Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) nałożył administracyjną karę pieniężną w wysokości 50 tysięcy złotych na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie („SGGW”). Kara ta została nałożona w związku z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW. Zgłoszenie naruszenia danych zostało złożone w listopadzie 2019 i było związane z kradzieżą przenośnego prywatnego komputera pracownika SGGW. Pracownik wykorzystywał laptop także do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności związanych z procesem rekrutacyjnym.
W ramach dostarczonego zgłoszenia o incydencie związanym z kradzieżą komputera, Prezes UODO przeprowadził kontrolę na uczelni. W toku kontroli odebrano od pracowników SGGW ustne wyjaśnienia oraz dokonano oględzin systemu informatycznego służącego do przetwarzania danych osobowych kandydatów na studia w SGGW. Zgromadzony w sprawie materiał dowodowy był podstawą do ustalenia przez Prezesa UODO, że w procesie przetwarzania danych osobowych w ramach procesu rekrutacyjnego na studia, SGGW jako administrator, naruszyła przepisy o ochronie danych osobowych.
Stwierdzone naruszenia polegały na dokonaniu w sposób niewystarczający przez administratora oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów, nieuwzględnianiu w sposób wystarczający przez administratora, przy korzystaniu z systemu służącego do przetwarzania danych osobowych kandydatów, zasady rozliczalności, wypełnianiu przez inspektora ochrony danych zadań bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania oraz nieuwzględnieniu w prowadzonym w SGGW rejestrze czynności przetwarzania danych osobowych, w zakresie czynności przetwarzania danych osobowych kandydatów na studia pierwszego, drugiego stopnia i jednolitych studiów magisterskich w SGGW wszystkich wymaganych informacji.
Stwierdzone powyżej uchybienia były podstawą do wszczęcia z urzędu postępowania administracyjnego. SGGW w odpowiedzi przedstawiła m.in., że pracownik będący właścicielem skradzionego laptopa nie posiadał upoważnienia do przetwarzania danych osobowych na prywatnym nośniku. Jego działanie było niezgodne z obowiązującymi w SGGW regulacjami, bowiem „Procedura używania komputerów przenośnych” stanowi, że w celu zapewnienia bezpieczeństwa przed kradzieżą i dostępem osób nieuprawnionych, przetwarzanie danych osobowych poza obszarami przetwarzania określonymi w Polityce Bezpieczeństwa może odbywać się jedynie w szczególnych przypadkach i za zgodą administratora. Pracownik SGGW nie informował administratora, że prowadzi czynności na komputerze prywatnym, jak również nie występował o przyznanie mu przenośnego komputera służbowego.
W ocenie Prezesa UODO SGGW w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia. Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń. Obowiązek przyjmowania oraz monitorowania stosowanych środków technicznych i organizacyjnych adekwatnych do zagrożeń, został uregulowany w art. 32 RODO i oznacza, że przyjęcie i monitorowanie tych środków powinno być poprzedzone analizą uwzględniającą odpowiednie kryteria, takie jak charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. W związku z czym wdrożony środek powinien być odpowiedni do zidentyfikowanych już zagrożeń i niezgodności. W ocenie Prezesa UODO SGGW poprzestała na przygotowaniu dokumentów, podpisaniu ich przez pracownika i wdrożeniu środków organizacyjnych w postaci m.in. Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym. Same dokumenty są niewystarczające w kontekście zapewniania odpowiedniego bezpieczeństwa danych osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, gdyż wymagają dodatkowo od administratora oraz inspektora ochrony danych dokonywania przeglądu, nadzorowania zasad określonych w tych dokumentach i w razie potrzeby dostosowywania środków organizacyjnych i technicznych do zidentyfikowanych zagrożeń i niezgodności.
Kara pieniężna została nałożona w połowie maksymalnej wysokości. SGGW jest bowiem jednostką sektora publicznego, a dla takich jednostek stosuje się ograniczenie kar do 100.000 zł. Na wymiar kary nałożonej przez Prezesa UODO miały wpływ takie czynniki jak:
- Podjęcie przez SGGW wszelkich możliwych działań, mających na celu usunięcie naruszenia, np. zleceniu przez Rektora SGGW kontroli wewnętrznej w celu ustalenia okoliczności dysponowania przez pracownika SGGW danymi osobowymi kandydatów na studia w SGGW z wykorzystaniem prywatnego komputera i opublikowaniu na stronie internetowej SGGW komunikatu o naruszeniu ochrony danych osobowych zawierającego także informacje o możliwych sposobach ograniczenia negatywnych skutków naruszenia oraz możliwości monitorowania aktywności kredytowej w BIK oraz innych instytucjach.
- Podjęcie działań następczych w stosunku do naruszenia, mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych w SGGW w przyszłości.
- Dobrą współpracę Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
- Brak dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej.
- Brak stwierdzenia uprzedniego naruszenia przepisów RODO, które miałoby istotne znaczenie dla niniejszego postępowania.
Decyzja Prezesa UODO potwierdza jak ważna jest ciągła praca nad bezpieczeństwem informacji w ramach organizacji. Należy przypomnieć, że ochrona danych osobowych nie kończy się na „wdrożeniu RODO”, lecz wymaga od administratora (przy udziale inspektora ochrony danych, jeżeli został powołany) ciągłego procesu nadzoru nad wprowadzonymi wewnętrznymi regulacjami, a także aktualizacji analizy ryzka. Takie działania pozwolą na poznanie aktualnych wyzwań i słabości w ochronie danych osobowych, a przez to zminimalizować ryzyko utraty danych lub innych naruszeń ochrony danych osobowych.