25 wrz Kara Prezesa UODO za naruszenie ochrony danych osobowych
Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną administracyjną karę pieniężną w wysokości 50.000 zł. Tym razem podmiotem ukaranym została Szkoła Główna Gospodarstwa Wiejskiego w Warszawie.
Kara została nałożona na uczelnię w związku ze zgłoszonym przez nią w listopadzie 2019 r. naruszeniem ochrony danych osobowych do Urzędu Ochrony Danych Osobowych. Miało ono związek z kradzieżą prywatnego laptopa jednego z pracowników SGGW, którego używał także do celów służbowych, między innymi na potrzeby przeprowadzania procesów rekrutacyjnych kandydatów na studia na ww. uczelni.
Podstawy naruszenia
Zakres zarzutów pod adresem SGGW był dość obszerny. UODO ustalił, że uczelnia będąc administratorem danych osobowych kandydatów na studia dopuściła się naruszenia przepisów w zakresie ochrony danych osobowych. Z decyzji Prezesa UODO wynika, że polegało ono na:
- dokonaniu przez SGGW w sposób niewystarczający oceny skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów,
- nieuwzględnieniu przez uczelnię w sposób wystarczający, zasady rozliczalności o której mowa w przepisach RODO,
- wypełnianiu przez IOD, powołanego w SGGW, zadań bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania,
- nieuwzględnieniu w rejestrze czynności danych osobowych kandydatów na studia pierwszego i drugiego stopnia oraz jednolitych studiów magisterskich.
Na co Prezes UODO zwrócił szczególną uwagę?
Wydając decyzję stwierdzającą naruszenie przepisów o ochronie danych osobowych i nakładającą karę na uczelnię, Prezes UODO wziął pod uwagę fakt, że dotyczyło ono kandydatów na studia w SGGW z okresu ostatnich 5 lat i liczba osób, których naruszenie mogło dotyczyć została wskazana (jako górna granica) na 100.000.
Znaczące dla sprawy było również to, że uczelnia nie wiedziała o przetwarzaniu danych osobowych kandydatów na studia na prywatnym komputerze pracownika (którego urządzenie zostało skradzione), a także to, że nie kontrolowała procesu przetwarzania danych, ponieważ nie zweryfikowała na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia z systemu informatycznego oraz nie rejestrowano tych działań w systemie informatycznym. Prezes UODO stwierdził, że powyższe świadczy o naruszeniu zasady poufności i rozliczalności opisanej w RODO.
W toku prowadzonego postępowania ustalono również, że SGGW, jako administrator danych osobowych kandydatów na studia, nie wypełniła w sposób wystarczający swoich obowiązków, których celem jest zapewnienie wdrożenia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo przetwarzania danych osobowych. Prezes UODO uznał, że uczelnia nie monitorowała na bieżąco ww. środków, co przejawiało się w braku uaktualniania uprzednio przyjętych zabezpieczeń.
Ważną kwestią jest także to, że SGGW jako okres przechowywania danych kandydatów na studia wskazała 3 miesiące, co było niezgodne z ustaleniami organu nadzorczego w toku prowadzonego postępowania – przetwarzane dane osobowe kandydatów dotyczyły ostatnich 5 lat prowadzonych rekrutacji. Wobec tego Prezes UODO uznał, że uczelnia naruszyła zasadę ograniczenia przechowywania, o której mowa w przepisach RODO.
Złagodzenie kary dzięki współpracy z organem
Wydając decyzję o nałożeniu kary w związku z naruszeniem ochrony danych, Prezes UODO wziął pod uwagę (jako okoliczności łagodzące) to, że SGGW wyróżniła się dobrą współpracą z UODO zarówno w toku przeprowadzonej kontroli, jak też w trakcie trwania postępowania administracyjnego w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Co więcej SGGW przesłała w wyznaczonym terminie wyjaśnienia, udzieliła odpowiedzi Prezesowi UODO, a także zapewniła o bezpieczeństwie przetwarzania danych osobowych na uczelni w przyszłości.
Potwierdza się teoria opłacalności współpracy z organem nadzorczym – mimo szeregu zarzutów Prezes UODO uwzględnił aktywną postawę uczelni.