SGGW z karą za naruszenie ochrony danych osobowych

Przypomnijmy, że Prezes UODO otrzymał w listopadzie 2019 roku zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW. Zgłoszenie było związane z kradzieżą przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych. Po kontroli przeprowadzonej na uczelni w związku z naruszeniem ochrony danych, Prezes UODO wszczął z urzędu postępowanie administracyjne.

Na podstawie zebranego materiału dowodowego w toku postępowania Prezes UODO nałożył na uczelnię administracyjną karę pieniężną. Decydując o wysokości kary, organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica). Znaczenie dla wysokości kary miało również to, że administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Powyższe okoliczności świadczą o naruszeniu zasady poufności i rozliczalności określonej w RODO.

Warto odnotować, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.

Ponadto w wyniku przeprowadzonego postępowania ustalono, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia.

Obowiązkiem administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych. Powinny być one na bieżąco poddawane przeglądom i uaktualniane do obowiązujących przepisów i zmieniającej się technologii. W tym miejscu należy nadmienić, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych. Następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W ocenie organu nadzorczego zastosowane przez uczelnię środki obejmujące proces przetwarzania danych kandydatów na studia były niewystarczające.

Jednocześnie Prezes UODO stwierdził, że w przedmiotowej sprawie inspektor ochrony danych (IOD) wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania. Powołany inspektor ochrony danych nie był angażowany przez uczelnię w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania. Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych.

Wymierzając karę pieniężną, Prezes UODO wziął pod uwagę okoliczności łagodzące, takie jak: dobrą współpracę z organem nadzorczym zarówno w toku przeprowadzonej kontroli, jak i w trakcie postępowania administracyjnego, podjęcie działań przez uczelnię mających na celu usunięcie naruszenia oraz zapewnienie bezpieczeństwa w procesie przetwarzania danych w przyszłości.

Pełna treść decyzji dostępna pod adresem: https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych