Skradziony jesienią ub. r. laptop, na którym były dane kandydatów na studia w SGGW, był wykorzystywany zarówno do celów prywatnych, jak i służbowych – na laptopie przetwarzane były dane osobowe w związku z rekrutacją kandydatów na studia. To jednak nie wszystkie ustalenia poczynione w związku z kontrolą Prezesa UODO przeprowadzoną po naruszeniu, do którego doszło na SGGW.
- Kontrola wykazała wyraźne dysfunkcje systemu ochrony danych na uczelni - zarówno od strony technicznej, jak i organizacyjnej. Stwierdzono naruszenie przepisów o ochronie danych osobowych odnoszących się do obowiązków ciążących na administratorze m.in. z art. 24 ust. 1 RODO w kontekście braku aktualizacji i przeglądów polityk bezpieczeństwa przyjętych na uczelni - podał w komunikacje Urząd Ochrony Danych Osobowych.
Kontrolerzy stwierdzili m.in., że uczelnia nie poddawała należytym przeglądom procesu przetwarzania danych osobowych kandydatów na studia. Dlatego nie miała dostatecznej wiedzy o ryzyku związanym z tym przetwarzaniem i nie podejmowała właściwych działań wynikających z przepisów RODO. Były też uchybienia związane ze sposobem sprawowania funkcji inspektora ochrony danych, który m.in. nie wypełniał swoich zadań zgodnie z RODO.
Postępowanie, które wszczął PUODO, ma przywrócić stan zgodny z prawem.
Przepisy RODO przewidują, że Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z uprawnień, jakie mu przysługują na podstawie RODO. Mogą to być np. upomnienia, ostrzeżenia, nakazy dostosowania operacji przetwarzania do przepisów o ochronie danych osobowych. Prezes UODO może też nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy. Przy czym nałożenie takiej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na możliwość zastosowania przez Prezesa UODO innych uprawnień, czy też sankcji.
