SGGW odpowie za utratę danych studentów. Uczelnia ma zapłacić karę

OGLĄDAJ TVN24 W INTERNECIE >>>

Kontrola w Szkole Głównej Gospodarstwa Wiejskiego rozpoczęła się w listopadzie ubiegłego roku, gdy doszło do kradzieży komputera przenośnego jednego z pracowników. Na jego dysku przechowywane były dane osób, które aplikowały na SGGW w ostatnich pięciu latach. Jak podkreślono w czwartkowym komunikacie Urzędu Ochrony Danych Osobowych, laptop był sprzętem prywatnym, który pracownik wykorzystywał także w celach służbowych.

Po zakończeniu kontroli prezes UODO wszczął w tej sprawie postępowanie administracyjne. Na podstawie zebranych dowodów postanowił też nałożyć na uczelnię karę pieniężną w wysokości 50 tysięcy złotych. "Decydując o wysokości kary, organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tysięcy (górna granica)" - informuje UODO.

W komunikacie podkreślono, że na wysokość kary wpłynął też fakt, że "administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym".

Zdaniem urzędu te okoliczności świadczą o naruszeniu zasady poufności i rozliczalności, które określone są w RODO. Dodatkowym uchybieniem ma być także okres przetwarzania danych kandydatów na studia, niezgodny z terminem wyznaczonym przez uczelnię na trzy miesiące od momentu zakończenia rekrutacji. Jak wskazano w komunikacie, stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.

"Ponadto w wyniku przeprowadzonego postępowania ustalono, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia" - dodano.

Prezes UODO ma także zastrzeżenia wobec inspektora ochrony danych, który "wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania". Dodatkowo urząd podaje, że nie był on angażowany przez SGGW w proces rekrutacji na studia obejmujący funkcjonowanie systemu. "Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych" - zaznaczono w komunikacie.

Na zakończenie dodano, że przy wymierzaniu kary uwzględniono też okoliczności łagodzące: dobrą współpracę podczas kontroli i postępowania administracyjnego, podjęcie działań w celu usunięcia naruszenia i wdrożenie zasad zabezpieczających proces przetwarzania danych w przyszłości.