WSA podtrzymał stanowisko PUODO w sprawie kary dla SGH

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Szkoły Głównej Handlowej w Warszawie na decyzję Prezesa UODO.

Decyzja dotyczyła niewłaściwego zabezpieczenia danych osobowych w aplikacji do rekrutacji na wymiany studenckie. PUODO nałożył na uczelnię karę w wysokości 35 tys. zł.

Nieprawidłowości zostały wykryte, gdy w 2022 r., podczas przenoszenia systemu na nowy serwer, doszło do naruszenia poufności danych osobowych. Polegało ono na przypadkowym ujawnieniu w internecie wrażliwych informacji dotyczących 1461 studentów, absolwentów i byłych studentów SGH.

Zdaniem uczelni incydent miał wynikać wyłącznie z błędu pracownika. SGH twierdziła, że pomyłka miała miejsce pomimo dochowania wymaganych standardów ochrony danych. Prezes UODO uznał natomiast, że uczelnia nie realizowała obowiązków wynikających z RODO: nie analizowała ryzyka, nie dobierała prawidłowo środków bezpieczeństwa i nie oceniała rzetelnie ich skuteczności.

SGH zaskarżyła decyzję PUODO, jednak WSA w Warszawie uznał skargę za nieuzasadnioną.

Sąd zgodził się ze stanowiskiem organu nadzorczego. Przyznał, że w toku postępowania administracyjnego, które poprzedziło wydanie decyzji, uczelnia nie wykazała, że rzeczywiście wdrożyła odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemie rekrutacyjnym oraz że regularnie testowała, mierzyła i oceniała ich skuteczność.

WSA nie znalazł zatem podstaw do zakwestionowania zaskarżonej decyzji, uznając, że jej wydanie w obecnym kształcie było nie tylko uzasadnione, ale i potrzebne. Sąd potwierdził, że nie jedynie błąd ludzki, ale przede wszystkim przetwarzanie danych niezgodne z RODO, doprowadziło do wycieku danych.

Sygn. akt: II SA/Wa 178/24