Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 13 maja 2021 roku podtrzymał decyzję Prezesa UODO nakładającą 50 tys. kary na SGGW. Sąd potwierdził, że uczelnia nie wdrożyła wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danym osobowym kandydatów na studia.
WSA zajmował się decyzją Prezesa UODO, z listopada 2019, związaną z naruszeniem ochrony danych osobowych kandydatów na studia SGGW. Wtedy to miała miejsce kradzież prywatnego laptopa pracownika uczelni, na którym zapisane były dane osobowe aplikujących. Kontrola oraz postępowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co spowodowało nałożenie kary pieniężnej. Uczelnia próbowała wykazać, że to pracownik, a nie placówka, był administratorem danych. Bez wiedzy administratora, z naruszeniem wewnętrznych procedur, przetwarzał on dane rekrutacyjne studentów z okresu pięciu lat, na sprzęcie prywatnym. W regulaminie uczelni znajdował się zapis, że dane kandydatów mają być przetwarzane maksymalnie przez trzy miesiące.
WSA wskazał, że UDOO słusznie uznał SGGW za administratora danych, bowiem zgodnie z definicją administratora zawartą w RODO, to uczelnia pełniła tę rolę, ponieważ decydowała o celach i sposobach przetwarzania danych osobowych kandydatów. Pracownik, któremu skradziono posiadający dane osobowe laptop, nie występował jako odrębny podmiot prawa.
WSA podzielił pogląd UODO, że uczelnia naruszyła szereg zasad RODO m. in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo. W ocenie Sądu, administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. W związku z tym, nie wdrożył odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny, bez rejestrowania tego procesu w systemie informatycznym.
Sąd potwierdził, że uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik oraz nie weryfikowała prawidłowości jego działań. WSA przyznał, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.
Cała treść uzasadnienia WSA jest dostępna do pobrania w pełnej publikacji na portalu beinsured.pl.
