W listopadzie 2019 roku SGGW zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych kandydatów tej uczelni na studia. Zgłoszenie dotyczyło kradzieży prywatnego laptopa pracownika, który używał go również do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia.
W związku ze zgłoszeniem naruszenia Prezes UODO przeprowadził kontrolę i po jej zakończeniu wszczął z urzędu postępowanie administracyjne. W toku postępowania Prezes UODO nałożył na SGGW administracyjną karę pieniężną w wysokości 50 000 PLN. Prezes UODO decydując o wysokości kary wziął pod uwagę, że naruszenie ochrony danych osobowych:
- dotyczyło danych kandydatów na studia z ostatnich pięciu lat (okres przechowywania danych kandydatów obowiązującej na SGGW dokumentacji został określony na 3 miesiące od zakończenia procesu rekrutacji), czyli została naruszona zasada ograniczenia przechowywania danych,
- obejmowało szeroki zakres danych,
- liczba kandydatów dotkniętych naruszeniem może wynosić maksymalnie 100 000 osób.
Prezes UODO w decyzji wskazuje, że Administrator danych (SGGW) nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym laptopie pracownika oraz nie kontrolował tego procesu przetwarzania danych. Naruszenie to spowodowało utratę poufności i rozliczalności danych osobowych opisanych w RODO. Prezes UODO ustalił również, że SGGW nie wdrożyła odpowiednich środków organizacyjnych i technicznych zabezpieczających proces przetwarzania danych osobowych kandydatów na studia. Prezes UODO wskazał również, że powołany inspektor ochrony danych nie był angażowany przez SGGW w proces rekrutacji na studia. Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych. Prezes UODO nakładając karę wziął również pod uwagę dobrą współpracę z SGGW.
Podsumowując, aby zapewnić prawidłową ochronę danych osobowych w procesach przetwarzania w uczelniach należy przede wszystkim przenalizować każdy proces przetwarzania, ustalić ryzyko naruszenia praw i wolności osób, których dane są przetwarzane, włączać we wszystkie procesy przetwarzania danych osobowych powołanego IOD oraz wdrożyć i aktualizować zabezpieczenia techniczne i organizacyjne. W opisanej sprawie, gdyby Administrator danych był świadomy działań swojego pracownika oraz gdyby wdrożył odpowiednie środki techniczne i organizacyjne takie jak np. szyfrowanie urządzeń (w tym urządzeń prywatnych wykorzystywanych do celów służbowych) waga takiego naruszenia byłaby niska i możliwość naruszenia zasady poufności danych byłaby minimalna.
