SGGW: wdrożyliśmy niezbędne zabezpieczenia, które nie pozwalają na kopiowanie danych, odwołamy się od kary

SGGW poinformowała w 2019 r., że doszło do kradzieży komputera przenośnego użytkowanego przez jednego z pracowników. Na dysku tego komputera znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych z ostatnich lat obejmujące m.in.: imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, serię i numer dowodu osobistego kandydatów. Były też dane m.in. o ukończonej szkole średniej, numerach telefonu komórkowego i stacjonarnego, roku ukończenia szkoły średniej, roku zdania matury, wynikach uzyskanych na egzaminie maturalnym, ukończonych studiach, ukończonej uczelni, ocenie na dyplomie, średniej ze studiów i kierunku studiów, na który kandydat aplikował.

Rzecznik SGGW w Warszawie Krzysztof Szwejk przekazał wtedy, że dane osobowe studentów i kandydatów na studia w SGGW zostały wykradzione, gdyż jeden z pracowników lekkomyślnie kopiował je na przenośny komputer. "Nie miał do tego prawa i zrobił to wbrew obowiązującym na uczelni procedurom" - oświadczył.

Urząd Ochrony Danych Osobowych wszczął kontrolę w tej sprawie. Chodziło o naruszenia ochrony danych osobowych w SGGW. Postępowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co ostatecznie skończyło się nałożeniem na uczelnię kary pieniężnej w wysokości 50 tys. zł.

SGGW próbowała jednak wykazać przed sądem, że to nie ona była w istocie administratorem danych, jakie znajdowały się w skradzionym prywatnym komputerze jej pracownika. Jednak Wojewódzki Sąd Administracyjny w Warszawie, w wyroku z maja 2021 r., nie zgodził się z uczelnią, podtrzymując decyzję prezesa UODO i nałożoną przez niego karę. WSA wskazał przy tym, że UODO słusznie uznał SGGW jako administratora tych danych. Uczelnia naruszyła - zdaniem WSA i UODO - szereg zasad RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Odwołanie od wyroku WSA do Naczelnego Sądu Administracyjnego zapowiedział w rozmowie z PAP rzecznik SGGW Krzysztof Szwejk. Przekazał, że uczelni przysługuje taka możliwość do końca sierpnia i prawdopodobnie z niej skorzysta.

Szwejk zaznaczył, że "sama uczelnia zgłosiła do UODO incydent polegający na przetrzymywaniu danych kandydatów na studia na prywatnym komputerze i fakt kradzieży tego komputera". Urząd - według rzecznika - przeprowadził kontrolę, sporządził raport i uczelnia od razu zaczęła wprowadzać niezbędne zabezpieczenia i zmiany, które zapobiegają takim incydentom w przyszłości.

Rzecznik wskazał, że "wszystkie zalecenia UODO zostały wprowadzone jeszcze przed pierwszą decyzją Urzędu". W jego opinii, obecnie ani procedury, ani zabezpieczenia informatyczne nie pozwalają na kopiowanie danych, ich analizę i dostęp do nich spoza terenu uczelni, a właściwie spoza wskazanych konkretnych pomieszczeń. (PAP)

Autor:Iwona Pałczyńska

mir/ ipa/ mir/