Stan faktyczny

W listopadzie 2019 r. doszło do kradzieży prywatnego laptopa pracownika uczelni, na którym przechowywał dane osobowe kandydatów na studia. Zarówno kontrola, jak i postępowanie wyjaśniające UODO wykazały nieprawidłowości po stronie administratora danych. Szkoła Główna Gospodarstwa Wiejskiego w Warszawie nie dokonała analizy ani oceny ryzyka przetwarzanych danych.

Uczelnia próbowała udowodnić, że to nie ona była administratorem danych, które znajdowały się w skradzionym prywatnym komputerze jej pracownika. Zdaniem SGGW to pracownik był administratorem danych, ponieważ bez wiedzy administratora, z naruszeniem wewnętrznych procedur, przetwarzał dane rekrutacyjne studentów z okresu pięciu lat na prywatnym sprzęcie. Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mogą być przetwarzane przez trzy miesiące od momentu zakończenia rekrutacji.

Stanowisko Sądu

Sąd zgodził się z UODO i uznał SGGW za administratora skradzionych danych. To uczelnia pełniła rolę administratora w dniu kradzieży prywatnego komputera pracownika, ponieważ decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Reprezentant uczelni, któremu skradziono komputer z danymi, nie mógł samodzielnie decydować o celach ani sposobach ich przetwarzania. Czynności związane z przetwarzaniem danych wykonywał na polecenie przełożonego z uwagi na pełnione funkcje. Podkreślenia wymaga fakt, że pracownik był mocno zaangażowany w proces rekrutacji kandydatów na studia.

Sąd zwrócił także uwagę, że pracownik uczelni nie występował jako odrębny podmiot prawa. Działania pracownika można zatem uznać za działania pracodawcy, który ponosi pełną odpowiedzialność. Natomiast w stosunku do zatrudnionej osoby, która dopuściła się naruszenia obowiązków pracowniczych, ma możliwość egzekucji odpowiedzialności w formie odszkodowawczej, porządkowej lub dyscyplinarnej. Oceny stanu faktycznego przez Sąd nie zmieniło również to, że działania pracownika wykraczały poza powierzone mu obowiązki.

Sąd zgodził się ze stanowiskiem UODO, że to uczelnia naruszyła szereg zasad zawartych w RODO, m.in. zasadę integralności, zasadę poufności oraz zasadę przechowywania danych. Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem. W przypadku utraty, zniszczenia lub uszkodzenia przetwarzanych danych należy zapewnić im także poufność za pomocą odpowiednich środków technicznych lub organizacyjnych. W tym przypadku administrator nie przeprowadził analizy ryzyka ani nie ocenił, z jakimi zagrożeniami oraz konsekwencjami ma lub będzie miał do czynienia. W związku z powyższym na uczelni nie wdrożono odpowiednich środków technicznych i organizacyjnych, które zabezpieczyłyby przetwarzane dane. Należy zaznaczyć, że pracownik SGGW miał możliwość transferu danych z Systemu Obsługi Kandydatów na nośnik zewnętrzny. Proces ten nie był rejestrowany w systemie informatycznym.

Sąd zgodził się z organem nadzoru, że uczelnia nie kontrolowała w właściwy sposób procesu przetwarzania danych. Co więcej, nie weryfikowała również prawdziwości prowadzonych działań. Uczelnia, jako administrator danych, przyczyniła się do stwierdzenia nieprawidłowości i nałożenia kary pieniężnej.