SGGW nie wdrożył wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danym osobowych kandydatów na studia – potwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 13 maja 2021 roku. WSA podtrzymał decyzję Prezesa UODO nakładającą 50 tys. zł kary na uczelnię
Sprawa, którą zajmował się WSA dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. Późniejsza kontrola, jak i postepowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co skończyło się nałożeniem kary pieniężnej.
Przed sądem uczelnia próbowała wykazać, że to nie ona była w istocie administratorem danych, jakie znajdowały się w skradzionym prywatnym komputerze jej pracownika. Jej zdaniem to pracownik był administratorem tych danych, ponieważ bez wiedzy administratora, jak i z naruszeniem wewnętrznych procedur, przetwarzał dane rekrutacyjne studentów z okresu pięciu lat na prywatnym sprzęcie. Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mają być przetwarzane maksymalnie przez okres trzech miesięcy.
Wojewódzki Sąd Administracyjny nie zgodził się z uczelnią i wskazał, że UODO słusznie uznał SGGW jako administratora tych danych. Sąd zaznaczył, że w myśl definicji administratora zawartej w RODO, to uczelnia pełniła tę rolę, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Pracownik, któremu skradziono laptopa z danymi, nie był zaś podmiotem, który samodzielnie decydował o celach i sposobach ich przetwarzania. Czynności przetwarzania wykonywał ponieważ był pracownikiem tej uczelni, zaangażowanym w proces rekrutacji na studia.
Sąd zwrócił uwagę, że pracownik uczelni nie występuje jako odrębny podmiot prawa. Jego działania są tym samym działaniami pracodawcy, który ponosi za nie odpowiedzialność, zachowując w stosunku do zatrudnionej osoby możliwość egzekucji odpowiedzialności odszkodowawczej, porządkowej i dyscyplinarnej. Oceny tej sytuacji nie zmienił fakt, że działania pracownika wykraczały poza powierzone mu obowiązki.
WSA zgodził się z UODO, iż uczelnia naruszyła szereg zasad RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Sąd uznał, że administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. Nie wdrożył w związku z tym odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Tymczasem zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny i to bez rejestrowania tego procesu w systemie informatycznym.
Sąd zgodził się z organem nadzoru, że uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik, jak i nie weryfikowała prawidłowości jego działań.
WSA potwierdził też, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.
UODO