REKLAMA

50 tys. zł kary dla SGGW za wyciek danych z kilku lat rekrutacji

2020-09-10 10:56
publikacja
2020-09-10 10:56
fot. Fotokon / Shutterstock

Szkoła Główna Gospodarstwa Wiejskiego w Warszawie nienależycie zadbała o zabezpieczenie danych z rekrutacji. Prezes Urzędu Ochrony Danych Osobowych nałożył na nią karę pieniężną w wysokości 50 tys. zł.

Prezes UODO otrzymał w listopadzie 2019 roku zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW. Zgłoszenie było związane z kradzieżą przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych. Po kontroli UODO wszczął z urzędu postępowanie administracyjne.

Na podstawie zebranego materiału dowodowego w toku postępowania Prezes UODO nałożył na uczelnię administracyjną karę pieniężną. Decydując o wysokości kary, organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica). Znaczenie dla wysokości kary miało również to, że administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji, na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Powyższe okoliczności świadczą o naruszeniu zasady poufności i rozliczalności określonej w RODO.

Warto odnotować, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.

Ponadto w wyniku przeprowadzonego postępowania ustalono, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia. W ocenie organu nadzorczego zastosowane przez uczelnię środki obejmujące proces przetwarzania danych kandydatów na studia były niewystarczające.

Jednocześnie Prezes UODO stwierdził, że w przedmiotowej sprawie inspektor ochrony danych (IOD) wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania. Powołany inspektor ochrony danych nie był angażowany przez uczelnię w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania. Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych.

Wymierzając karę pieniężną, Prezes UODO wziął pod uwagę okoliczności łagodzące, takie jak: dobrą współpracę z organem nadzorczym zarówno w toku przeprowadzonej kontroli, jak i w trakcie postępowania administracyjnego, podjęcie działań przez uczelnię mających na celu usunięcie naruszenia oraz zapewnienie bezpieczeństwa w procesie przetwarzania danych w przyszłości.

Źródło:Bankier24
Tematy
Wybierz konto firmowe, które zarabia na Ciebie i zyskaj premię do 1250 zł.

Wybierz konto firmowe, które zarabia na Ciebie i zyskaj premię do 1250 zł.

Komentarze (1)

dodaj komentarz
specjalnie_zarejestrowany2
Jaka kara dla złodzieja laptopa? Czy pis nie rusza swoich?

Powiązane: Cyberbezpieczeństwo

Polecane

Najnowsze

Popularne

Ważne linki