Pracownik uczelni trzymał dane przyszłych studentów na prywatnym laptopie. Laptop skradziono
Na tym jednak się nie skończyło. Uczelnia stwierdziła, że to nie ona odpowiadała za dane i nie ona była ich administratorem. Całą odpowiedzialność miałby ponosić pracownik. Zdanie sądu i UODO w tym temacie jest inne.
- Monika Świetlińska
- /
- 13 sierpnia 2021
50 tys. kary za naruszenie ochrony danych osobowych kandydatów na studia
Urząd Ochrony Danych Osobowych nałożył na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie karę w wysokości 50 tys. zł. A wszystko przez to, że pracownik zajmujący się rekrutacją na studia wszystkie dane o kandydatach trzymał na prywatnym laptopie.
Prawdopodobnie sprawa nigdy nie ujrzałaby światła dziennego, gdyby nie fakt, że sprzęt padł łupem złodzieja. Dane przechowywane na nim, z oczywistych względów — również.
Kara dla urzędu miasta za nieprzestrzeganie RODOMichał Górecki
- Późniejsza kontrola, jak i postepowanie administracyjne UODO wykazało nieprawidłowości po stronie administratora danych, co skończyło się nałożeniem kary pieniężnej — przekazuje Urząd Ochrony Danych Osobowych.
Sąd utrzymał decyzję UODO
Sprawa trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie. Uczelnia zaskarżyła decyzję Prezesa UODO związaną z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW.
- Przed sądem próbowała wykazać, że to nie ona była w istocie administratorem danych, jakie znajdowały się w skradzionym prywatnym komputerze jej pracownika. Jej zdaniem to pracownik był administratorem tych danych, ponieważ bez wiedzy administratora, jak i z naruszeniem wewnętrznych procedur, przetwarzał dane rekrutacyjne studentów z okresu pięciu lat na prywatnym sprzęcie. Uczelnia w wewnętrznych regulacjach określiła, że dane kandydatów na studia mają być przetwarzane maksymalnie przez okres trzech miesięcy — informuje urząd.
WSA nie przyjął tłumaczeń Szkoły Głównej Gospodarstwa Wiejskiego.
- Wskazał, że UODO słusznie uznał SGGW jako administratora tych danych. Zaznaczył, że w myśl definicji administratora zawartej w RODO, to uczelnia pełniła tę rolę, gdyż decydowała o celach i sposobach przetwarzania danych osobowych kandydatów na studia. Pracownik, któremu skradziono laptopa z danymi, nie był zaś podmiotem, który samodzielnie decydował o celach i sposobach ich przetwarzania. Czynności przetwarzania wykonywał, ponieważ był pracownikiem tej uczelni, zaangażowanym w proces rekrutacji na studia - zaznacza UODO.
Odpowiedzialność pracownika?
Pracownik działał w imieniu pracodawcy, który to pracodawca, zdaniem sądu, ponosi odpowiedzialność za dane, zachowując w stosunku do zatrudnionej osoby możliwość egzekucji odpowiedzialności odszkodowawczej, porządkowej i dyscyplinarnej.
- Oceny tej sytuacji nie zmienił fakt, że działania pracownika wykraczały poza powierzone mu obowiązki — dodaje UODO.
Jak złożyć skargę do UODO?Martyna Kowalska
Sąd zgodził się z organem nadzoru, że uczelnia nie kontrolowała właściwie procesu przetwarzania danych, w którym uczestniczył jej pracownik, a także nie weryfikowała poprawności jego działań. Uczelnia zatem musi zapłacić wyznaczoną przez UODO karę.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z
informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci
się
artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej
masz
szybkie linki do udostępnień.