W 2019 roku doszło do incydentu, który wstrząsnął środowiskiem akademickim i zwrócił uwagę na znaczenie ochrony danych osobowych w instytucjach publicznych. Dane kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego (SGGW) zostały niezgodnie z przepisami przetworzone i wyeksportowane na prywatny komputer jednego z pracowników. Niestety, w wyniku kradzieży tego urządzenia doszło do naruszenia poufności danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych (UODO), po przeprowadzeniu postępowania, nałożył na uczelnię karę w wysokości 50 tys. zł za nieprzestrzeganie przepisów o ochronie danych osobowych. Decyzja ta została zaskarżona przez SGGW, która najpierw odwołała się do Wojewódzkiego Sądu Administracyjnego (WSA), a następnie złożyła skargę do Naczelnego Sądu Administracyjnego (NSA). Ostatecznie, 7 lutego 2025 roku, NSA oddalił skargę uczelni, podtrzymując stanowisko UODO.
Na skróty:
Uczelnia odpowiedzialna za bezpieczeństwo danych
SGGW w swojej obronie argumentowała, że odpowiedzialność za incydent spoczywa na pracowniku, który działał poza zakresem udzielonych mu uprawnień, przetwarzając dane na prywatnym laptopie. NSA nie podzielił tego stanowiska, wskazując, że uczelnia, jako administrator danych, ponosi pełną odpowiedzialność za proces ich przetwarzania. Sąd uznał, że pracownik, choć przekroczył swoje upoważnienia, nie stał się w ten sposób administratorem danych. Odpowiedzialność za naruszenie nadal spoczywała na SGGW.
NSA podkreślił, że administrator danych – w tym przypadku uczelnia – powinien mieć pełną kontrolę nad przetwarzaniem danych osobowych. Obejmuje to zarówno wdrożenie odpowiednich procedur, jak i monitorowanie działań pracowników w celu zapewnienia zgodności z przepisami o ochronie danych. W opinii sądu SGGW nie dopełniła swoich obowiązków w tym zakresie, co doprowadziło do naruszenia poufności danych osobowych kandydatów.
Decyzje sądów administracyjnych
Wojewódzki Sąd Administracyjny (sygn. akt II SA/Wa 2129/20) również nie uwzględnił skargi uczelni, uznając decyzję UODO za uzasadnioną. W swoim orzeczeniu podkreślił, że administrator danych musi przewidywać ryzyka związane z przetwarzaniem danych osobowych i podejmować działania zapobiegawcze. NSA (sygn. akt III OSK 6801/21) podtrzymał tę interpretację, zaznaczając, że brak odpowiedniej kontroli i nadzoru ze strony administratora doprowadził do incydentu.
Lekcja dla instytucji publicznych i prywatnych
Wyrok NSA to ważny precedens, który przypomina, jak istotne jest przestrzeganie zasad ochrony danych osobowych w organizacjach. Odpowiedzialność za naruszenie przepisów spoczywa na administratorze danych, który musi zadbać o odpowiednie procedury i kontrolę nad procesem przetwarzania. Wdrożenie skutecznych zabezpieczeń oraz szkolenie pracowników w zakresie ochrony danych to kluczowe działania, które mogą zapobiec podobnym sytuacjom w przyszłości.
Wnioski na przyszłość
Decyzja NSA podkreśla znaczenie odpowiedzialności organizacji za ochronę danych osobowych. Incydent w SGGW przypomina, że nawet najlepsze systemy bezpieczeństwa mogą okazać się niewystarczające, jeśli brakuje kontroli nad działaniami pracowników. W dobie rosnącej liczby cyberzagrożeń i coraz bardziej rygorystycznych przepisów, takich jak RODO, organizacje muszą traktować ochronę danych osobowych jako priorytet i część swojej strategii zarządzania ryzykiem.