WSA: SGGW ukarana za niezabezpieczenie danych osobowych kandydatów na studia

WSA zgodził się z UODO, iż uczelnia naruszyła zasady RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą. Administrator nie przeprowadził analizy ryzyka i nie ocenił, z jakimi zagrożeniami ma do czynienia. Nie wdrożył odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Zagrożeniem dla przetwarzanych danych była możliwość ich eksportowania z Systemu Obsługi Kandydatów na nośnik zewnętrzny, i to bez rejestrowania tego procesu w systemie informatycznym.

– Sąd nałożył karę na administratora za niewłaściwe wykonywanie funkcji przez inspektora ochrony danych. W mojej ocenie administrator podlega karze tylko za naruszenie jego obowiązków wynikających z 36–39 RODO, a nie za uchybienie swoim obowiązkom przez samego inspektora. Jedynie adresat obowiązku może zostać ukarany za jego naruszenie – komentuje prof. Grzegorz Sibiga. I dodaje, że wyrok otwiera pole do dyskusji o odpowiedzialności inspektora danych osobowych przed administratorem, jeżeli sposób wykonywania przez niego funkcji stał się przyczyną ukarania administratora.

Sygnatura akt: II SA/Wa 2129/20