Wyrok zapadł 13 maja 2021 r., ale dopiero dziś informuje o nim jedna ze stron - Prezes Urzędu Ochrony Danych Osobowych.
Sprawa, którą zajmował się WSA, dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. Kontrola i postępowanie administracyjne UODO wykazały nieprawidłowości po stronie uczelni. Jak wynika z uzasadnienia wyroku, potencjalnie mogły one narazić na szkody nawet 100 tys. osób. PUODO nałożył na SGGW administracyjną karę pieniężną w wysokości 50 tys. zł.
Przed sądem uczelnia próbowała wykazać, że to nie ona była administratorem danych, lecz pracownik, którego prywatny laptop został skradziony. To pracownik bowiem - bez wiedzy uczelni i z naruszeniem wewnętrznych procedur - przetwarzał dane rekrutacyjne studentów na prywatnym sprzęcie i to z ostatnich pięciu lat. Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mogą być przetwarzane przez maksymalnie trzy miesiące.
Wojewódzki Sąd Administracyjny nie zgodził się z uczelnią. Zdaniem sądu, UODO słusznie uznał SGGW jako administratora danych. W myśl definicji administratora zawartej w RODO, to uczelnia pełniła tę rolę, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Pracownik, któremu skradziono laptopa z danymi, nie był zaś podmiotem, który samodzielnie decydował o celach i sposobach ich przetwarzania.
- Z istoty stosunku pracy wynika, że w stosunkach zewnętrznych pracownik nie występuje jako odrębny podmiot prawa (z wyjątkiem, gdy wchodzi w grę jego osobista odpowiedzialność typu karnego czy odpowiedzialność za wykroczenia). Z punktu widzenia prawa jego działania są działaniami pracodawcy i pracodawca ponosi za nie odpowiedzialność, zachowując w stosunku do pracownika regres w postaci możliwości egzekwowania od niego odpowiedzialności odszkodowawczej, porządkowej lub dyscyplinarnej. Zdaniem WSA, nie zmienia tej sytuacji prawnej działanie naruszające czy wykraczające poza zakres powierzonych mu przez pracodawcę zadań i obowiązków pracowniczych (w tym przypadku polegających na przetwarzaniu danych kandydatów na studia) - wskazał Sąd.
WSA zgodził się z UODO, iż uczelnia naruszyła szereg zasad RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Sąd uznał, że administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. Nie wdrożył w związku z tym odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Tymczasem zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny i to bez rejestrowania tego procesu w systemie informatycznym.
- Uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik, jak i nie weryfikowała prawidłowości jego działań - zgodził się Sąd z zarzutami UODO. Zarzuty skargi SGGW uznał za nieuzasadnione i utrzymał karę 50 tys. zł.
Sygn. akt II SA/Wa 2129/20
