Na laptopie skradzionym pracownikowi uczelni jeszcze w listopadzie zeszłego roku zapisane były dane kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego. Wszystko wskazuje na to, że mogły to być dane – takie jak: imię i nazwisko, data urodzenia, ukończona szkoła średnia, PESEL, numer telefonu, adres e-mail czy wynik egzaminu maturalnego – nawet kilku tysięcy osób.
Kontrola przeprowadzona przez prezesa Urzędu Ochrony Danych Osobowych wykazała nieprawidłowości systemu ochrony danych na uczelni – zarówno od strony technicznej, jak i organizacyjnej. Stwierdzono naruszenie obowiązków zapisanych w art. 24 ust. 1 RODO, nakazujących ciągły przegląd i aktualizację polityki bezpieczeństwa danych osobowych, przyjętą na uczelni.
Czytaj także:
Wyciek danych studentów: PUODO wszczął postępowanie wobec SGGW
W toku kontroli stwierdzono też, że administrator nie poddawał należytym przeglądom procesu przetwarzania danych osobowych kandydatów na studia. W związku z tym administrator nie wiedział dostatecznie dużo o ryzyku związanym z tym przetwarzaniem i nie podejmował właściwych działań wynikających m.in. z art. 25 ust. 1 czy 32 ust. 1 lit. b i d RODO. Kontrola wykazała również uchybienia w sposobie sprawowania funkcji inspektora ochrony danych, który m.in. nie wypełniał swoich zadań zgodnie z art. 39 ust. 2 RODO, tj. z należytym uwzględnianiem ryzyka związanego z operacjami przetwarzania.