Co jakiś czas na stronie Urzędu Ochrony Danych Osobowych pojawiają się publikacje odnoszące się do nałożonych kar. Dotyczą one różnego rodzaju naruszeń ochrony danych (np. wycieku danych z baz teleinformatycznych, udostępnianiu informacji podmiotom nieupoważnionym itp.). Jedna z najnowszych sankcji dotyczy kradzieży prywatnego laptopa pracownika Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie, który zawierał między innymi dane osobowe kandydatów na studia. Pracownik używał prywatnego sprzętu również do celów służbowych.

Zgłoszenie naruszenia danych osobowych do UODO

Prezes UODO otrzymał w listopadzie 2019 roku zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW. Zgłoszenie było związane z kradzieżą przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych. Po kontroli przeprowadzonej na uczelni w związku z naruszeniem ochrony danych, Prezes UODO wszczął z urzędu postępowanie administracyjne.

Jakie naruszenia RODO stwierdzono podczas kontroli?

Podczas przeprowadzonego postępowania kontrolnego Prezes UODO stwierdził w sprawie szereg naruszeń danych osobowych. Dotyczyły one między innymi:
-przetwarzania danych osobowych kandydatów na studia na prywatnym komputerze pracownika, o czym administrator nie miał wiedzy,
-brak kontroli nad procesem przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym (naruszenie zasad rozliczalności i poufności),
-stwierdzenia, że dane osobowe kandydatów na studia pochodziły z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w kontrolowanej jednostce na trzy miesiące od zakończenia rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO,
-ustalenie w toku kontroli, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia,
-sprawie inspektor ochrony danych (IOD) wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania. Powołany inspektor ochrony danych nie był angażowany przez uczelnię w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania. Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych.

Czynniki mające wpływ na wysokość nałożonej kary

Za wyżej wskazane naruszenie danych osobowych kandydatów na studia Prezes Urzędu Ochrony Osobowych nałożył karę w wysokości 50 000 złotych. zakresie wysokości ustalonej kary nałożonej na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie Prezes Urzędu Ochrony Danych Osobowych wskazał, że wpływ na nią miały między innymi wyżej wymienione naruszenia RODO. Istotne przy tym jest również to, że Wymierzając karę pieniężną, Prezes UODO wziął pod uwagę okoliczności łagodzące, takie jak: dobra współpraca z organem nadzorczym zarówno w toku przeprowadzonej kontroli, jak i w trakcie postępowania administracyjnego, podjęcie działań przez uczelnię mających na celu usunięcie naruszenia oraz zapewnienie bezpieczeństwa w procesie przetwarzania danych w przyszłości.
Wyżej wskazany przypadek wyraźnie obrazuje nam jak ważne jest przestrzeganie ochrony danych osobowych w życiu codziennym. Wielu przedsiębiorców nie zwraca uwagi na czyhające dookoła zagrożenia i to jak ważne jest przestrzeganie zasad ochrony danych osobowych na co dzień. Często ignorują zagrożenia, lub po prostu ich nie zauważają. W takich przypadkach warto zwrócić się o pomoc do profesjonalnych podmiotów, które przeprowadzą audyt RODO i wskażą wszystkie zagrożenia oraz przeprowadzą przez poszczególne etapy wdrożenia rozwiązań eliminujących ryzyko wycieku danych osobowych.

Jeżeli jesteście Państwo zainteresowani tematem RODO i chcecie wprowadzić je do swojej firmy, specjaliści z CONCEPCION chętnie pomogą Państwu przejść przez cały proces wraz z możliwością sprawowania późniejszej opieki w postaci świadczenia usług przez Inspektora Ochrony Danych.