Aktualności

RODO: Kolejna kara za naruszenie przepisów RODO dla Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie

RODO: Kolejna kara za naruszenie przepisów RODO dla Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie

Prezes Urzędu Ochrony Danych Osobowych wydał kolejną decyzję nakładającą karę finansową za nieprzestrzeganie przepisów RODO - tym razem karę nałożono na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie (SGGW). Decyzja nakładająca karę jest wynikiem kontroli przeprowadzonej na uczelni po zgłoszeniu przez nią naruszenia ochrony danych osobowych. Zgłoszenie dotyczyło skradzionego laptopa pracownika uczelni, na którym przechowywane były dane kilkudziesięciu tysięcy kandydatów na studia z okresu 5 lat.

Za jakie naruszenia została nałożona kara?

Podczas kontroli stwierdzono następujące naruszenia ochrony danych osobowych:

  1. uczelnia niewłaściwie oceniła skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych kandydatów,
  2. uczelnia nie uwzględniła w sposób wystarczający zasady rozliczalności przy korzystaniu z systemu służącego do przetwarzania danych osobowych kandydatów,
  3. uczelnia nie uwzględniła w rejestrze czynności przetwarzania wszystkich wymaganych informacji w stosunku do procesu przetwarzania danych osobowych w rekrutacji,
  4. inspektor ochrony danych wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania.

SGGW zbierała dane osobowe kandydatów za pomocą systemu informatycznego, który umożliwiał niekontrolowany eksport tych danych bez odnotowywania tego faktu. W ocenie Prezesa UODO z tego powodu uczelnia nie sprostała realizacji zasady rozliczalności - nie była w stanie wykazać kto ma dostęp do danych i je pobiera. Naruszona została również poufność danych.

Kwestia możliwości pobierania danych osobowych z systemu bez rejestracji zdarzeń nie została również ujęta w analizie ryzyka dla tego procesu przetwarzania. W konsekwencji poziom ryzyka nie został prawidłowo ustalony, a zastosowane przez uczelnię środki techniczne i organizacyjne okazały się być niewystarczające, by zapewnić bezpieczeństwo przetwarzanych danych osobowych.

Prezes UODO wytknął ponadto SGGW, że inspektor ochrony danych nie został zaangażowany w sprawy związane z funkcjonalnością systemu. Wskazał również, że opisując proces w rejestrze czynności przetwarzania pominięto informację o podmiocie przetwarzającym w postaci podwykonawcy będącym dostawcą systemu informatycznego.

W ocenie Prezesa UODO uczelnia nie wdrożyła odpowiednich mechanizmów monitorowania procesu przetwarzania danych osobowych kandydatów oraz zagrożeń związanych z tym przetwarzaniem, skoro dane osobowe były w ten sposób pobierane przez okres 5 lat (mimo, że przyjęty dla nich przez uczelnię okres retencji wynosił 3 miesiące).

Prezes UODO przypomniał, że czynnik osobowy to jedno z głównych źródeł ryzyka przetwarzania danych. Mimo tego, że SGGW wdrożyło politykę korzystania z komputerów przenośnych oraz szkoliło pracowników z ochrony danych osobowych, doszło do naruszenia, które skutkowało nałożeniem kary. Pracownik uczelni działał poza zakresem swojego upoważnienia i wbrew obowiązującym regułom przetwarzania danych, jednak SGGW jako administrator przez wiele lat nie wykrył tej okoliczności, nie przewidział jej analizując ryzyko przetwarzania i nie zastosował odpowiednich środków, by je zminimalizować.

Wysokość kary administracyjnej

Kara finansowa nałożona na uczelnię wyniosła 50 000 zł, a więc połowę maksymalnej kary finansowej jaka może być nałożona na podmioty publiczne, zgodnie z ustawą o ochronie danych osobowych.

Prezes UODO wskazał, że przy ustalaniu wysokości kary brał pod uwagę okoliczności obciążające administratora tj.

- czas trwania i zakres naruszenia (dane były pobierane przez 5 lat, objęło dużą grupę osób i szeroki zakres danych zawartych w dokumentach rekrutacyjnych) a także wysoki stopień odpowiedzialności uczelni za naruszenie.

Wzięte pod uwagę rozstały również okoliczności łagodzące, w tym dobra współpraca podmiotu kontrolowanego z organem oraz podjęcie przez uczelnie szeregu działań w celu usunięcia naruszenia.

Uczelnia może zaskarżyć decyzję do wojewódzkiego sądu administracyjnego.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa