bg
Chcę wiedzieć o...
Strona główna
Artykuły
WSA oddalił skargę SGGW na decyzję Prezesa UODO

WSA oddalił skargę SGGW na decyzję Prezesa UODO

Dodano: 2021-08-04
Publikator: Urząd Ochrony Danych Osobowych

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 13 maja 2021 roku podtrzymał decyzję Prezesa UODO nakładającą 50 tys. kary na SGGW. Sąd potwierdził, że uczelnia nie wdrożyła wystarczających środków technicznych i organizacyjnych, by zapewnić bezpieczeństwo danym osobowym kandydatów na studia.

WSA zajmował się decyzją Prezesa UODO, z listopada 2019, związaną z naruszeniem ochrony danych osobowych kandydatów na studia SGGW. Wtedy to miała miejsce kradzież prywatnego laptopa pracownika uczelni, na którym zapisane były dane osobowe aplikujących. Kontrola oraz postępowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co spowodowało nałożenie kary pieniężnej. Uczelnia próbowała wykazać, że to pracownik, a nie placówka, był administratorem danych. Bez wiedzy administratora, z naruszeniem wewnętrznych procedur, przetwarzał on dane rekrutacyjne studentów z okresu pięciu lat, na sprzęcie prywatnym. W regulaminie uczelni znajdował się zapis, że dane kandydatów mają być przetwarzane maksymalnie przez trzy miesiące.

WSA wskazał, że UDOO słusznie uznał SGGW za administratora danych, bowiem zgodnie z definicją administratora zawartą w RODO, to uczelnia pełniła tę rolę, ponieważ decydowała o celach i sposobach przetwarzania danych osobowych kandydatów. Pracownik, któremu skradziono posiadający dane osobowe laptop, nie występował jako odrębny podmiot prawa.

WSA podzielił pogląd UODO, że uczelnia naruszyła szereg zasad RODO m. in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo. W ocenie Sądu, administrator nie przeprowadził analizy ryzyka i nie ocenił z jakimi zagrożeniami ma do czynienia. W związku z tym, nie wdrożył odpowiednich środków technicznych i organizacyjnych, pozwalających skutecznie zabezpieczyć przetwarzane dane. Zagrożeniem dla przetwarzanych przez SGGW danych, była możliwość eksportowania danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny, bez rejestrowania tego procesu w systemie informatycznym.

Sąd potwierdził, że uczelnia nie kontrolowała w sposób dostateczny procesu przetwarzania danych, w którym uczestniczył jej pracownik oraz nie weryfikowała prawidłowości jego działań. WSA przyznał, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.

Cała treść uzasadnienia WSA jest dostępna do pobrania w pełnej publikacji na portalu beinsured.pl.  

Pliki do pobrania

wyrok_z_13_maja_2021_r_dotyczacy_skargi_sggw_na_decyzje_karowa_prezesa_uodo.pdf

Artykuły powiązane

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyc...

Blokada strony internetowej przez ABW bezpodstawna – NSA ostatecznie rozstrzyga

Naczelny Sąd Administracyjny (NSA) w wyroku z 26 września 2024 roku (sygn. akt II GSK 2046/23) uznał, że Agencja Bez...

Meta ukarana 91 mln euro za naruszenie RODO.

Irlandzki organ ochrony danych (DPC) nałożył na Metę karę w wysokości 91 milionów euro za naruszenie przepisów RODO zwią...