W sprawie chodziło o kradzież prywatnego laptopa pracownika SGGW, na którym zostały zapisane dane osobowe kandydatów na studia. Prezes UODO nałożył na uczelnię karę.
Przed sądem uczelnia próbowała wykazać, że to pracownik był administratorem danych. Bez jej wiedzy i z naruszeniem wewnętrznych procedur przetwarzał dane rekrutacyjne studentów z pięciu lat na prywatnym sprzęcie. SGGW w wewnętrznych regulacjach określiła, że dane kandydatów na studia mają być przetwarzane maksymalnie przez trzy miesiące.
Czytaj też:
Wyciek danych na Politechnice Warszawskiej. Uczelnia chce zwracać wydatki na BIK
WSA nie zgodził się z uczelnią. To SGGW pełniła funkcję administratora, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Zwrócił uwagę, że pracownik uczelni nie występuje jako odrębny podmiot prawa. Jego działania są działaniami pracodawcy, który ponosi za nie odpowiedzialność i może zatrudnioną osobę pociągnąć do odpowiedzialność odszkodowawczej, porządkowej i dyscyplinarnej.