Skarga SSGW na decyzję UODO oddalona

Zdarzenie, które doprowadziło do ukarania uczelni, miało miejsce w listopadzie 2019 r. Jak się okazało, doszło wtedydo kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia. W toku postępowania stwierdzono nieprawidłowości u administratora danych, dlatego został on ukarany.

SGGW złożyła skargę na tę decyzję. W skardze tej argumentowała, że to nie ona była administratorem danych znajdujących się w skradzionym prywatnym komputerze pracownika. Innymi słowy podnosiła, że administratorem tych danych mógł być jedynie pracownik, ponieważ przetwarzał on dane osobowe studentów bez wiedzy administratora i to z naruszeniem wewnętrznych regulacji tj. przez okres dłuższy niż dopuszczalny w uczelnianych przepisach.

Sąd nie podzielił jednak stanowiska uczelni. Wskazał, że pracownik uczelni nie mógł występować jako odrębny administrator lecz jedynie w imieniu tego administratora. Pracodawca ponosił więc odpowiedzialność względem swojego pracownika, co zresztą mógł egzekwować – także wówczas, gdy działania pracownika wykraczały poza powierzone mu obowiązki.

Jednocześnie sąd potwierdził naruszenie wielu zasad RODO w szczególności reguły integralności i poufności. Dane osobowe co oczywiste nie były przetwarzane z zachowaniem odpowiedniego poziomu bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Uczelni zarzucono też nieprzeprowadzenie analizy ryzyka.