50 tysięcy złotych kary dla SGGW

Dodano: 11 września 2020
3cae81cb4715ab7a4df7bbeb99b12078f5ce0b90-xlarge (1)

W związku ze stwierdzeniem naruszenia ochrony danych osobowych Prezes UODO ukarał Szkołę Główną Gospodarstwa Wiejskiego w Warszawie karą pieniężną w wysokości 50 tys. zł. Kara została wymierzona w związku z wyciekiem danych osobowych kandydatów na studia.

Czego dotyczyła sprawa

W listopadzie 2019 r. otrzymał zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW. Jak wynika ze zgłoszenia, doszło do kradzieży przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych. Na urządzeniu przechowywane były dane osobowe kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych.

Kryteria wymiaru kary

Po przeprowadzeniu postępowania Prezes UODO zdecydował o nałożeniu na SGGW kary finansowej w wysokości 50 tys. zł. W wymiarze kary wzięto pod uwagę fakt, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich 5 lat, obejmowało szeroki zakres danych, zaś liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica). Poza tym administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Uczelnia nie wdrożyła przy tym adekwatnych środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia. W efekcie doszło do naruszenia zasady poufności i rozliczalności.

Dane były przechowywane zbyt długo

Stwierdzono także inne uchybienia. Otóż przetwarzano dane osobowe kandydatów na studia pochodzące z okresu 5 lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Tym samym doszło do naruszenia reguły ograniczenia przechowywania.

Źródło:
  • Strona internetowa UODO (uodo.gov.pl).

Orzecznictwo:

  • Decyzja Prezesa UODO z 21 sierpnia 2020 r. (ZSOŚS.421.25.2019).

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x