W sprawie chodziło o kradzież prywatnego laptopa pracownika SGGW, na którym zostały zapisane dane osobowe kandydatów na studia. Prezes UODO nałożył na uczelnię karę.

Przed sądem uczelnia próbowała wykazać, że to pracownik był administratorem danych. Bez jej wiedzy i z naruszeniem wewnętrznych procedur przetwarzał dane rekrutacyjne studentów z pięciu lat na prywatnym sprzęcie. SGGW w wewnętrznych regulacjach określiła, że dane kandydatów na studia mają być przetwarzane maksymalnie przez trzy miesiące.

Czytaj też:

Wyciek danych na Politechnice Warszawskiej. Uczelnia chce zwracać wydatki na BIK

WSA nie zgodził się z uczelnią. To SGGW pełniła funkcję administratora, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Zwrócił uwagę, że pracownik uczelni nie występuje jako odrębny podmiot prawa. Jego działania są działaniami pracodawcy, który ponosi za nie odpowiedzialność i może zatrudnioną osobę pociągnąć do odpowiedzialność odszkodowawczej, porządkowej i dyscyplinarnej.

WSA zgodził się z UODO, iż uczelnia naruszyła zasady RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą. Administrator nie przeprowadził analizy ryzyka i nie ocenił, z jakimi zagrożeniami ma do czynienia. Nie wdrożył odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Zagrożeniem dla przetwarzanych danych była możliwość ich eksportowania z Systemu Obsługi Kandydatów na nośnik zewnętrzny, i to bez rejestrowania tego procesu w systemie informatycznym.

– Sąd nałożył karę na administratora za niewłaściwe wykonywanie funkcji przez inspektora ochrony danych. W mojej ocenie administrator podlega karze tylko za naruszenie jego obowiązków wynikających z 36–39 RODO, a nie za uchybienie swoim obowiązkom przez samego inspektora. Jedynie adresat obowiązku może zostać ukarany za jego naruszenie – komentuje prof. Grzegorz Sibiga. I dodaje, że wyrok otwiera pole do dyskusji o odpowiedzialności inspektora danych osobowych przed administratorem, jeżeli sposób wykonywania przez niego funkcji stał się przyczyną ukarania administratora.

Sygnatura akt: II SA/Wa 2129/20