UODO otrzymał zgłoszenie w sprawie naruszanie ochrony danych na SGGW w listopadzie 2019 roku, po tym jak jednemu z pracowników szkoły ukradziono komputer - prywatny, ale wykorzystywany także służbowo przy rekrutacji kandydatów na studia.
Naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. - ustalił Urząd w postępowaniu. Okazało się także, że szkoła nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolowano procesu przetwarzania danych. Urząd wytknął brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym.
SGGW złamała także własny regulamin dotyczący przetwarzania danych kandydatów. Zakłada on, że mogą być przechowywane przez trzy miesiące od zakończenia rekrutacji, a tymczasem były przechowywane przez 5 lat. UODO skrytykował całość polityki szkoły w zakresie nadzoru nad danymi, w tym np. brak udziału inspektora odpowiedzialnego za ochronę danych w procesie rekrutacyjnym
Jak napisano jednak w komunikacie, wymierzając karę pieniężną, prezes UODO wziął pod uwagę okoliczności łagodzące: dobrą współpracę, podjęcie przez uczelnię działań mających na celu usunięcie naruszenia oraz zapewnienie bezpieczeństwa w procesie przetwarzania danych w przyszłości.
Zapytaliśmy SGGW, co zamierza: zapłacić karę, czy odwołać się. Czekamy na odpowiedzi.