę decyzję. W skardze tej argumentowała, że to nie ona była administratorem danych znajdujących się w skradzionym prywatnym komputerze pracownika. Innymi słowy podnosiła, że administratorem tych danych mógł być jedynie pracownik, ponieważ przetwarzał on dane osobowe studentów bez wiedzy administratora i to z naruszeniem wewnętrznych regulacji tj. przez okres dłuższy niż dopuszczalny w uczelnianych przepisach.
Sąd nie podzielił jednak stanowiska uczelni. Wskazał, że pracownik uczelni nie mógł występować jako odrębny administrator lecz jedynie w imieniu tego administratora. Pracodawca ponosił więc odpowiedzialność względem swojego pracownika, co zresztą mógł egzekwować – także wówczas, gdy działania pracownika wykraczały poza powierzone mu obowiązki.
Jednocześnie sąd potwierdził naruszenie wielu zasad RODO w szczególności reguły integralności i poufności. Dane osobowe co oczywiste nie były przetwarzane z zachowaniem odpowiedniego poziomu bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Uczelni zarzucono też nieprzeprowadzenie analizy ryzyka.
Przede wszystkim zaś wskazano, że uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik, jak i nie weryfikowała prawidłowości jego działań.
strona internetowa UODO (uodo.gov.pl)
wyrok Wojewódzkiego Sądu Administracyjnego z 13 maja 2021 r. II SA/Wa 2129/20
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
