SGGW jednak ma zapłacić karę za naruszenie RODO. WSA oddalił odwołanie uczelni

Szkoła Główna Gospodarstwa Wiejskiego nie wdrożyła wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danym osobowych kandydatów na studia – potwierdził Wojewódzki Sąd Administracyjny w Warszawie i podtrzymał decyzję Prezesa UODO nakładającą 50 tys. zł kary na uczelnię.

Publikacja: 04.08.2021 14:55

Szkoła Główna Gospodarstwa Wiejskiego

Foto: PAP/Rafał Guz

Dorota Gajos-Kaniewska

Wyrok zapadł 13 maja 2021 r., ale dopiero dziś informuje o nim jedna ze stron - Prezes Urzędu Ochrony Danych Osobowych.

Sprawa, którą zajmował się WSA, dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. Kontrola i postępowanie administracyjne UODO wykazały nieprawidłowości po stronie uczelni. Jak wynika z uzasadnienia wyroku, potencjalnie mogły one narazić na szkody nawet 100 tys. osób. PUODO nałożył na SGGW administracyjną karę pieniężną w wysokości 50 tys. zł.

Przed sądem uczelnia próbowała wykazać, że to nie ona była administratorem danych, lecz pracownik, którego prywatny laptop został skradziony. To pracownik bowiem - bez wiedzy uczelni i z naruszeniem wewnętrznych procedur - przetwarzał dane rekrutacyjne studentów na prywatnym sprzęcie i to z ostatnich pięciu lat. Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mogą być przetwarzane przez maksymalnie trzy miesiące.

Wojewódzki Sąd Administracyjny nie zgodził się z uczelnią. Zdaniem sądu, UODO słusznie uznał SGGW jako administratora danych. W myśl definicji administratora zawartej w RODO, to uczelnia pełniła tę rolę, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Pracownik, któremu skradziono laptopa z danymi, nie był zaś podmiotem, który samodzielnie decydował o celach i sposobach ich przetwarzania.

- Z istoty stosunku pracy wynika, że w stosunkach zewnętrznych pracownik nie występuje jako odrębny podmiot prawa (z wyjątkiem, gdy wchodzi w grę jego osobista odpowiedzialność typu karnego czy odpowiedzialność za wykroczenia). Z punktu widzenia prawa jego działania są działaniami pracodawcy i pracodawca ponosi za nie odpowiedzialność, zachowując w stosunku do pracownika regres w postaci możliwości egzekwowania od niego odpowiedzialności odszkodowawczej, porządkowej lub dyscyplinarnej. Zdaniem WSA, nie zmienia tej sytuacji prawnej działanie naruszające czy wykraczające poza zakres powierzonych mu przez pracodawcę zadań i obowiązków pracowniczych (w tym przypadku polegających na przetwarzaniu danych kandydatów na studia) - wskazał Sąd.

WSA zgodził się z UODO, iż uczelnia naruszyła szereg zasad RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Sąd uznał, że administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. Nie wdrożył w związku z tym odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Tymczasem zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny i to bez rejestrowania tego procesu w systemie informatycznym.

- Uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik, jak i nie weryfikowała prawidłowości jego działań - zgodził się Sąd z zarzutami UODO. Zarzuty skargi SGGW uznał za nieuzasadnione i utrzymał karę 50 tys. zł.

Sygn. akt II SA/Wa 2129/20

Szkoły Wyższe Dane Osobowe WSA Orzecznictwo Sądów i Trybunałów

Polityka

Już 1,5 miliona euro kar dziennie. „PiS i Z. Ziobro mogą tym bardziej nie ustąpić”

„Trybunał Sprawiedliwości Unii Europejskiej na wniosek KE postanowił sprawdzić obietnice polityków Prawa i Sprawiedliwości dotyczące likwidacji Izby Dyscyplinarnej Sądu Najwyższego. Tyle tylko, że rachunek może rosnąć w nieskończoność, jeśli tak postanowi Jarosław Kaczyński. Bo nie dogada się ze Zbigniewem Ziobro” – mówią Michał Kolanko i Wojciech Tumidalski z „Rzeczpospolitej”.

Materiał Promocyjny

ŠKODA ENYAQ iV. Wszechstronny elektryczny SUV dla firm

To zastrzyk energii dla biznesu. Dowiedz się, ile możesz zyskać korzystając z rządowego dofinansowania.

Nieruchomości

Nie buduj i nie kupuj małych domów z Polskiego Ładu - radzą prawnicy

Eksperci przestrzegają przed małymi domami z Polskiego Ładu. Ustawa wprowadzająca specścieżkę inwestycyjną dla nich czeka na podpis prezydenta.

Praca, Emerytury i renty

14. emerytura w listopadzie 2021 roku - dla kogo i w jakiej wysokości

Już w listopadzie ponad 9 mln emerytów może liczyć na wypłatę 14. emerytury. Będzie to świadczenie wypłacone jednorazowo i nie każdy emeryt otrzyma pełną kwotę. Niektórzy nie dostaną ani złotówki - pisze portal Onet.pl.

Wicepremier Jarosław Kaczyński oraz minister obrony narodowej Mariusz Błaszczak podczas konferencji

Mundurowi

Jak Kaczyński i Błaszczak chcą zrobić z Polski militarne mocarstwo

Łatwiejsza rekrutacja, wyższe zarobki i kontrowersyjne źródła finansowania mają zwiększyć armię ze 120 tys. do 250 tys. żołnierzy.

Materiał Promocyjny

Nowe reguły męskiego dress codu

Zmieniający się rytm życia, jego tempo, wielozadaniowość i konieczność szybkiego przemieszczania się narzuciły niezbędne zmiany w podejściu do codziennej, męskiej elegancji.