Rzeczpospolita
Prawo

SGGW jednak ma zapłacić karę za naruszenie RODO. WSA oddalił odwołanie uczelni

Szkoła Główna Gospodarstwa Wiejskiego nie wdrożyła wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danym osobowych kandydatów na studia – potwierdził Wojewódzki Sąd Administracyjny w Warszawie i podtrzymał decyzję Prezesa UODO nakładającą 50 tys. zł kary na uczelnię.

Publikacja: 04.08.2021 14:55

Szkoła Główna Gospodarstwa Wiejskiego

Szkoła Główna Gospodarstwa Wiejskiego

Foto: PAP/Rafał Guz

Dorota Gajos-Kaniewska

Wyrok zapadł 13 maja 2021 r., ale dopiero dziś informuje o nim jedna ze stron - Prezes Urzędu Ochrony Danych Osobowych.

Sprawa, którą zajmował się WSA, dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. Kontrola i postępowanie administracyjne UODO wykazały nieprawidłowości po stronie uczelni. Jak wynika z uzasadnienia wyroku, potencjalnie mogły one narazić na szkody nawet 100 tys. osób. PUODO nałożył na SGGW administracyjną karę pieniężną w wysokości 50 tys. zł.

Przed sądem uczelnia próbowała wykazać, że to nie ona była administratorem danych, lecz pracownik, którego prywatny laptop został  skradziony. To pracownik bowiem - bez wiedzy uczelni i z naruszeniem wewnętrznych procedur - przetwarzał dane rekrutacyjne studentów  na prywatnym sprzęcie i to z ostatnich pięciu lat. Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mogą być przetwarzane przez maksymalnie trzy miesiące.

Wojewódzki Sąd Administracyjny nie zgodził się z uczelnią. Zdaniem sądu, UODO słusznie uznał SGGW jako administratora danych. W myśl definicji administratora zawartej w RODO, to uczelnia pełniła tę rolę, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Pracownik, któremu skradziono laptopa z danymi, nie był zaś podmiotem, który samodzielnie decydował o celach i sposobach ich przetwarzania.

- Z istoty stosunku pracy wynika, że w stosunkach zewnętrznych pracownik nie występuje jako odrębny podmiot prawa (z wyjątkiem, gdy wchodzi w grę jego osobista odpowiedzialność typu karnego czy odpowiedzialność za wykroczenia). Z punktu widzenia prawa jego działania są działaniami pracodawcy i pracodawca ponosi za nie odpowiedzialność, zachowując w stosunku do pracownika regres w postaci możliwości egzekwowania od niego odpowiedzialności odszkodowawczej, porządkowej lub dyscyplinarnej. Zdaniem WSA, nie zmienia tej sytuacji prawnej działanie naruszające czy wykraczające poza zakres powierzonych mu przez pracodawcę zadań i obowiązków pracowniczych (w tym przypadku polegających na przetwarzaniu danych kandydatów na studia) - wskazał Sąd.

WSA  zgodził się z UODO, iż uczelnia naruszyła szereg zasad RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Sąd uznał, że administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. Nie wdrożył w związku z tym odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Tymczasem zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny i to bez rejestrowania tego procesu w systemie informatycznym.

- Uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik, jak i nie weryfikowała prawidłowości jego działań - zgodził się Sąd z zarzutami UODO. Zarzuty skargi SGGW uznał za nieuzasadnione i utrzymał karę  50 tys. zł.

Sygn. akt II SA/Wa 2129/20

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Szkoły Wyższe Dane Osobowe WSA Orzecznictwo Sądów i Trybunałów

Wyrok zapadł 13 maja 2021 r., ale dopiero dziś informuje o nim jedna ze stron - Prezes Urzędu Ochrony Danych Osobowych.

Sprawa, którą zajmował się WSA, dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. Kontrola i postępowanie administracyjne UODO wykazały nieprawidłowości po stronie uczelni. Jak wynika z uzasadnienia wyroku, potencjalnie mogły one narazić na szkody nawet 100 tys. osób. PUODO nałożył na SGGW administracyjną karę pieniężną w wysokości 50 tys. zł.

Pozostało 80% artykułu
Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA
Podatki
Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA
Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!
Materiał Promocyjny
Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!
Premier Donald Tusk
Prawo w Polsce
Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"
Terminy ferii zimowych 2025
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw
Ile trzeba zarabiać, żeby na konto trafiło 5000 zł
Praca, Emerytury i renty
Ile trzeba zarabiać, żeby na konto trafiło 5000 zł
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wceminister sp
Prawo karne
Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach
Opel Movano w leasingu 105% – sprawdź teraz!
Materiał Promocyjny
Opel Movano w leasingu 105% – sprawdź teraz!
Advertisement
e-Wydanie