50 tysięcy złotych kary dla SGGW

W listopadzie 2019 r. otrzymał zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW. Jak wynika ze zgłoszenia, doszło do kradzieży przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych. Na urządzeniu przechowywane były dane osobowe kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych.

Po przeprowadzeniu postępowania Prezes UODO zdecydował o nałożeniu na SGGW kary finansowej w wysokości 50 tys. zł. W wymiarze kary wzięto pod uwagę fakt, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich 5 lat, obejmowało szeroki zakres danych, zaś liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica). Poza tym administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Uczelnia nie wdrożyła przy tym adekwatnych środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia. W efekcie doszło do naruszenia zasady poufności i rozliczalności.

Stwierdzono także inne uchybienia. Otóż przetwarzano dane osobowe kandydatów na studia pochodzące z okresu 5 lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Tym samym doszło do naruszenia reguły ograniczenia przechowywania.

Orzecznictwo:

• Decyzja Prezesa UODO z 21 sierpnia 2020 r. (ZSOŚS.421.25.2019).