NSA podtrzymał stanowisko PUODO ws. kary dla SGGW

Sprawa dotyczyła naruszenia przez uczelnię obowiązków wynikających z przepisów o ochronie danych osobowych, w którego efekcie doszło do incydentu: dane osobowe kandydatów na studia zostały wyeksportowane na prywatny komputer pracownika, zaś na skutek kradzieży tego urządzenia została naruszona poufność tych danych.

Do sytuacji doszło w 2019 r. Prezes UODO, po zbadaniu sprawy, za nieprzestrzeganie przepisów nałożył na uczelnię – administratora danych – karę w wysokości 50 tys. zł. Decyzję tę SGGW zaskarżyła najpierw do WSA, a następnie złożyła skargę do Naczelnego Sądu Administracyjnego. Ten 7 lutego 2025 r. oddalił skargę uczelni.

NSA nie zgodził się ze stanowiskiem SGGW, zgodnie z którym uczelnia nie ponosi odpowiedzialności za działania pracownika, które wykraczały poza udzielone mu upoważnienie. Pracownik, który przegrał dane na prywatnego laptopa, nie uzyskał w ten sposób przymiotu administratora. SGGW jako administrator powinna mieć pełną kontrolę nad procesem przetwarzania danych, tak aby zapobiec powstawaniu zdarzeń narażających dane na udostępnienie osobom nieupoważnionym. Musi też weryfikować zachowanie pracowników pod kątem przestrzegania przez nich zasad ochrony danych osobowych. NSA uznał, że w tym obszarze SGGW nie dopełniła swoich obowiązków.

ZSOŚS.421.25.2019

WSA: sygn. akt II SA/Wa 2129/20

NSA: sygn. akt III OSK 6801/21