bg
Chcę wiedzieć o...
Strona główna
Artykuły
WSA oddalił skargę SGGW na decyzję Prezesa UODO

WSA oddalił skargę SGGW na decyzję Prezesa UODO

Dodano: 2021-08-04
Publikator: Urząd Ochrony Danych Osobowych

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 13 maja 2021 roku podtrzymał decyzję Prezesa UODO nakładającą 50 tys. kary na SGGW. Sąd potwierdził, że uczelnia nie wdrożyła wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danym osobowym kandydatów na studia.

WSA zajmował się decyzją Prezesa UODO, z listopada 2019, związaną z naruszeniem ochrony danych osobowych kandydatów na studia SGGW. Wtedy to miała miejsce kradzież prywatnego laptopa pracownika uczelni, na którym zapisane były dane osobowe aplikujących. Kontrola oraz postępowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co spowodowało nałożenie kary pieniężnej. Uczelnia próbowała wykazać, że to pracownik, a nie placówka, był administratorem danych. Bez wiedzy administratora, z naruszeniem wewnętrznych procedur, przetwarzał on dane rekrutacyjne studentów z okresu pięciu lat, na sprzęcie prywatnym. W regulaminie uczelni znajdował się zapis, że dane kandydatów mają być przetwarzane maksymalnie przez trzy miesiące.

WSA wskazał, że UDOO słusznie uznał SGGW za administratora danych, bowiem zgodnie z definicją administratora zawartą w RODO, to uczelnia pełniła tę rolę, ponieważ decydowała o celach i sposobach przetwarzania danych osobowych kandydatów. Pracownik, któremu skradziono posiadający dane osobowe laptop, nie występował jako odrębny podmiot prawa.

WSA podzielił pogląd UODO, że uczelnia naruszyła szereg zasad RODO m. in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo. W ocenie Sądu, administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. W związku z tym, nie wdrożył odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny, bez rejestrowania tego procesu w systemie informatycznym.

Sąd potwierdził, że uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik oraz nie weryfikowała prawidłowości jego działań. WSA przyznał, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.

Cała treść uzasadnienia WSA jest dostępna do pobrania w pełnej publikacji na portalu beinsured.pl.  

Pliki do pobrania

wyrok_z_13_maja_2021_r_dotyczacy_skargi_sggw_na_decyzje_karowa_prezesa_uodo.pdf

Artykuły powiązane

Dyrektywa Work-Life Balance

W dniu 9 marca 2023 r. Sejm uchwalił projekt nowelizacji Kodeksu pracy w zakresie dyrektywy Parlamentu Europejskiego i...

Czy dane osobowe będzie można swobodnie „transferować” do USA?

Pod koniec ubiegłego roku Komisja Europejska rozpoczęła proces zmierzający do przyjęcia decyzji w sprawie adekwatności r...

Poradnik Rzecznika Finansowego, czyli kredyt konsumencki nie tylko na Gwiazdkę

Okres świąteczny, który już za nami, nierozłącznie wiąże się ze zwiększonymi wydatkami. Tegoroczne Święta Bożego Narodze...