ZSOŚS.421.25.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256), art. 7 ust. 1, art. 60, art. 102 ust. 1 i ust. 3 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. d oraz lit. i w związku z art. 5 ust. 1 lit. e i lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b. i lit. d, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2, art. 30 ust. 1 lit. d, a także art. 83 ust. 1 – 3, art. 83 ust. 4 lit a i art. 83 ust. 5 lit. a rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, przy ul. Nowoursynowskiej 166, Prezes Urzędu Ochrony Danych Osobowych,

1) stwierdzając naruszenie przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, przy ul. Nowoursynowskiej 166, przepisów art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), dalej: „rozporządzenie 2016/679”, nakłada na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, karę pieniężną w wysokości 50.000 (pięćdziesięciu tysięcy) złotych;

2)  w pozostałym zakresie postępowanie umarza.

UZASADNIENIE

Szkoła Główna Gospodarstwa Wiejskiego w Warszawie (zwana dalej także: „SGGW” lub „Uczelnią”) dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych osobowych (zwanym dalej także: „Prezesem UODO”) naruszenia ochrony danych osobowych kandydatów na studia w SGGW, które zostało zarejestrowane pod sygnaturą ZWAD.405.5471.2019.

Od […] do […] listopada 2019 r. na podstawie art. 78, art. 79 ust. 1 oraz art. 84 ust. 1 pkt 1-4 oraz art. 86 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 1 lit. b, lit. e i lit. f rozporządzenia 2016/679 w celu kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych dokonano czynności kontrolnych w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie, przy ul. Nowoursynowskiej 166. Zakresem kontroli objęto przetwarzanie przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie danych osobowych osób, których dotyczy naruszenie ochrony danych osobowych, zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych i zarejestrowane pod sygnaturą ZWAD.405.5471.2019.

W toku kontroli odebrano od osób zatrudnionych w SGGW i osób świadczących usługi na jej rzecz ustne wyjaśnienia oraz dokonano oględzin systemu informatycznego służącego do przetwarzania danych osobowych kandydatów na studia w SGGW. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez rektora SGGW.

Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych kandydatów na studia w SGGW, Uczelnia jako administrator, naruszyła przepisy o ochronie danych osobowych. Naruszenie przepisów polegało na:

1) dokonaniu w sposób niewystarczający przez administratora oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów, co stanowi naruszenie art. 5 ust. 1 lit. e, art. 5 ust. 1 lit f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust 1, art. 32 ust. 1 lit b, art. 32 ust. 1 lit. d, art. 32 ust. 2 i art. 38 ust. 1 rozporządzenia 2016/679;

2) nieuwzględnianiu w sposób wystarczający przez administratora, przy korzystaniu z systemu służącego do przetwarzania danych osobowych kandydatów, zasady rozliczalności, co stanowi naruszenie art. 5 ust. 2 rozporządzenia 2016/679;

3) wypełnianiu przez inspektora ochrony danych zadań bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania, co stanowi naruszenie art. 24 ust. 1, art. 32 ust. 1, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia 2016/679;

4) nieuwzględnieniu w prowadzonym w SGGW rejestrze czynności przetwarzania danych osobowych, w zakresie czynności przetwarzania danych osobowych kandydatów na studia pierwszego, drugiego stopnia i jednolitych studiów magisterskich w SGGW wszystkich wymaganych przepisami rozporządzenia 2016/679 informacji, co stanowi naruszenie art. 30 ust. 1 lit. d rozporządzenia 2016/679.

Na podstawie zebranego materiału dowodowego ustalono, że naruszenie ochrony danych osobowych kandydatów na studia w SGGW, które miało miejsce […] listopada 2019 r., związane było z kradzieżą przenośnego prywatnego komputera pracownika SGGW – pana A.G, pełniącego również funkcję sekretarza Uczelnianej Komisji Rekrutacyjnej SGGW. Skradziony laptop był używany przez ww. pracownika do celów prywatnych i służbowych, w tym również do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych w ramach pełnionej funkcji sekretarza Uczelnianej Komisji Rekrutacyjnej. Z Systemu Obsługi Kandydatów służącego do przetwarzania danych osobowych kandydatów na studia I i II stopnia oraz jednolitych studiów magisterskich (zwanym dalej także: „SOK”) za pomocą zaimplementowanej w nim funkcjonalności, importował na swój prywatny komputer zestawy danych osobowych obejmujących m.in. imię, nazwisko, nazwisko rodowe, imiona rodziców, numer identyfikacyjny PESEL, płeć, narodowość, obywatelstwo, adres zamieszkania, serię i numer dowodu osobistego bądź innego dokumentu tożsamości, w tym paszportu, numer telefonu komórkowego i/lub stacjonarnego, informacje o dotychczasowym wykształceniu, informacje o kwalifikacji na studia (pełen wykaz kategorii danych osobowych, dla poszczególnych raportów, dostępnych w ramach funkcjonalności umożliwiającej eksport danych stanowi załącznik nr 59 do protokołu kontroli). Uczelnia, będąca administratorem tych danych osobowych, nie posiadała informacji o tym fakcie. Operacja ta również nie była rejestrowana w SOK. Pan A.G. pobrane zestawy danych przygotowywał do kwalifikacji poprzez ich odpowiednie filtrowanie w arkuszu kalkulacyjnym według odpowiednich kryteriów kwalifikacyjnych, które są określone dla poszczególnych kierunków studiów, a następnie przedstawiał na spotkaniu kwalifikacyjnym komisji rekrutacyjnej. Na podstawie pobranych zestawów danych osobowych pan A.G. sporządzał również raporty końcowe z zestawieniami statystycznymi według wybranych kryteriów. Na skradzionym komputerze miał założony katalog z rekrutacją na konkretny rok, w którym przechowywał różne pliki raportowo-bazowe, a także inne dokumenty, jak np. odpowiedzi na pisma w sprawach związanych z rekrutacją.

Przedmiotowe naruszenie ochrony danych osobowych dotyczy kandydatów na studia w SGGW z okresu ostatnich 5 lat i z przeprowadzonych przez Uczelnię obliczeń wynika, że obejmuje 81 624 rekordy (wpisy) w Systemie Obsługi Kandydatów. Powyższa liczba nie jest dokładną liczbą osób, których danych osobowych naruszenie dotyczy, gdyż w ciągu 5 lat ta sama osoba mogła podchodzić do innej rekrutacji, bądź kandydować na drugi stopień studiów. We wstępnym zgłoszeniu naruszenia ochrony danych osobowych skierowanym do Prezesa Urzędu Ochrony Danych Osobowych [...] listopada 2019 r. jako górna granica wskazana została przypuszczalna liczba 100 000 osób, których dane dotyczą.

W związku z powyższym, pismem z […] marca 2020 r. (znak: ZSOŚS.421.25.2019) Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu ustalenia zgodności przetwarzania danych osobowych kandydatów na studia w SGGW z przepisami o ochronie danych osobowych.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, zawartej w piśmie z […] kwietnia 2020 r. ([…]), w pismach ją uzupełniających z […] czerwca 2020 r. ([…]) i […] lipca 2020 r. ([…]) oraz w pismach z […] grudnia 2019 r. ([…]), […] stycznia 2020 r. ([…] […] stycznia 2020 r. ([…]) i […] stycznia 2020 r. ([…]) rektor SGGW złożył wyjaśnienia, w których wskazał m.in., że:

1) Zarzut braku przeglądów i aktualizacji dokumentacji wprowadzonej zarządzeniem Rektora Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie 88/2013 z 03.12.2013 r w sprawie Polityki bezpieczeństwa (zwana dalej: „Polityką Bezpieczeństwa”) oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzani danych (dalej zwana też: „Instrukcją zarządzania systemem informatycznym”) pozbawiony jest podstaw faktycznych i prawnych, jak również pozostaje w sprzeczności z dotychczasowymi rekomendacjami Prezesa Urzędu Ochrony Danych Osobowych dotyczących prowadzenia dokumentacji procesów składających się na ochronę danych osobowych w organizacji. W ocenie Uczelni, obowiązująca w SGGW dokumentacja nie tylko w znacznej części, pomimo upływu czasu od jej wdrożenia, jest aktualna, jak również poddawana jest bieżącym pracom aktualizacyjnym mającym na celu jej dostosowywanie do wymogów rozporządzenia 2016/679.

W ocenie Uczelni ww. dokumenty spełniały założenia strategii ochrony danych, choć zostały wprowadzone na gruncie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024). SGGW wskazuje przy tym, że wdrożenie tych rozwiązań pozwalało stwierdzić, że podmiot spełniał wymogi dotyczące zabezpieczenia danych i nadal je spełnia choć obecnie obowiązujące przepisy o ochronie danych osobowych są nieco odmienne, gdyż wskazane są ogólne wymogi, w tym wymóg przeprowadzenia analizy ryzyka i doboru zabezpieczeń odpowiednich dla tego rodzaju ryzyka, a prawodawca unijny nie przewidział wydawania przepisów wykonawczych wskazujących na konkretne rodzaje zabezpieczeń, przez co SGGW jako administrator uzyskał większą swobodę w doborze zabezpieczeń, powiązaną z większą odpowiedzialnością za ich dobór.

W ocenie Uczelni, w zawiadomieniu o wszczęciu postępowania zupełnie pominięty został fakt istnienia aktualizacji przedmiotowej polityki o obligatoryjne elementy nałożone na administratora na mocy rozporządzenia, takie jak: rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania (art. 30 rozporządzenia 2016/679), procedury dotyczące zgłaszania naruszeń ochrony danych do organu nadzorczego (art. 33 ust 3 rozporządzenia 2016/679), procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 rozporządzenia 2016/679. Jako dowód Uczelnia wskazuje na wiadomości e-mail inspektorów ochrony danych - z […] października 2019 r., o konieczności aktualizacji rejestru oraz podrejestrów czynności przetwarzania (znajdujący się w aktach kontroli), z […] maja 2019 r. o konieczności prowadzenia rejestru (podrejestrów) czynności przetwarzania (załącznik do odpowiedzi na wszczęcie postępowania) oraz z […] września 2019 r. o konieczności prowadzenia rejestru naruszeń (załącznik do odpowiedzi na wszczęcie postępowania). Wskazano również, że w SGGW ustanowiono zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym (procedura korzystania z komputerów przenośnych) oraz prowadzone są na szeroką skalę czynności zmierzające do implementacji kompleksowej polityki ochrony danych osobowych w brzmieniu odpowiadającym treści rozporządzenia 2016/679, oraz zastępującej obecnie obowiązującą politykę bezpieczeństwa.

2) Nieprawidłowe jest twierdzenie, iż administrator nie wykazał, że obowiązujące na SGGW procedury są na bieżąco monitorowane i dostosowywane do procesów przetwarzania danych. Uczelnia wskazuje, że od początku 2018 r. wersjonowała oraz wdrażała dostosowaną do treści wymogów rozporządzenia 2016/679 odpowiednią dokumentację. Dodatkowo Uczelnia nie zgadza się z faktem, iż inspektorzy ochrony danych nie przeprowadzali audytów jednostek, gdyż zgodnie z wyjaśnieniami, jak również z dokumentacją, inspektorzy ochrony danych odbywali cykliczne spotkania w jednostkach organizacyjnych administratora — m.in. w Biurze Spraw Studenckich. Podczas spotkań z pracownikami jednostek omawiane były najpilniejsze potrzeby oraz wątpliwości związane z przetwarzaniem danych osobowych. Dodatkowo analizie podlegała bieżąca dokumentacja związana z przetwarzaniem danych osobowych oraz schematy postępowania, wydawane były również zalecenia. Zgodnie z ewidencją spotkań inspektora ochrony danych - […], w czasie 5 miesięcy pełnienia funkcji, odbył on kilkanaście wizyt w poszczególnych jednostkach organizacyjnych Uczelni. SGGW wskazuje również na działalność dwóch wcześniejszych pracowników piastujących funkcję inspektora ochrony danych polegającą m.in. na organizowaniu szkoleń z pracownikami Uczelni, spotkań z przedstawicielami jednostek, przygotowaniu i implementowaniu wersjonowanych dokumentów. Jednym z dokumentów na to wskazujących jest załącznik do pisma z […] lipca 2020 r. pt. „terminy odbytych konsultacji/szkoleń w poszczególnych obszarach” dotyczący prac jednego z poprzednich inspektorów ochrony danych – pana A.G. Ponadto w ocenie Uczelni należy uwzględnić powołanie zespołu zadaniowego pod przewodnictwem […], który ma na celu wdrożenie zmian wynikających z zadania audytowego pt. „Optymalizacja Zasobów IT” oraz działalność edukacyjną Centrum Informatycznego SGGW polegającą m.in. na informowaniu o dobrych praktykach w zakresie bezpieczeństwa, wypracowywaniu wspólnie z Inspektoratem Ochrony Danych i Bezpieczeństwa Informacji komunikatów związanych z prawidłowym postępowaniem w zakresie bezpieczeństwa danych osobowych kierowanych do pracowników jednostek organizacyjnych uczelni, a także udostępnieniu w Intranecie zakładki, przeznaczonej dla pracowników, dotyczącej ochrony danych osobowych, która jest na bieżąco rozbudowywana.

Ponadto Uczelnia wymieniła działania, jakie zrealizowała w obszarze IT przed czynnościami kontrolnymi, tj. utworzenie nowej serwerowni w Centrum Informatycznym (m.in. wdrożono […]), uwierzytelnianie użytkowników w ramach rozbudowanej ogólnouczelnianej sieci bezprzewodowej, zatwierdzenie, wdrożenie i stosowanie „Procedury nadawania/modyfikacji/odbierania uprawnień do systemu informatycznego” oraz udostępnienie pracownikom bezpiecznych wspólnych zasobów dyskowych bez konieczności zapisywania informacji na komputerach i urządzeniach przenośnych.

W ostatnich miesiącach, jak wskazała Uczelnia, w obszarze IT zostały zrealizowane m.in. następujące działania: ograniczenie kopiowania danych na dyski zewnętrzne dla pracowników administracji posiadających dostęp do najważniejszych systemów informatycznych, w których przetwarzane są dane osobowe; trwałe usuwanie danych z nośników przy przekazywaniu komputerów pomiędzy jednostkami organizacyjnymi wykorzystując dedykowane oprogramowanie oraz aktualizacja „Standardu konfiguracji komputerowej stacji roboczej” wprowadzająca obowiązek stosowania dodatkowych zabezpieczeń.

SGGW przedstawiła również działania, które są w trakcie realizacji, tj. wdrożenie na komputerach (w szczególności przenośnych) rozwiązań umożliwiających szyfrowanie dysków komputerów oraz nośników zewnętrznych, wdrożenie wspólnej domeny całej Uczelni i dodanie do niej wszystkich komputerów użytkowanych przez pracowników Uczelni, co poprzez centralne i jednolite zarządzanie ma podnieść bezpieczeństwo użytkowników i zasobów cyfrowych.

Ponadto Uczelnia wskazała, że uruchomiono intensywne działania zmierzające do oceny systemów informatycznych Uczelni, w ramach których przetwarzane są dane osobowe. W ramach podjętych działań, do wszystkich jednostek organizacyjnych Uczelni została rozesłana tabela (pismo nr […] z dnia […] listopada 2019 r. uzupełnione pismem nr […] z […] stycznia 2020 r.) z określonymi wymaganiami dla systemów przetwarzających dane osobowe, umożliwiająca ocenę zgodności tych systemów z: Polityką Bezpieczeństwa, Instrukcją zarzadzania systemem informatycznym oraz rozporządzeniem 2016/679. Na podstawie zebranych informacji zwrotnych od jednostek organizacyjnych Uczelni, przeprowadzona została analiza, wskutek której rektorowi Uczelni pismem z […] lutego 2020 r. (załącznik do odpowiedzi na wszczęcie postępowania) przedstawiono wnioski wypływające z analizy oraz zaproponowano działania służące poprawie bezpieczeństwa informatycznego. Działania te opracowano, przedstawiono Rektorowi pismem z […] kwietnia 2020 r. i zostały przez niego zaakceptowane do realizacji (załącznik do pisma z […] czerwca 2020 r.).

Dodatkowo Uczelnia w ramach przyjętych przez Senat Uczelni planów (uchwała Senatu SGGW z […] lutego 2020 r.) zabezpieczyła środki finansowe w 2020 r. na realizację zaplanowanych działań zwiększających poziom bezpieczeństwa informatycznego, tj. budowę i wdrożenie nowego systemu do wsparcia procesu rekrutacji kandydatów, audyt systemów informatycznych w zakresie architektury, bezpieczeństwa i wydajności, dostosowanie centralnych systemów informatycznych do wymagań rozporządzenia 2016/679, opracowanie procesu zarządzania incydentami teleinformatycznymi, wdrożenie procedur i planów ciągłości działania, opracowanie polityki bezpieczeństwa teleinformatycznego.

3) SGGW nie zgadza się z zarzutem naruszenia art. 32 ust. 2 rozporządzenia 2016/679 poprzez uchybienie obowiązkowi dokonania analizy ryzyka, jakie wiąże się z przetwarzaniem danych osobowych kandydatów na studia SGGW. Uczelnia podkreśliła, że przekazana wraz z pismem z […] grudnia 2019 r. analiza ryzyka dla procesu rekrutacji datowana na […] maja 2019 r. została przeprowadzona. Powyższe, w ocenie Uczelni, uwiarygadnia dokument poprzedniego inspektora ochrony danych pana A.G. pt. „terminy odbytych konsultacji / szkoleń w poszczególnych obszarach” (dokument dołączono do pisma z […] lipca 2020 r.). Do pism z […] czerwca i […] lipca 2020 r. dołączona została również metodyka, w oparciu o którą powyższa analiza została przygotowana. Dodatkowo, pismem z […] czerwca 2020 r., Uczelnia przedstawiła nową analizę ryzyka dla przetwarzania danych osobowych w procesie rekrutacji oraz metodykę, w oparciu o którą analiza ta została wykonana. Wraz z tymi dokumentami przedstawiony został plan naprawczy, określający priorytety w działaniach administratora w zakresie maksymalizacji skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia w SGGW, który ma zostać wdrożony zgodnie ze wskazanym w nim harmonogramem.

Uczelnia wskazała, że każda z osób piastujących funkcję inspektora ochrony danych podejmowała czynności zmierzające do wykonania analizy ryzyk związanych z operacjami przetwarzania danych osobowych, wskazywała na potrzebę ich wykonania lub przedstawiała swoją metodologię z szacowaniem ryzyka związanego z operacjami przetwarzania danych osobowych. Świadczyć to ma o braku podstaw do poddawania w wątpliwość wykonania przedmiotowej analizy w dacie na niej wskazanej, tj. […] maja 2019 r. Podkreślono także, że rozporządzenie 2016/679 nie wskazuje określonej metody prowadzenia i dokumentacji procesu zarządzania ryzykiem, lecz ważne jest, aby zastosowana metodyka dawała rzetelną i obiektywną ocenę ryzyka. Ponadto Uczelnia wskazała, że zgodnie z zasadą rozliczalności, rozporządzenie 2016/679 wymaga, aby proces szacowania ryzyka został przeprowadzony i udokumentowany — w celu wykazania, że ryzyko zostało oszacowane i wprowadzono odpowiednie środki ochrony. Uczelnia wskazała, że ocena ryzyka w praktyce, w większości przypadków wykonywana jest w wersji elektronicznej, niewymagającej podpisu, a nawet daty (wskazując na wykorzystanie arkusza kalkulacyjnego bądź zewnętrznych dedykowanych narzędzi).

W odniesieniu do zarzutu co do błędów i uchybień w samej treści analizy ryzyka oraz jej wyniku wskazała, że arkusz analizy ryzyka nie jest dokumentem samodzielnym, a skorelowanym w głównej mierze z Polityką Bezpieczeństwa obowiązującą na SGGW. Uczelnia podkreśla, że choć można zarzucić pewne nieścisłości przedmiotowej analizie, a samo szacowanie ryzyka jest ocenne, to ją wykonała.

Wyjaśniając przykładowe nieścisłości w analizie ryzyka wskazane w zawiadomieniu o wszczęciu postępowania, SGGW podniosła, że w pkt 3.3.9, jako jedno z zagrożeń, wskazano „niepodejmowanie kontroli przestrzegania polityki i procedur ochrony danych (brak audytów)”, którego prawdopodobieństwo zaistnienia oceniono na poziomie 1 (niskie prawdopodobieństwo), natomiast wpływ na prawa i wolności osoby, której dane dotyczą oceniono na poziomie 4 (wpływ średni). Jako środek zaradczy wskazano aktualizację polityki ochrony danych, co skutkować miało ustaleniem wpływu na prawa i wolności osób, których dane dotyczą na poziomie znikomym. W tym samym akapicie, odnoszącym się do tego punktu, SGGW wskazała, że w jej ocenie nie można zgodzić się z wnioskiem, iż aktualizacja Polityki bezpieczeństwa nie była prowadzona, gdyż aktualizacje obowiązujących dokumentów składających się na Politykę bezpieczeństwa były prowadzone poprzez wersjonowanie wspomnianej już poszczególnej dokumentacji m.in. upoważnień, regulaminów, rejestrów. W ocenie administratora, w tym punkcie ocena została przeprowadzona w sposób prawidłowy — znikome prawdopodobieństwo wynikało z bieżących prac nad wersjonowaniem dokumentacji składających się na politykę ochrony danych osobowych na Uczelni. W pozostałym zakresie, tj. w pkt. 3.3.16, 3.3.19 ww. analizy, Uczelnia wskazała, że analiza w sposób wyraźny określiła, iż środki zostały wdrożone, ale wymagają aktualizacji, jak również planowanym środkiem jest konieczność zawężenia zakresu przetwarzania danych osobowych w zależności od potrzeb, a także uniemożliwienia otwierania systemu poza terenami określonymi w Zarządzeniu Rektora nr 88/2013, tj. uniemożliwienia logowania się do systemu poza siecią SGGW. Tym samym w ocenie Uczelni we wnioskach końcowych ryzyko zostało zidentyfikowane w sposób prawidłowy, a zalecenia w sposób oczywisty określiły zakres proponowanych technicznych środków bezpieczeństwa minimalizujących prawdopodobieństwo.

Ponadto Uczelnia wskazała, że od grudnia 2018 r. prowadzone są przez wyznaczony zespół zadaniowy szeroko zakrojone prace nad optymalizacją systemów informatycznych i usprawniono działanie Systemu Obsługi Kandydatów, zgodnie z zaleceniami wynikającymi z analizy ryzyka m.in. poprzez ograniczenie funkcjonalności w postaci możliwości logowania się oraz importu danych.

4) SGGW nie zgadza się z zarzutem, iż nie zostały wdrożone odpowiednie środki organizacyjne. Zwrócono uwagę na treść Instrukcji zarządzania systemem informatycznym, zgodnie z którą na stronie 17, w pkt 7 zatytułowanym: „Przechowywanie nośników informacji zawierających dane osobowe", w ppkt 7.5 wskazane jest, iż „nie należy wynosić danych osobowych w postaci wydruków i na nośnikach przenośnych poza obszar przetwarzania bez uzasadnionej przyczyny". Podkreślono, że dotyczy to wszelkich wydruków i nośników bez względu na rodzaj ich własności (prywatny/służbowy SGGW) i świadczy to o wdrożeniu odpowiednich rozwiązań organizacyjnych mających na celu zabezpieczenie przetwarzanych danych osobowych.

Uczelnia wskazała, że pan A.G. nie posiadał upoważnienia do przetwarzania danych osobowych na prywatnym nośniku, tym samym jego działanie było niezgodne z obowiązującymi na Uczelni regulacjami. Na Uczelni bowiem obowiązuje „Procedura używania komputerów przenośnych”, która stanowi załącznik do Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych, określająca sposoby postępowania z komputerami przenośnymi wykorzystywanymi do przetwarzania danych osobowych, w celu zapewnienia bezpieczeństwa przed kradzieżą i dostępem osób nieuprawnionych, a przetwarzanie danych osobowych poza obszarami przetwarzania określonymi w Polityce Bezpieczeństwa może odbywać się jedynie w szczególnych przypadkach i za zgodą administratora. Nadto zwrócono uwagę, iż pan A.G. nie informował, iż prowadzi czynności na komputerze prywatnym, jak również nie występował o przyznanie mu przenośnego komputera służbowego pomimo takiej możliwości (co zostało potwierdzone w protokole kontroli – w wyjaśnieniach złożonych przez […]  i […]).

W ocenie Uczelni, procedury, które w sposób wyraźny zakazują wykorzystywania sprzętu prywatnego do przetwarzania danych osobowych stanowią środek zabezpieczający przewidziany w art. 32 rozporządzenia 2016/679, tj. środek organizacyjny. Jednocześnie, Uczelnia wskazała, że zgodnie z Polityką Bezpieczeństwa na jej terenie zostały wprowadzone wspólne środki organizacyjne, które są w miarę upływu czasu aktualizowane i wersjonowane tak, aby odpowiadały wymogom rozporządzenia, w tym m.in. została opracowana i wdrożona Polityka Bezpieczeństwa (jest aktualizowana); użytkownicy muszą w formie pisemnej zostać upoważnieni do przetwarzania danych osobowych (zostały wypracowane nowe wzory upoważnienia); prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych (obowiązek ciążący na pełnomocnikach ds. ochrony danych osobowych oraz na ABI/IOD jako osobie nadzorującej) na zasadach określonych w Instrukcji zarządzania systemem informatycznym; każdy użytkownik został zobowiązany w formie pisemnego oświadczenia stanowiącego załącznik nr 2 do Instrukcji zarządzania system informatycznym i na zasadach określonych w punkcie 3.2 tej instrukcji do zachowania w tajemnicy danych osobowych i informacji o ich zabezpieczeniach; został wyznaczony inspektor ochrony danych; osoba pełniąca funkcję pełnomocnika ds. ochrony danych osobowych zobowiązana jest do określenia obszaru przetwarzania danych osobowych, wykorzystując w tym celu zalecenia wynikające z załącznika nr 1 do Polityki Bezpieczeństwa, w szczególności poprzez opracowanie „Wykazu pomieszczeń stanowiących obszar przetwarzania danych wraz z opisem stosowanych zabezpieczeń" będącym załącznikiem nr la do Polityki Bezpieczeństwa — na stronie nr 3 załącznika nr 1 do Polityki Bezpieczeństwa obszar przetwarzania danych osobowych dla zbioru „kandydaci na studia” został określony adresem ul. Nowoursynowska 166, 02-787 Warszawa.

Ponadto wskazano, że w SGGW podejmowane są dodatkowe działania w zakresie aktualizacji środków organizacyjnych mających na celu zwiększenie bezpieczeństwa przetwarzanych danych osobowych, polegające m.in.: na nawiązaniu od […] grudnia 2019 r. współpracy z podmiotem zewnętrznym, specjalizującym się w ochronie danych osobowych, który obecnie wykonuje szereg działań wspierających Uczelnię w obszarze ochrony danych osobowych i bezpieczeństwa informacji. Ponadto, rozpoczęto prace nad ww. procedurami (w tym analizy ryzyka) oraz przeprowadzono procedury zamówień publicznych dotyczących infrastruktury informatycznej.

5) Uczelnia wskazała, że obecnie jest na zaawansowanym etapie uaktualniania stosowanych w SGGW dokumentów do bieżącego stanu prawnego poprzez: doprecyzowanie procedury zgłaszania naruszeń ochrony danych do organu nadzorczego (art. 33 ust. 3 rozporządzenia 2016/679), procedury oceny i notyfikacji naruszeń ochrony danych osobowych (art. 34 rozporządzenia 2016/679), procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych (art. 33 rozporządzenia 2016/679) oraz rejestru czynności przetwarzania i zakresu rejestru kategorii czynności przetwarzania (art. 30 rozporządzenia 2016/679), procedury w zakresie tworzenia nowych procesów przetwarzania i uwzględniania domyślnej ochrony danych (art. 25 rozporządzenia 2016/679), procedury oceny ryzyka i oceny skutków dla ochrony danych osobowych (art. 24, 32, 35 rozporządzenia 2016/679), a także planu utrzymania zgodności oraz prowadzenia audytów wewnętrznych, w tym m.in. zasady monitorowania i audytu procedur wewnętrznych, sposobu ich realizowania oraz procedury wyboru dostawcy przetwarzającego dane osobowe wraz z rejestrem podmiotów przetwarzających. SGGW wskazała również, że obecnie wyspecjalizowany podmiot zewnętrzny, z którym Uczelnia podpisała umowę, wykonuje zlecenie kompleksowego przygotowania projektu polityki ochrony danych osobowych wraz procedurami na SGGW, co potwierdza harmonogramem załączonym do odpowiedzi na wszczęcie postępowania.

6) Odnosząc się do stwierdzenia, iż SGGW nie wdrożyło adekwatnych środków technicznych i organizacyjnych, aby zapewnić odpowiednie bezpieczeństwo danych osobowych kandydatów w procesie rekrutacji na studia w SGGW, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, gdyż dane osobowe kandydatów pochodzące z okresu ostatnich 5 lat rekrutacji były przetwarzane na prywatnym komputerze pana A.G., [...], w szczególności wobec braku zabezpieczenia tego komputera przed nieuprawnionym dostępem i brakiem zabezpieczenia plików z danymi osobowymi kandydatów na studia, Uczelnia wskazała, że powyższe nie stanowi o naruszeniu przez administratora zasady ograniczenia przechowywania określonej w art. 5 ust. 1 lit. e rozporządzenia 2016/679. W ocenie SGGW, z faktu przetwarzania danych osobowych (bez właściwych zabezpieczeń) na prywatnym komputerze nie wynika, że SGGW nie wdrożyło adekwatnych środków. Z tego faktu wynika jedynie, że pracownik przetwarzał dane na prywatnym komputerze znajdującym się poza jurysdykcją, bez zgody administratora i wbrew procedurom obowiązującym w SGGW. Uczelnia ponownie podkreśliła, że pan A.G. nie informował o tym fakcie i nie posiadał upoważnienia do przetwarzania danych osobowych na prywatnym nośniku.

Uczelnia podniosła, że twierdzenie organu nadzorczego, iż przechowywanie danych osobowych kandydatów sprzed 5 lat na prywatnym komputerze świadczy o naruszeniu przez administratora zasady ograniczenia przechowywania, nie jest zgodne ze stanem faktycznym. W ocenie Uczelni, SGGW przeanalizowało i określiło właściwy okres przechowywania danych kandydatów na studia (3 miesiące). Oznacza to, że administrator stosuje się do zasady z art. 5 ust. 1 lit. e rozporządzenia 2016/679. W każdej organizacji występuje jednak czynnik ludzki, który jest zawodny. Stąd argumentacja przedstawiona w zawiadomieniu wydaje się, w ocenie Uczelni, być niespójna i krzywdząca dla administratora. Dodatkowo podkreśliła, że celem ograniczenia błędów działania czynnika ludzkiego, zarówno przed dniem wszczęcia kontroli, jak i obecnie, prowadzi stale szkolenia pracowników Uczelni w zakresie przetwarzania danych osobowych, w tym szkolenia on-line dla wszystkich pracowników.

7) Odnosząc się do zarzutu naruszenia zasady rozliczalności w systemie informatycznym służącym do przetwarzania danych osobowych kandydatów na studia Uczelnia wskazała, że jeszcze w trakcie kontroli podjęła działania dotyczące wprowadzenia środków zgodnych z tą zasadą, które zostały wprowadzone w procesie rekrutacji kandydatów na studia drugiego stopnia rozpoczynające się od semestru letniego 2019/2020. W tym celu, […] listopada 2019 r. została zawarta (a […] stycznia 2020 r. zaktualizowana), z panem A.G., byłym pracownikiem Uczelni i twórcą Systemu Obsługi Kandydatów, umowa na pełnienie przez niego obowiązków administratora systemu informatycznego SOK oraz powierzenia przetwarzania zgodnie z dotychczasowymi warunkami (dokument znajduje się w aktach kontroli oraz załącznikach do odpowiedzi na wszczęcie postępowania). W następstwie powyższego wdrożono m.in. następujące zmiany techniczne i organizacyjne dla Systemu Obsługi Kandydatów:

- dostęp do treści zakładki „[…]” jest możliwy wyłącznie po nadaniu stosownych uprawnień przez kierownika Biura Spraw Studenckich, a sam eksport danych jest możliwy wyłącznie w określonym przez kierownika Biura Spraw Studenckich uzasadnionym funkcjonalnie zakresie przetwarzania danych,

- fakt pobrania danych z zakładki rejestrowany jest w logach systemowych i jest możliwość pobrania raportu dotyczącego eksportu danych zawierającego informacje: kto, kiedy i jaki raport (eksport danych) pobrał,

- ograniczenie dostępu do Systemu Obsługi Kandydatów dla Uczelnianej i Wydziałowych Komisji Rekrutacyjnych wyłącznie do terenu budynku nr […]  i nr […] - ograniczenie techniczne/systemowe do wydzielonej podsieci,

- wprowadzenie indywidualnego numeru identyfikacyjnego (DOID) jako identyfikatora kandydata w SOK,

- umożliwienie korzystania z SOK członkom Komisji Rekrutacyjnych wyłącznie z komputerów przygotowanych do obsługi rekrutacji przez Centrum Informatyczne SGGW,

- ograniczenie zawartości raportów, z których korzystają Komisje Rekrutacyjne wyłącznie do informacji niezbędnych do podjęcia decyzji kwalifikacyjnych,

- wydzielenie specjalnego zasobu w celu przekazywania w formie bezpiecznej informacji podlegającej przeniesieniu z Systemu Obsługi Kandydatów do Wirtualnego Dziekanatu SGGW bez konieczności przekazywania ich pocztą elektroniczną.

Ponadto Uczelnia wskazała, że w celu ograniczenia przekazywania plików pomiędzy SOK a systemem „Wirtualny Dziekanat” za pośrednictwem poczty internetowej utworzony został odrębny zasób, na który przekazywane są pliki transferowe. Wszelka korespondencja z wydziałowymi komisjami rekrutacyjnymi — o ile jest niezbędna — zawierająca dane osobowe osób przyjętych na studia odbywa się przy użyciu szyfrowanych plików.

8) Uczelnia wskazała, że nie zgadza się także w pełni z zarzutem, iż inspektorzy ochrony danych, w szczególności pan A.G, w ogóle nie monitorowali przepisów rozporządzenia oraz nie udzielali wsparcia administratorowi w wywiązywaniu się z obowiązków wynikających z rozporządzenia 2016/679. Uczelnia podkreśliła, że błąd inspektora czy zaniechanie inspektora ochrony danych nie może być równoznaczne z niewłaściwym nadzorem administratora nad przestrzeganiem bezpieczeństwa danych. Wskazała również, że z dochowaniem należytej staranności wybrała podmiot specjalizujący się w ochronie danych osobowych w sposób kompleksowy i delegacja obowiązków/zadań profesjonalnemu podmiotowi jest jedynym aspektem, w ramach którego administrator może mieć realny wpływ na wypełnienie obowiązków wynikających z rozporządzenia 2016/679. Uczelnia wskazała także, że na przestrzeni lat 2018-2020 zostały opracowane i implementowane nowe wzory umów powierzenia, dedykowanych klauzul informacyjnych, zgód podmiotów danych, procedura zgłaszania naruszeń oraz ich notyfikacji i ewidencjonowania, nowy wzór upoważnienia do przetwarzania danych osobowych itp. Dodatkowo zmiany obejmowały swoim zakresem poszczególne dokumenty oraz regulaminy, które w ocenie administratora wymagały aktualizacji w pierwszej kolejności — czy to z uwagi na zmiany prawne czy też organizacyjne. Między innymi dokonano aktualizacji oraz weryfikacji procedury obiegu korespondencji w systemie obiegu korespondencji (EZD), procedury antymobbingowej, Regulaminu Zakładowego Funduszu Świadczeń Socjalnych, Regulaminów Domów Studenckich, zapisów dotyczących monitoringu wizyjnego (aktualizacja obowiązku informacyjnego).

Uczelnia podniosła także, iż niewłaściwym jest formułowanie wniosków jedynie w odniesieniu do osoby obecnie piastującej funkcję inspektora (od czerwca 2019 r., tj. przez okres niespełna 5 miesięcy przed zaistnieniem zdarzenia objętego kontrolą). Zwróciła uwagę, że poprzedni inspektorzy - pan W.K, jak i pan M.K. - podejmowali działania w celu aktualizacji obowiązującej na Uczelni Polityki Bezpieczeństwa. W dniu […] sierpnia 2018 r. inspektor ochrony danych […] przedłożył nową wersję kompleksowej polityki ochrony danych, która była przez administratora wewnętrznie procesowana. Od 2018 r. każda z osób pełniących funkcję inspektora prowadziła stałą obserwację i kontrolę zgodności procesów przetwarzania danych z przepisami o ochronie danych osobowych, na co wskazują e-maile kierowane przez inspektorów ochrony danych, które znajdują się w aktach kontroli oraz załączone do odpowiedzi na wszczęcie postępowania. Uczelnia zaznaczyła, że inspektor ochrony danych […] prowadził szerokie działania edukacyjne dla pracowników na co wskazuje kalendarz spotkań inspektora (załącznik do odpowiedzi na wszczęcie postępowania) oraz wyjaśnienia Kierownika […]  złożone w trakcie kontroli. Działalność edukacyjna prowadzona jest również przez pracownika Inspektoratu Ochrony Danych i Bezpieczeństwa Informacji SGGW – […].

Z wyjaśnień złożonych przez […] wynika, iż podczas spotkań władz Uczelni z dyrektorami instytutów i dziekanami wydziałów, które miały miejsce […] września i […] października 2019 r. zostały przeprowadzone przez […]  i inspektora ochrony danych […] szkolenia z zakresu zasad ochrony danych osobowych, dotyczące w szczególności spraw związanych z zasadami bezpiecznego przetwarzania danych osobowych, m.in. koniecznością zabezpieczania hasłem przesyłanych w formie elektronicznej dokumentów zawierających dane osobowe, stosowania zasad czystego biurka, zachowania w szczególnej ostrożności przy korzystaniu z nośników USB oraz w stosunku do otrzymywanych w poczcie elektronicznej załączników. Inspektor ochrony danych […] odbył na przestrzeni 5 miesięcy piastowania przez niego funkcji, spotkania z poszczególnymi jednostkami, w tym Biurem Spraw Studenckich. Podczas spotkań prowadzony był audyt bieżącego funkcjonowania poszczególnych jednostek oraz dostosowywana była dokumentacja przetwarzania danych osobowych do treści rozporządzenia 2016/679. Powyższe działania, w ocenie Uczelni, z całą pewnością świadczą o wypełnianiu zadań przez inspektora ochrony danych w zakresie kontroli jednostek, w których dochodzi do przetwarzania danych osobowych. Na potwierdzenie powyższego, do odpowiedzi na wszczęcie postępowania Uczelnia załączyła stosowne wiadomości e-mail.

Ponadto SGGW nie zgadza się z twierdzeniem, że działania inspektora ochrony danych polegały przede wszystkim na działaniach edukacyjnych w zakresie ochrony danych osobowych, tj. na prowadzeniu szkoleń, kierowaniu zaleceń w formie komunikatów do pracowników Uczelni, bieżącym udzielaniu odpowiedzi na pytania związane z ochroną danych osobowych oraz że działania edukacyjne ukierunkowane były zasadniczo na przedstawienie podstawowych zasad przetwarzania danych osobowych wynikających z treści rozporządzenia 2016/679, bez uwzględnienia w tych działaniach specyfiki funkcjonowania poszczególnych jednostek organizacyjnych Uczelni i zadań przez nie realizowanych. Biorąc pod uwagę całość zebranego w sprawie materiału dowodowego, SGGW wskazała, że szkolenia przeprowadzone przez inspektora ochrony danych […] były szkoleniami w pełni zindywidualizowanymi do charakteru jednostki m.in. szkolenie przeprowadzone […] listopada 2019 r. oprócz prezentacji szkoleniowej oraz klasycznego wykładu nt. ogólnych zasad ochrony danych, obejmowało również panel dyskusyjny z kierownikami poszczególnych jednostek organizacyjnych, podczas którego omawiana była specyfikacja pracy poszczególnych jednostek oraz operacji przetwarzania przez te jednostki dokonywanych. W trakcie szkoleń i spotkań w poszczególnych jednostkach omawiana była zindywidualizowana specyfika pracy dla określonych zasobów m.in.: ochrona danych osobowych studentów, ochrona danych osobowych pracowników, kwestia niszczenia i archiwizacji prac dyplomowych, klauzule i zgody podczas organizacji konferencji naukowych oraz studencko/doktoranckich, udzielania odpowiedzi ZUS oraz US, kwestia podstaw prawnych udostępniania dokumentacji, kwestia zawierania umów powierzenia na określonych przykładach, bezpieczeństwo danych w odniesieniu do polityki bezpieczeństwa, wysyłanie wiadomości mailowych, zgłaszanie naruszeń oraz czym jest naruszenie — przykłady dostosowane do specyfiki pracy nauczycieli akademickich. Szkolenia oraz spotkania dotyczące ochrony danych osobowych odbywały się w formie paneli dyskusyjnych, podczas których każdy z obecnych miał prawo zadawać określone pytania dostosowane do operacji przetwarzania jakich dokonuje w ramach powierzonych zadań. Oprócz szkoleń stacjonarnych, Uczelnia wskazała, że na chwilę obecną zostało przeprowadzone szkolenie e‑learningowe, w którym mieli możliwość wzięcia udziału wszyscy pracownicy uczelni, a przeszkolonych zostało blisko 1500 pracowników uczelni.

9) Uczelnia nie zgadza się z zarzutem, że administrator nie zapewnił realizacji obowiązków wynikających z art. 24 ust. 1 i art. 32 rozporządzenia 2016/679 poprzez nie podjęcie skutecznych działań w celu zapewnienia przeszkolenia pana A.G. SGGW wskazała, że miał on realną możliwość uczestniczenia w każdym z dostępnych terminów szkolenia i był do tego zobligowany, jednakże wyłącznie z własnej woli nie brał w nich udziału. Podkreśliła również, iż w zakresie szkoleń prowadzonych na wydziałach, na których obecność jest obowiązkowa, do pracowników naukowych były wysyłane emaile szkoleniowe i instruktażowe. Ostatni przed naruszeniem z dnia […] listopada 2019 r. email (opracowany przez Centrum Informatyczne we współpracy ze specjalistą ds. ochrony danych osobowych i bezpieczeństwa informacji) został wysłany przed zdarzeniem w dniu w dniu […] października 2019 r. przez Centrum Informatyczne do wszystkich pracowników, w tym do pana A.G. Jednocześnie Uczelnia wskazała, że w Intranecie SGGW na stronie Centrum Informatycznego jest udostępniona instrukcja hasłowania plików zawierających dane osobowe a pracownicy zgodnie z obowiązującymi procedurami nie mogą przetwarzać danych osobowych poza SGGW na żadnym nośniku. Ponadto członkowie Komisji Rekrutacyjnej, w tym pan A.G, każdorazowo byli informowani o zasadach bezpieczeństwa przetwarzania danych osobowych przez przewodniczącą Uczelnianej Komisji Rekrutacyjnej, jak i Kierownika Biura Spraw Studenckich, co, w ocenie Uczelni, również należy traktować jako szkolenie.

10) W związku z zarzutem naruszenia przez Uczelnię art. 30 ust. 1 lit. d rozporządzenia 2016/679, wyjaśniono, że administrator w związku z otrzymanym od inspektora ochrony danych w dniu […] października 2019 r. wnioskiem o weryfikację przez poszczególne jednostki Uczelni rejestru czynności przetwarzania danych, w zakresie swojej właściwości (podrejestry), pod kątem ich zgodności ze stanem faktycznym, dokonał weryfikacji podrejestru Biura Spraw Studenckich w opisywanym wyżej zakresie oraz dokonał jego aktualizacji (aktualizacja rejestru czynności przetwarzania w zakresie procesu rekrutacji na studia stanowi załącznik do pisma rektora SGGW z […] czerwca 2020 r.).

Uzupełniając powyższe, Uczelnia, pismem z […] stycznia 2020 r., przekazała m.in. korespondencję mailową kierownika Zespołu Kontroli Wewnętrznej, pana T.S. z członkiem komisji rekrutacyjnej, panem G.M. Członek komisji wskazał, że podczas szkolenia z obsługi systemu SOK, które odbyło się […] lipca 2019 r. prawdopodobnie […], wskazywał, że członkowie komisji pobierając dane studentów z systemu SOK do ustalenia tzw. progu, od którego kwalifikowani będą kandydaci do przyjęcia na dany kierunek studiów, muszą usuwać wszelkie dane poza danymi niezbędnym do rekrutacji, tj. informacjami dotyczącymi: opłaty rekrutacyjnej, statusu studenta, liczby punktów z matury i certyfikatu językowego.

Ponadto Uczelnia w odpowiedzi na wszczęcie postępowania wskazała, że we wszystkich obecnie podejmowanych działaniach, w sposób nadrzędny uwzględnia charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Podjęte działania, w ocenie SGGW, gwarantują, iż realizacja powyższych celów nie będzie miała charakteru jednorazowego, gdyż środki te w zakresie systemu rekrutacji (obecnego lub przyszłego) będą poddawane regularnym przeglądom i będą uaktualniane w oparciu o działania podejmowane w ramach realizacji wyników obecnie prowadzonej współpracy z wyspecjalizowanym podmiotem zewnętrznym, z którym Uczelnia podpisała stosowną umowę.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W ocenie Prezesa UODO Uczelnia w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia, co stanowi naruszenie art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 i art. 38 ust. 1 rozporządzenia 2016/679, w tym nie uwzględniała w sposób wystarczający zasady rozliczalności korzystając z systemu informatycznego służącego do przetwarzania danych osobowych kandydatów na studia, co stanowi naruszenie art. 5 ust. 2 rozporządzenia 2016/679.

Art. 5 rozporządzenia 2016/679, formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Zgodnie zaś z art. 5 ust. 1 lit. e rozporządzenia 2016/679, dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”).

Zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679. Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b i d tego artykułu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zgodnie z brzmieniem art. 32 ust 2 rozporządzenia 2016/679, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Ponadto aby zapewnić w sposób efektywny ochronę danych osobowych i zgodność z przepisami rozporządzenia 2016/679, art. 25 ust. 1 zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych – zarówno przy określaniu sposobu przetwarzania, jak i w czasie samego przetwarzania, uwzględniając te same kryteria, które znajdują się w art. 32 ust. 1 rozporządzenia 2016/679, tj. stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania.

W przywołanym art. 24 rozporządzenia 2016/679 prawodawca ustanowił również dodatkowe wymaganie skierowane do administratora, który powinien być w stanie wykazać spełnienie wymogów dotyczących zabezpieczenia danych i zgodności z przepisami rozporządzenia 2016/679. Służyć temu może dokumentowanie przeprowadzonej analizy ryzyka i innych działań podjętych w celu zapewnienia zgodności z przepisami rozporządzenia. Taka konstrukcja nawiązuje do ogólnego obowiązku rozliczalności, o którym mowa w przepisie art. 5 ust. 2 rozporządzenia 2016/679, ustanawiającym zasady ogólne przetwarzania danych (Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE [ogólne rozporządzenie o ochronie danych], w: Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz).

W SGGW obecnie obowiązuje Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych, wprowadzone zarządzeniem rektora Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie nr 88/2013 w sprawie Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. Dokumentacja ta nie została dotychczas w sposób kompleksowy zaktualizowana. Pojęcie „polityka ochrony danych” zostało zawarte w art. 24 ust. 2 rozporządzenia 2016/679 i rozumiane jest jako strategia ochrony danych, plan działań mający umożliwić osiągnięcie celu, jakim jest skuteczna ochrona danych. W tym rozumieniu polityka ochrony danych oznacza ogólny dokument wskazujący podstawowe założenia i cele, jak również zbiór szczegółowych procedur i narzędzi związanych z technicznymi i organizacyjnymi środkami zabezpieczenia danych, które doprecyzowują i rozwijają przyjęte generalne cele i zasady. Biorąc pod uwagę założenia unijnej reformy polegające na kontynuacji i doskonaleniu dotychczasowych rozwiązań oraz materiał dowodowy zebrany w toku kontroli, Prezes UODO wziął pod uwagę, że Uczelnia wdrożyła procedury dotyczące prowadzenia rejestru czynności przetwarzania (art. 30 ust. 1 rozporządzenia 2016/679), w tym, co jest istotne z punktu widzenia przedmiotu kontroli, rejestru czynności przetwarzania w zakresie czynności przetwarzania danych osobowych kandydatów na studia pierwszego, drugiego stopnia i jednolitych studiów magisterskich, procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych (art. 33 rozporządzenia 2016/679), procedury zgłaszania naruszeń ochrony danych do organu nadzorczego (art. 33 ust. 3 rozporządzenia 2016/679) oraz innych dokumentów, takich jak umowy powierzenia, wzory upoważnień, zgód itp., które przedstawiono w toku kontroli. Prezes UODO zarzucając niewystarczającą ocenę zastosowanych środków technicznych i organizacyjnych obejmujących proces przetwarzania danych osobowych kandydatów na studia w SGGW kierował się zasadą wynikającą z art. 24 ust 1 rozporządzenia 2016/679 jaką jest kontrola administratora nad procesami przetwarzania danych osobowych. Niewłaściwe podejmowanie środków wynikających m.in. z art. 32 ust. 1 rzutują na przyjmowane przez administratora procedury i dokumenty. We wszczęciu postępowania administracyjnego wskazano przy tym, iż zalecanym jest, aby dokumentacja wewnętrzna, przy uwzględnieniu struktury organizacyjnej Uczelni, w sposób kompleksowy regulowała wszystkie obszary ochrony danych osobowych, o których mowa w rozporządzeniu 2016/679. Ma to na celu zapewnienie ochrony danych osobowych na płaszczyźnie nie tylko formalnej, ale i praktycznej. Oznacza to, że procedury muszą zostać nie tylko wprowadzone, ale także być stosowane, gdyż w przeciwnym razie powoduje to niezgodność z rozporządzeniem 2016/679.

Uczelnia wskazała, że przyjęta Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym spełniała założenia strategii ochrony danych, choć została wprowadzona na gruncie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004, nr 100, poz. 1024). Wskazała przy tym, że wdrożenie tych rozwiązań pozwalało stwierdzić, że podmiot spełniał wymogi dotyczące zabezpieczenia danych i nadal je spełnia, choć obecnie obowiązujące przepisy o ochronie danych osobowych są nieco odmienne, gdyż wskazane są ogólne wymogi, w tym wymóg przeprowadzenia analizy ryzyka i doboru zabezpieczeń odpowiednich dla tego rodzaju ryzyka, a prawodawca unijny nie przewidział wydawania przepisów wykonawczych wskazujących na konkretne rodzaje zabezpieczeń, przez co SGGW jako administrator uzyskał większą swobodę w doborze zabezpieczeń, powiązaną z większą odpowiedzialnością za ich dobór.

O ile należy zgodzić się ze stwierdzeniem Uczelni, że obecnie obowiązujące przepisy o ochronie danych osobowych nie narzucają administratorom konkretnych rodzajów zabezpieczeń, jakie powinni stosować, o tyle, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, nie można zgodzić się ze stanowiskiem, że zastosowanie się do przepisów wspomnianego rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 2004 roku pozwala stwierdzić, że podmiot spełniał i nadal spełnia wymogi dotyczące zabezpieczenia danych osobowych, a jedynie odpowiedzialność za dobór odpowiednich środków jest obecnie większa. Biorąc pod uwagę okoliczność, że dane osobowe przetwarzane na prywatnym komputerze pracownika Uczelni, wykorzystywanym do celów służbowych, obejmują okres 5 lat, należy wyraźnie podkreślić, że model ochrony danych osobowych oparty na założeniu, że przyjmowane przez administratorów środki powinny być dostosowane do zagrożeń i charakteru przetwarzanych danych nie jest nowością. Podejście takie opiera się na dotychczasowym, blisko czterdziestoletnim dorobku legislacyjnym i orzeczniczym rozwijanym w Europie. Art. 17 ust. 1, uchylonej przez rozporządzenie 2016/679 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, wskazuje przykładowe zagrożenia, które mogą wystąpić podczas operacji przetwarzania danych osobowych oraz wymaga przyjęcia takich zabezpieczeń, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń, mogących wystąpić podczas przetwarzania danych, oraz odpowiednich do charakteru danych objętych ochroną. W Polsce, do momentu rozpoczęcia stosowania rozporządzenia 2016/679, obowiązek przeprowadzenia oceny ryzyka oraz właściwego dobrania środków technicznych i organizacyjnych odpowiedniego do zagrożeń oraz kategorii danych objętych ochroną wynikał z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922). Jak wskazuje orzecznictwo (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie sygn. II SA/Wa 2016/78), powyższy przepis nie wskazywał, jakie konkretnie środki mają być zastosowane przez administratora danych, a jego obowiązki wynikają z postawionych mu zadań, które ujęte są bardzo szeroko i ogólnie: administrator ma zapewnić ochronę przetwarzanych danych osobowych. Tak ujęty obowiązek jest następnie uszczegółowiony w ten sposób, że wskazane zostały najistotniejsze zadania polegające na zabezpieczeniu danych przed ich: udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, zmianą, utratą, przetwarzaniem z naruszeniem ustawy. Ponadto, jak wskazał sąd w przytoczonym wyroku, w literaturze przedmiotu wskazuje się, że skuteczność stosowanych środków powinna podlegać badaniom, zaś przy stosowaniu zabezpieczeń powinno się też uwzględniać zmieniające się warunki oraz postęp techniczny (informatyczny), co może powodować konieczność zmiany, czy modernizowania wprowadzonych wcześniej przez administratora systemów ochrony.

Koncepcję przyjmowania oraz monitorowania stosowanych środków technicznych i organizacyjnych adekwatnych do zagrożeń, a także mających chronić przed przetwarzaniem z naruszeniem przepisów dotyczących ochrony danych osobowych, kontynuuje rozporządzenie 2016/679 m.in. w art. 32 rozporządzenia 2016/679. W myśl tego przepisu, przyjęcie i monitorowanie tych środków powinno być poprzedzone analizą uwzględniającą odpowiednie kryteria, tj. charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. W związku z czym wdrożony środek powinien być odpowiedni do zidentyfikowanych już zagrożeń i niezgodności.

O braku zastosowania się do tej zasady oraz braku nadzorowania przez administratora przestrzegania przez pracownika SGGW zasad przetwarzania danych obowiązujących na Uczelni świadczy wykorzystywanie przez pracownika SGGW prywatnego urządzenia do przetwarzania danych kandydatów na studia w SGGW z okresu 5 ostatnich lat, brak wiedzy administratora o tym fakcie, możliwość pobierania danych tych osób z systemu SOK bez rejestrowania tego procesu w tym systemie informatycznym i gromadzenie ich przez pracownika poza obszarem przetwarzania, wbrew przyjętym procedurom. Ponadto należy wskazać, że pan A.G. działania te podejmował poza zakresem upoważnienia, gdyż za każdym razem upoważnienie obejmowało dane osobowe objęte rekrutacją na studia na dany rok akademicki, zarówno tych przetwarzanych na nośnikach papierowych, jak i tych przetwarzanych w systemie SOK. SGGW również wskazuje, że przedmiotowe upoważnienie nie obejmowało zapisywania i przechowywania danych osobowych na prywatnym komputerze i wynoszeniu ich poza teren SGGW. Jednocześnie, jak wynika z materiału zgromadzonego w toku kontroli, Uczelnia odebrała od pracownika oświadczenie o zachowaniu danych osobowych w tajemnicy i o zapoznaniu się z systemem ochrony danych osobowych obowiązującym na Uczelni. SGGW wskazuje również, że pan A.G. nie zgłaszał potrzeby posiadania komputera służbowego, co w ocenie Prezesa UODO nie może stanowić okoliczności łagodzącej, a tym bardziej stanowić o zdjęciu z administratora odpowiedzialności za kontrolę nad procesem przetwarzania danych osobowych w związku z czynnościami służbowym wykonywanymi przez pracownika. To na administratorze ciąży bowiem obowiązek zweryfikowania w organizacji obszarów przetwarzania danych osobowych i wdrożenia odpowiednich środków technicznych i organizacyjnych mających zapewnić ich bezpieczeństwo.

Tym samym z materiału dowodowego zgromadzonego w toku kontroli jak i powyższych wyjaśnień złożonych w toku postępowania administracyjnego, nie wynika by Uczelnia dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f rozporządzenia 2016/679) czy zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. e rozporządzenia 2016/679), wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu SOK szerokiego zakresu kategorii danych osobowych na nośnik zewnętrzny. W ocenie Prezesa UODO administrator poprzestał na ww. dokumentach podpisanych przez pracownika i wdrożeniu środków organizacyjnych w postaci Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych (zwracając uwagę na treść ppkt 7.5, który zakazuje wynoszenia danych osobowych w postaci wydruków i na nośnikach przenośnych poza obszar przetwarzania bez uzasadnionej przyczyny) oraz Procedury używania komputerów przenośnych (obejmujących wyłącznie komputery służbowe powierzone pracownikom przez Uczelnię), które są niewystarczające w kontekście zapewniania odpowiedniego bezpieczeństwa danych osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, gdyż wymagają dodatkowo od administratora (art. 24 ust 1 rozporządzenia 2016/679) oraz inspektora ochrony danych (art. 39 ust. 1 lit. b rozporządzenia 2016/679) dokonywania przeglądu, nadzorowania zasad określonych w tych dokumentach i w razie potrzeby dostosowywania środków organizacyjnych i technicznych do zidentyfikowanych zagrożeń i niezgodności.

W związku z powyższym zasadny jest zarzut naruszenia przez Uczelnię art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 rozporządzenia 2016/679 poprzez wdrożenie w sposób niewystarczający środków technicznych i organizacyjnych, które powinny podlegać regularnym przeglądom i aktualizacji biorąc pod uwagę czynniki i okoliczności dotyczące przetwarzania danych osobowych wskazane w tym przepisie. Wdrożenie odpowiednich środków ma na celu realizację jednej z ogólnych zasad przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679, która w konsekwencji również została przez administratora naruszona. Ponadto z art. 24 ust. 1 rozporządzenia 2016/679 wynika obowiązek wykazania spełnienia wymogów dotyczących zabezpieczenia danych i zgodności z przepisami rozporządzenia, co przejawia się w dokumentowaniu działań podjętych w celu zapewnienia zgodności z przepisami rozporządzenia i nawiązuje do zasady rozliczalności określonej w art. 5 ust. 2 rozporządzenia 2016/679. W zebranym w postępowaniu materiale brak jest dowodów potwierdzających nadzorowanie przez administratora przestrzegania przez pracownika SGGW pana A.G. zasad przetwarzania danych osobowych określonych w dokumentach obowiązujących na Uczelni oraz rozporządzeniu 2016/679, wobec czego zasadny jest zarzut naruszenia także art. 5 ust. 2 rozporządzenia 2016/679. Dlatego też w treści zawiadomienia o wszczęciu postępowania administracyjnego Prezes UODO podkreślił, że istotnym dokumentem składającym się na politykę ochrony danych jest plan utrzymania zgodności oraz prowadzenia audytów wewnętrznych, w tym m.in. zasady monitorowania i audytu procedur wewnętrznych. Monitorowanie polityki w dziedzinie ochrony danych osobowych należy do obowiązków administratora, a także inspektora ochrony danych, który ma za zadanie wspierać administratora w przestrzeganiu przepisów o ochronie danych osobowych.

Ponadto na podstawie zebranego w toku kontroli materiału dowodowego, Prezes UODO stwierdza, że nie został przeprowadzony audyt wewnętrzny obejmujący poszczególne jednostki organizacyjne SGGW oraz że inspektor ochrony danych pan A.G., nie przeprowadzał analizy ryzyka związanej z przetwarzaniem danych osobowych kandydatów na studia w SGGW. Nie informował on też o konieczności jej sporządzenia przez rektora SGGW czy kierownika Biura Spraw Studenckich, który zgodnie z strukturą organizacyjną Uczelni odpowiada proces rekrutacji na studia w SGGW.

W swoich wyjaśnieniach Uczelnia podnosi, że nie zgadza się z powyższymi stwierdzeniami gdyż z zebranego materiału dowodowego wynika, że inspektorzy ochrony danych odbywali cykliczne spotkania w jednostkach organizacyjnych SGGW m.in. w Biurze Spraw Studenckich, odpowiedzialnym za czynności przetwarzania obejmujące proces rekrutacji na studia w SGGW, których przedmiotem było wyjaśnienie istotnych kwestii związanych z przetwarzaniem danych osobowych, wydawali stosowane zalecenia w tym zakresie, organizowali szkolenia dla pracowników, a także implementowali i wersjonowali dokumenty. Dodatkowo, jak wskazała Uczelnia, analizie poddawana była dokumentacja związana z przetwarzaniem danych osobowych, zaś obecny inspektor ochrony danych pan A.G. na przestrzeni 5 miesięcy piastowania przez niego funkcji, odbywał spotkania z poszczególnymi jednostkami Uczelni. SGGW podkreśliła, że podczas tych spotkań w ramach działań edukacyjnych z zakresu ochrony danych osobowych prowadzony był audyt bieżącego funkcjonowania tych jednostek oraz dostosowywana była dokumentacja przetwarzania danych osobowych do treści rozporządzenia 2016/679.

Wskazać należy, że kontrola przestrzegania przepisów o ochronie danych oraz procedur zawartych w politykach, w tym prowadzenie audytów związanych z operacjami przetwarzania jest działaniem kilkuetapowym, które obejmuje zbieranie informacji, analizowanie i sprawdzanie zgodności przetwarzania, informowanie, doradzanie i rekomendowanie określonych rozwiązań. W związku z tym po pierwsze, istotnym jest zbieranie informacji o podmiocie i stosowanych w nim procesach przetwarzania danych, w tym identyfikacja czynności przetwarzania danych, ustalenie aktywów wykorzystywanych do przetwarzania danych, tj. systemów informatycznych, dokumentów, nośników danych i ustalenie zakresów danych, które są przetwarzane wraz z ich kategoryzacją. Po drugie istotnym jest analiza i ocena czynności przetwarzania w zakresie zgodności z przepisami rozporządzenia 2016/679 zarówno pod względem formalnoprawnym, jak i zgodności systemów informatycznych. Po trzecie zasadnym jest opracowanie raportu i rekomendacji. Raport z przeprowadzonego audytu stanowi podstawę wdrożenia procedur określonych w rozporządzeniu 2016/679.

Mając powyższe na uwadze w ocenie Prezesa UODO działania podejmowane przez inspektorów ochrony danych, wynikające z materiału zebranego podczas czynności kontrolnych, jak i wyjaśnień Uczelni zawartych m.in. w piśmie z […] kwietnia 2020 r., a polegające m.in. na organizowaniu szkoleń, formułowaniu zaleceń, odbywaniu spotkań z pracownikami, czy przygotowywaniu dokumentacji (w tym umów powierzenia, klauzul informacyjnych czy zgód podmiotów danych), wyczerpują jedynie co najwyżej jeden z elementów (etapów) audytu. Nie można zatem uznać, iż prowadzili oni audyty związane z operacjami przetwarzania w sposób kompleksowy. O powyższym świadczy również brak dowodów na sporządzanie raportów z kontroli przestrzegania przepisów o ochronie danych, w szczególności w Biurze Spraw Studenckich i Uczelnianej Komisji Rekrutacyjnej, które jako obowiązkowe zostały określone w pkt 3 załącznika nr 7 do Polityki Bezpieczeństwa zatytułowanego „Zakres obowiązków w odniesieniu do ochrony danych osobowych”. Zwrócić uwagę należy także, że sam inspektor ochrony danych pan A.G. w swoich wyjaśnieniach potwierdził, że nie przeprowadzał audytów ani analizy ryzyka, gdyż, jak wskazał, umowa z […] nie obejmowała świadczenia tego rodzaju czynności oraz że według jego wiedzy audyt w SGGW nie został przeprowadzony. Jest to sprzeczne z wyjaśnieniami Uczelni zawartymi w piśmie z […] kwietnia 2020 r., wskazującymi na przeprowadzanie przez pana A.G. audytu bieżącego funkcjonowania jednostek SGGW w ramach działań edukacyjnych z zakresu ochrony danych osobowych oraz z samą umową o świadczenie usług inspektora ochrony danych (nr […] zawartą […] maja 2019 r. z […] z siedzibą w […]). Paragraf 3 pkt 2 lit. c tej umowy oraz treść art. 39 ust. 1 lit. b rozporządzenia 2016/679 zobowiązują inspektora m.in. do monitorowania przestrzegania przepisów o ochronie danych osobowych oraz polityk przyjętych przez administratora, w tym prowadzenia audytów związanych z operacjami przetwarzania danych. Zaś załącznik nr 7 zatytułowany „zakres obowiązków w odniesieniu do ochrony danych osobowych” do Polityki bezpieczeństwa w pkt 3 zobowiązuje administratora bezpieczeństwa informacji (obecnie inspektora ochrony danych) do wewnętrznych kontroli przestrzegania przepisów o ochronie danych oraz procedur zawartych w Polityce bezpieczeństwa i Instrukcji zarządzania oraz przedstawienia raportów z ich wykonania do władz SGGW. Działania te powinny obejmować zbieranie informacji w celu identyfikacji procesów przetwarzania, analizowanie i sprawdzanie zgodności przetwarzania, doradzanie i rekomendowanie określonych działań.

Jednocześnie brak jest dowodów świadczących, o tym, iż inspektorzy ochrony danych podejmowali działania w zakresie m.in. analizowania, sprawdzania zgodności przetwarzania z przepisami rozporządzenia 2016/679, a także rekomendowania określonych rozwiązań, czy zaleceń w odniesieniu do systemu SOK. Wszelkie modyfikacje oraz nowe funkcjonalności systemu SOK, jak wynika z zebranego materiału dowodowego, były wprowadzane w wyniku spotkań administratora tego systemu informatycznego - pana S.L. z panem Z.W. - kierownikiem Biura Spraw Studenckich. Ponadto, jak wynika z pkt. 10.1.4 Polityki bezpieczeństwa, zadaniem administratora bezpieczeństwa informacji (obecnie inspektora ochrony danych) jest analiza, czy przedmiotowa polityka oraz Instrukcja zarządzania systemem informatycznym oraz inne dokumenty powiązane z nimi są adekwatne do zmian w budowie systemu informatycznego, zmian organizacyjnych na Uczelni, zmian obowiązujących w prawie i innych zmian, które mogą mieć wpływ na bezpieczeństwo danych osobowych. Również zapis w pkt 3 wspomnianego już załącznika nr 7 do Polityki bezpieczeństwa nakłada na administratora bezpieczeństwa informacji (obecnie inspektora ochrony danych) obowiązek współpracy z administratorem systemu informatycznego w zakresie bezpieczeństwa informatycznego danych osobowych. Z uwagi na skalę naruszenia ochrony danych osobowych oraz ustalony stan faktyczny zasadnym jest wniosek, że inspektorzy ochrony danych nie prowadzili takich analiz i przeglądów w kontekście procesu przetwarzania danych osobowych kandydatów na studia w systemie SOK i poza nim, w szczególności w ramach czynności rekrutacyjnych realizowanych przez członków Uczelnianej Komisji Rekrutacyjnej, w tym jej sekretarza. Ponadto, jak wskazał w swoich wyjaśnieniach inspektor ochrony danych pan A.G., nie został włączony przez administratora w proces opracowania projektu polityki ochrony danych osobowych na SGGW. Podkreślić w tym miejscu należy, iż art. 38 rozporządzenia 2016/679 nakłada na administratora bezwzględny obowiązek właściwego i niezwłocznego włączania inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. Inspektor ochrony danych powinien być angażowany w proces decyzyjny obejmujący procesy przetwarzania danych osobowych poprzez zapewnienie mu możliwości wyrażenia stanowiska w kontekście przyjmowanych rozwiązań technicznych, organizacyjnych i prawnych. Włączanie inspektora w sprawy dotyczące danych osobowych wpisuje się w koncepcję ochrony danych w fazie projektowania wyrażoną w art. 25 ust. 1 rozporządzenia 2016/679, która zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych – zarówno przy określaniu sposobu przetwarzania, jak i w czasie samego przetwarzania. Należy dodatkowo podkreślić, że pan A.G. na podstawie nadawanego mu upoważnienia do przetwarzania danych osobowych (obejmującego za każdym razem zbiór danych dotyczący rekrutacji na studia w danym roku akademickim), otrzymywał uprawnienia do systemu informatycznego, w którym przetwarzane są dane kandydatów na studia w SGGW. Z materiału zgromadzonego w toku kontroli, jak i z wyjaśnień złożonych przez Uczelnię w toku postępowania, nie wynika by SGGW dokonało oceny na jakim nośniku, w jakich warunkach i przez jaki okres przechowywane są dane osobowe, których eksport w tak szerokim zakresie może być dokonywany za pomocą wdrożonej funkcjonalności systemu informatycznego, do której dostęp miał pan A.G. i którą to wykorzystywał w celu wykonania czynności służbowych (wskazanych w załączniku do wniosku o przyznanie dodatku specjalnego w związku z wykonywaniem zadań związanych z daną rekrutacją). Działania takie nie były podejmowane mimo świadomości Biura Spraw Studenckich o konieczności dokonywania czynności usuwania (z zestawu danych wyeksportowanych w formie arkusza kalkulacyjnego) danych zbędnych do ustalenia tzw. progu, od którego kwalifikowani będą kandydaci do przyjęcia na dany kierunek studiów (co potwierdza korespondencja mailowa kierownika Zespołu Kontroli Wewnętrznej, pana T.S. z członkiem komisji rekrutacyjnej, panem G.M. załączona do pisma Uczelni z […] stycznia 2020 r.).

W związku z powyższym zasadny jest zarzut naruszenia art. 24 ust. 1, art. 32 ust. 1 lit. b i lit. d, art. 32 ust. 2, i art. 39 ust. 1 lit. b rozporządzenia 2016/679 w związku z art. 5 ust. 2 rozporządzenia 2016/679. W kontekście powyższego zasadnym jest również zarzut naruszenia art. 38 ust. 1 rozporządzenia 2016/679 – poprzez brak włączania inspektora ochrony danych w sprawy dotyczące ochrony danych osobowych w zakresie przyjmowanych rozwiązań technicznych w ramach funkcjonowania systemu SOK i jego późniejszych modyfikacji oraz zarzut naruszenia art. 25 ust. 1 rozporządzenia 2016/679 poprzez brak uwzględniania ochrony danych w czasie samego przetwarzania danych w systemie SOK i poza nim oraz przyjęcia w tym zakresie stosownych procedur.

Uczelnia odpierając zarzut uchybienia obowiązkowi dokonania analizy ryzyka i sprawdzania zgodności przetwarzania z przepisami rozporządzenia 2016/679, wskazuje, że w piśmie z […] grudnia 2019 r. wraz z podpisanym protokołem kontroli, przekazała dokument zatytułowany „Arkusz oceny ryzyka” dotyczący rekrutacji kandydatów na studia, datowany na […] maja 2019 r., do dostarczenia którego administrator zobowiązał się jeszcze w trakcie trwania kontroli. We wszczęciu postępowania administracyjnego Prezes UODO wskazał, że przedstawiona analiza ryzyka budzi wątpliwości co do prawidłowości jej sporządzenia (rzetelności danych w niej zawartych), nie zawiera metodologii jej przeprowadzenia, nie pozwala na jednoznaczne stwierdzenie, że została wykonana we wskazanym dniu oraz, że nie wynika z niej, kto konkretnie i na czyje polecenie przeprowadził i sporządził przedmiotową analizę oraz przez kogo została zaakceptowana. Odpowiedzi na te wątpliwości nie przyniosły wyjaśnienia przedłożone przez Uczelnię po wszczęciu postępowania, w tym również dokument pt. „Metodologia oceny ryzyka” przekazany wraz z pismem z dnia […] czerwca i […] lipca 2020 r. Z materiału zgromadzonego w toku kontroli, jak i z wyjaśnień złożonych przez Uczelnię w toku postępowania, nie wynika by zarówno analiza ryzyka datowana na […] maja 2019 r. jak i przedłożona do akt postępowania metodologia została przedstawiona i była znana kierownikowi Biura Spraw Studenckich, któremu podlega proces przetwarzania danych osobowych kandydatów na studia. Powyższe dotyczy również inspektora ochrony danych, pana M.K., który jak wyjaśnił, nie przeprowadzał analizy ryzyka, gdyż, jak wskazał, umowa z […] nie obejmowała świadczenia tego rodzaju czynności oraz że według jego wiedzy audyt w SGGW nie został przeprowadzony.

Uczelnia w odpowiedzi na wszczęcie postępowania wskazała, że arkusz analizy ryzyka nie jest dokumentem samodzielnym, a skorelowanym w głównej mierze z Polityką Bezpieczeństwa obowiązującą na SGGW. W ocenie Prezesa UODO trudno zgodzić się z takim stanowiskiem, gdyż przedstawiona metodologia, w oparciu o którą przygotowano omawiany dokument, różni się od innych dokumentów i procedur przedstawionych przez Uczelnię w toku kontroli i w trakcie postępowania administracyjnego. Analiza przyjętej przez Uczelnię metodologii oceny ryzyka wskazuje, że dokument ten stanowi schemat będący dopiero podstawą do wdrożenia w organizacji właściwej metody analizy ryzyka (dokument zawiera puste pozycje, np. dla wskazania miejsca, w którym zachodzą poszczególne procesy przetwarzania poddawane analizie, czy wskazania kto sprawuje nadzór nad aktualnością tego dokumentu). Ponadto z ww. dokumentu nie wynika od kiedy przedmiotowa metodologia obowiązuje i jest stosowana na Uczelni. Rozporządzenie 2016/679 pozostawia dowolność w zakresie wyboru metodologii, jednakże administrator musi być w stanie wykazać, że zapewnia ona rzetelną ocenę i analizę ryzyka w organizacji.

Przedstawiona metodologia wskazuje, że za przeprowadzenie oceny ryzyka każdorazowo odpowiedzialny jest właściciel biznesowy procesu przetwarzania danych, który ma być poddany takiej ocenie, w przedmiotowej sprawie jest nim Biuro Spraw Studenckich. Ponadto w przypadku wniesienia uwag do arkusza przez inspektora ochrony danych lub kierowników działu informatyki lub działu prawnego, właściciel biznesowy procesu ma obowiązek ustosunkować się do nich na piśmie. W przypadku akceptacji ryzyka przez właściciela biznesowego procesu, ryzyka te podlegają monitorowaniu i przeglądowi, a aktualny kwestionariusz oceny ryzyka przechowywany jest przez właściciela ocenianego procesu. Z materiału zgromadzonego w toku kontroli oraz z wyjaśnień złożonych przez Uczelnię po wszczęciu postępowania nie wynika by powyższe zapisy były respektowane i wdrożone, biorąc pod uwagę także wyjaśnienia kierownika Biura Spraw Studenckich wskazujące, że nie został on włączony w proces analizy ryzyka. Ponadto z przedłożonej metodologii nie wynika, kto jest odpowiedzialny za proces monitorowania zaakceptowanych ryzyk.

Treść dokumentu „Arkusz oceny ryzyka” również pozwala wysnuć wniosek, że Uczelnia mimo świadomości istnienia w procesie przetwarzania danych osobowych kandydatów na studia, operacji przetwarzania polegającej na eksportowaniu na zewnętrzny nośnik danych osobowych z systemu informatycznego, zignorowała tą operację. Dla zagrożenia „3.2.22 udostępnianie danych osobowych pracownikom i współpracownikom administratora lub podmiotu przetwarzającego bez polecenia przetwarzania danych” wskazano, że zagrożenie takie nie występuje. Stoi to w sprzeczności z wyjaśnieniami Uczelni wskazującymi, że pan A.G. nie posiadał upoważnienia do przetwarzania danych osobowych na prywatnym nośniku oraz poza terenem SGGW oraz ustaleniami z kontroli, tj. faktem istnienia technicznej możliwości takiego przetwarzania z uwagi na funkcjonalność umożliwiającą niekontrolowany eksport szerokiego zakresu danych osobowych z systemu SOK i świadomości w tym zakresie Biura Spraw Studenckich. Ponadto np. dla zagrożeń „3.3.10 Dane przechowywane w formie niezaszyfrowanej (lub brak polityki zarządzania kluczami)”, „3.3.16 Niemożliwość zapewnienia identyfikowalności / brak logów (brak rejestrów / logów operacji zachodzących w systemach IT wspierających przetwarzanie danych)”, „3.3.19 Nadmiarowe przetwarzanie danych (w szczególności brak środków redukowania nadmiarowych danych – filtrowania, usuwania, konwersji na dane mniej wrażliwe, ograniczenia aspektu identyfikującego danych)” wskazano na ten sam poziom ryzyka zarówno przed wdrożeniem proponowanych środków, jak i po. Wskazuje to na fakt zaakceptowania przez administratora stwierdzonych ryzyk, które z kolei, jak już wyżej wspomniano, w oparciu o materiał zgromadzony w toku kontroli, jak i wyjaśnienia Uczelni złożone w toku postępowania administracyjnego, nie były przez niego monitorowane, co nie może stanowić podstawy do stwierdzenia, że administrator zgodnie z przepisami rozporządzenia 2016/679 dokonał analizy ryzyka.

Ponadto Uczelnia podkreśliła, że w kontekście szacowania ryzyka istotne znaczenie mają także działania podejmowane przez poprzednich inspektorów, tj. pana W.K. i pana M.K., którzy podejmowali czynności zmierzające do wykonania analizy ryzyk związanych z operacjami przetwarzania danych osobowych, wskazywali na potrzebę ich wykonania lub przedstawiali swoją metodologię. Na potwierdzenie przeprowadzenia analizy ryzyka Uczelnia przedłożyła dokument pt. „Terminy odbytych konsultacji/szkoleń w poszczególnych obszarach” sporządzony przez jednego z poprzednich inspektorów ochrony danych […], który wskazuje, że […] maja 2018 r. odbyło się spotkanie z zakresu rekrutacji studentów, w ramach którego przekazano arkusze audytowe. Ponadto przekazano również wiadomość e-mail inspektora ochrony danych z […] sierpnia 2018 r., który oprócz projektu polityki ochrony danych osobowych zawierał propozycje dotyczące procedur w zakresie analizy ryzyka, w tym m.in. oceny skutków dla ochrony danych i oceny ochrony danych w fazie projektowania (ocena privacy by design). Z materiału zgromadzonego w toku kontroli, jak i wyjaśnień złożonych w toku postępowania administracyjnego, nie wynika, by administrator wdrożył te propozycje.

SGGW w odpowiedzi na wszczęcie postępowania wskazuje, że zgodnie z zasadą rozliczalności, rozporządzenie 2016/679 wymaga, aby proces szacowania ryzyka został przeprowadzony i udokumentowany — w celu wykazania, że ryzyko zostało oszacowane i wprowadzono odpowiednie środki ochrony. Wskazuje przy tym, że ocena ryzyka w praktyce, w większości przypadków wykonywana jest w wersji elektronicznej, niewymagającej podpisu, a nawet daty, a samo rozporządzenie 2016/679 nie wskazuje określonej metody prowadzenia i dokumentacji procesu zarządzania ryzykiem, lecz ważne jest, aby zastosowana metodyka dawała rzetelną i obiektywną ocenę ryzyka. Ponadto wskazała, że choć można zarzucić pewne nieścisłości przedmiotowej analizie, a samo szacowanie ryzyka jest ocenne, to ją wykonała.

O ile należy zgodzić się ze stwierdzeniem, że rozporządzenie 2016/679 nie precyzuje, jak należy prowadzić ocenę ryzyka i dokumentować proces zarządzania ryzykiem, to, jak sama Uczelnia wskazuje, administrator ma obowiązek wykazać, że ryzyko to zostało oszacowane w sposób rzetelny i obiektywny, oraz wprowadzono odpowiednie środki ochrony. Służyć temu może dokumentowanie przeprowadzonej analizy ryzyka i innych działań podjętych w celu zapewnienia zgodności z przepisami rozporządzenia. Dokumentując podejmowane działania należy oczekiwać, że administrator będzie je podejmował w sposób zorganizowany poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych na co wskazuje treść art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679.

Powyższe wyjaśnienia Uczelni wskazują, że poszczególni inspektorzy ochrony danych podejmowali niezależne od siebie działania, które nie były przez następców analizowane i kontynuowane (poddawane dalszemu procedowaniu). Niewątpliwie ma to wpływ na jakość weryfikowania zgodności przetwarzania z przepisami rozporządzenia 2016/679 oraz kontroli nad procesami przetwarzania danych w organizacji. Pomimo tego, jak sama Uczelnia wskazuje w swoich wyjaśnieniach, że ryzyko ma być oszacowane w sposób rzetelny i obiektywny, oraz analiza ma wykazać, że wprowadzono odpowiednie środki ochrony, to w ocenie Prezesa UODO Uczelnia nie zastosowała się do tych kryteriów. O powyższym świadczy istnienie w systemie informatycznym, służącym do przetwarzania danych osobowych kandydatów na studia, funkcjonalności umożliwiającej eksport danych osobowych na nośnik zewnętrzny, co do występowania której Uczelnia miała świadomość, brak dowodów na weryfikację tej operacji przetwarzania, a także fakt przetwarzania danych osobowych przez pracownika Uczelni z okresu ostatnich 5 lat rekrutacji na studia w SGGW na prywatnym komputerze bez wiedzy administratora.

Mając powyższe na uwadze podkreślić należy, że ocena ryzyka, na co wskazuje również przedłożona metodologia, powinna być procesem ciągłym i być przeprowadzana cyklicznie, biorąc pod uwagę zmieniające się okoliczności oraz istniejące i mogące się pojawić w przyszłości podatności i zagrożenia dla praw i wolności osób fizycznych, co jest realizacją obowiązków wynikających z art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679. Jednocześnie administrator powinien udokumentować i być w stanie wykazać czynności podejmowane w ramach tego procesu, zgodnie z zasadą wyrażoną w art. 5 ust. 2 rozporządzenia 2016/679. Wobec powyższego, podnoszona przez Uczelnię okoliczność o braku konieczności umieszczania daty czy podpisu na dokumencie stanowiącym analizę ryzyka naraża administratora na zarzut braku wykazania dokonywania oceny ryzyka cyklicznie albo w określonych terminach, stale lub okresowo, co w konsekwencji stanowi o naruszeniu obowiązków z art. 24 ust. 1 i art. 32 ust. 1 w związku z art. 5 ust. 2 rozporządzenia 2016/679 statuującym zasadę rozliczalności.

Zebrany materiał dowodowy pozwala więc na stwierdzenie, że Uczelnia nie podjęła działań mających na celu zapewnienie monitorowania poziomu zagrożeń oraz rozliczalności w tym zakresie, a także adekwatności wprowadzonych zabezpieczeń. W związku z powyższym zasadny jest zarzut naruszenia przez SGGW w tym zakresie art. 24 ust. 1, 32 ust. 1 lit. d i art. 32 ust. 2 rozporządzenia 2016/679 w związku z art. 5 ust. 2 rozporządzenia 2016/679.

W odpowiedzi na wszczęcie postępowania administracyjnego Uczelnia wskazała, że podjęła wzmożone działania w zakresie aktualizacji środków organizacyjnych mających na celu zwiększenie bezpieczeństwa przetwarzanych danych osobowych, polegające m.in.: na nawiązaniu od […] grudnia 2019 r. współpracy z podmiotem zewnętrznym, specjalizującym się w ochronie danych osobowych, który obecnie wykonuje szereg działań wspierających Uczelnię w obszarze ochrony danych osobowych i bezpieczeństwa informacji. Ponadto rozpoczęto prace nad ww. procedurami (w tym analizy ryzyka). W piśmie z […] czerwca 2020 r. przedłożyła analizę ryzyka dla przetwarzania danych osobowych w procesie rekrutacji wraz z metodyką dla tej analizy ryzyka. W przedstawionej analizie ryzyka, administrator wskazał m.in. na ryzyko utraty danych w postaci wygenerowania pliku (raportu) zawierającego pełną listę kandydatów wraz z pełnym zakresem danych. Dla wskazanego ryzyka zaproponowano działania obniżające poziom pierwotnego ryzyka, m.in. w postaci ograniczenia do niezbędnego minimum uprawnienia do generowania pełnej listy kandydatów zawierającej wszystkie dane osobowe i wyłącznie na urządzeniach zlokalizowanych na terenie Uczelni w budynku nr […].

W odpowiedzi na zawiadomienie o wszczęciu postępowania, zawartej w piśmie z […] kwietnia 2020 r. Uczelnia podniosła, że z faktu przetwarzania danych osobowych (bez właściwych zabezpieczeń) na prywatnym komputerze pana A.G., [...] nie wynika, że SGGW nie wdrożyło adekwatnych środków technicznych i organizacyjnych, aby zapewnić odpowiednie bezpieczeństwo danych osobowych kandydatów w procesie rekrutacji na studia w SGGW, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W ocenie Uczelni, z tego faktu wynika jedynie, że pracownik przetwarzał dane na prywatnym komputerze znajdującym się poza jurysdykcją, bez zgody administratora i wbrew procedurom obowiązującym w SGGW. Wskazała przy tym ponownie na pominięcie przez organ nadzorczy faktu, że pan A.G. nie posiadał upoważnienia do przetwarzania danych osobowych na prywatnym nośniku, tym samym jego działanie było niezgodne z obowiązującymi na Uczelni regulacjami.

Uczelnia w odpowiedzi na wszczęcie postępowania, również w kontekście zarzutu naruszenia zasady ograniczenia przechowywania podkreśliła, że SGGW przeanalizowało i określiło właściwy okres przechowywania danych kandydatów na studia (3 miesiące) oraz, że w każdej organizacji występuje jednak czynnik ludzki, który jest zawodny. Stąd, w ocenie Uczelni, argumentacja przedstawiona w zawiadomieniu wydaje się być niespójna i krzywdząca dla administratora.

W ocenie Prezesa UODO czynnik ludzki jest jednym ze źródeł ryzyka, które w procesie przetwarzania danych osobowych, zgodnie z art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679, jest podstawowym elementem odzwierciedlającym immanentną istotę systemu ochrony danych osobowych, jakim jest kontrola administratora nad procesami przetwarzania danych osobowych. Ryzyko naruszenia zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. e rozporządzenia 2016/679) podczas wykonywania czynności służbowych bądź naruszenia zasady poufności danych (art. 5 ust. 1 lit. f rozporządzenia 2016/679) w wyniku nieprzestrzegania przez pracowników Uczelni procedur wdrożonych w organizacji, nie mogą stanowić okoliczności łagodzących, a tym bardziej stanowić o zdjęciu z administratora odpowiedzialności za skutki ich zmaterializowania się. Wręcz przeciwnie, na administratorze spoczywa obowiązek zastosowania takich środków technicznych i organizacyjnych, które będą adekwatne do zagrożeń i zgodne z przepisami rozporządzenia 2016/679. Uczelnia oceniając skuteczność tych środków powinna m.in. badać obieg danych osobowych w organizacji. Przetwarzając dane osobowe w systemie informatycznym, który umożliwia ich niekontrolowany eksport, powinna ustalić czy nie naraża się w ten sposób m.in. na naruszenie dwóch ww. podstawowych zasad ochrony danych osobowych. Ponadto, jak wynika z materiału zgromadzonego w toku kontroli oraz co sama Uczelnia niejednokrotnie podkreśla w swoich wyjaśnieniach, pracownicy zgodnie z obowiązującymi procedurami nie mogą przetwarzać danych osobowych poza SGGW na żadnym nośniku (Instrukcja zarządzania systemem informatycznym w ppkt. 7.5 zakazuje wynoszenia danych osobowych w postaci wydruków i na nośnikach przenośnych poza obszar przetwarzania bez uzasadnionej przyczyny). Również w załączniku nr 1 do Polityki bezpieczeństwa, stanowiącym wykaz obszarów, w których przetwarzane są dane osobowe, obszar przetwarzania dla zbioru „Kandydaci na studia” obejmuje wyłącznie siedzibę Uczelni, tj. ul. Nowoursynowska 166, 02-787 Warszawa. W przeciwieństwie do innego zbioru (tj. „Studenci”), pozycja ta nie jest opatrzona informacją wskazującą, że dane mogą być przetwarzane z dowolnego miejsca z uwagi na dostęp do systemu informatycznego przez przeglądarkę internetową. Stoi to w sprzeczności z wdrożonym środkiem technicznym, jakim jest możliwość eksportowania szerokiego zakresu danych osobowych z SOK na nośnik, w tym prywatny, dla każdego z kierunków studiów, bez nadzoru nad tym procesem. Fakt możliwości uzyskania dostępu do systemu informatycznego z dowolnego miejsca został stwierdzony w analizie ryzyka, datowanej na […] maja 2019 r., którą Uczelnia przedstawiła, jednakże do dnia zakończenia kontroli stwierdzone rekomendacja ograniczenia dostępu nie została wdrożona. W ocenie Prezesa UODO tak funkcjonujący proces przetwarzania danych świadczy o braku kontroli administratora nad tym procesem i dokonywaniu w sposób niewystarczający oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia.

Powyższe oraz, jak podkreśliła Uczelnia w piśmie z […] kwietnia 2020 r., fakt, że czynności te pan A.G. podejmował poza zakresem upoważnienia do przetwarzania danych osobowych, świadczą o braku wdrożenia przez administratora mechanizmów w zakresie monitorowania, weryfikacji i kontroli nad sposobem i zakresem przetwarzania danych osobowych kandydatów na studia w SGGW przez sekretarza Uczelnianej Komisji Rekrutacyjnej i stanowi o naruszeniu art. 32 ust. 1 lit. b w związku z art. 5 ust. 1 lit. f rozporządzenia 2016/679, tj. braku wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzania danych osobowych kandydatów na studia w SGGW w zakresie zdolności do ciągłego zapewnienia poufności przetwarzania. Dane osobowe powinny być przetwarzane w sposób zapewniający ich bezpieczeństwo i poufność, w tym ochronę przed nieuprawnionym dostępem do danych i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Ponadto przechowywanie przez pracownika Uczelni, pana A.G., danych osobowych kandydatów na studia w SGGW, pochodzących z okresu ostatnich 5 lat rekrutacji, w wyniku wykonywanych czynności służbowych jest niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na 3 miesiące od zakończenia rekrutacji. Powyższe stanowi o naruszeniu przez administratora art. 25 ust. 1 rozporządzenia 2016/679 w związku z art. 5 ust. 1 lit. e rozporządzenia 2016/679, tj. poprzez nieuwzględnienie odpowiednich środków technicznych i organizacyjnych w celu skutecznej realizacji zasady ograniczenia przechowywania, zwaną także zasadą czasowego ograniczenia przetwarzania danych. Zgodnie z tą zasadą dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Oznacza to, że po osiągnięciu celów przetwarzania, w tym przypadku po zakończeniu procesu rekrutacji bądź upływu terminu do odwołania od decyzji w sprawie przyjęcia na studia, dane powinny zostać usunięte albo zanonimizowane.

Należy także wskazać, że z powyższego nie wynika również, biorąc pod uwagę przetwarzanie danych osobowych z ostatnich 5 lat rekrutacji oraz zgromadzony w toku kontroli materiału, by SGGW dokonywało regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia w systemie SOK, co stanowi o naruszeniu art. 32 ust. 1 lit. d w związku z art. 5 ust. 2 rozporządzenia 2016/679, tj. zasadą rozliczalności.

Prezes UODO zarzucił Uczelni nieuwzględnienie w sposób wystarczający zasady rozliczalności określonej art. 5 ust. 2 rozporządzenia 2016/679 również w z związku z korzystaniem z funkcjonalności systemu służącego do przetwarzania danych osobowych - Systemu Obsługi Kandydatów.

Zgodnie z zasadą rozliczalności administrator powinien wykazać w szczególności, że dane przetwarzane są zgodnie z wymaganiami rozporządzenia 2016/679 dotyczącymi spełnienia wymagań w zakresie stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie odbywało się zgodnie z określonymi w przepisach wymaganiami dotyczącymi zapewnienia poufności, integralności i dostępności do danych. Należy podkreślić, że zasada rozliczalności jest skierowana zarówno na zewnątrz organizacji, jak i do wewnątrz. W tym celu, oprócz wprowadzenia ogólnych mechanizmów logujących podstawowe zdarzenia w systemie informatycznym, administrator powinien przenalizować, biorąc pod uwagę zakres, kontekst i cele przetwarzania, na jakim poziomie szczegółowości powinny być rejestrowane zdarzenia w celu zachowania zgodności przetwarzania danych w organizacji z przepisami o ochronie danych osobowych. Powszechnie przyjmuje się, że rozliczalność w systemach informatycznych jest realizowana w formie automatycznie generowanych zapisów (tzw. logów) zawierających określony zestaw informacji umożliwiający stwierdzenie kto, kiedy, jakie operacje, w odniesieniu do jakich danych wykonał w systemie. Szczegółowość zapisów logów jest kwestią indywidualną, uzależnioną od zaimplementowanych funkcjonalności oraz zadań użytkownika. W kontekście przetwarzania danych osobowych administrator powinien móc również wykazać, że osoby, które upoważnił do przetwarzania danych osobowych przetwarzają je zgodnie z zasadami określonymi w rozporządzeniu 2016/679, tj. tylko wtedy, kiedy jest to niezbędne dla uzyskania określonego celu przetwarzania oraz w zakresie jakim jest to niezbędne.

Z zebranego w toku kontroli materiału dowodowego wynika, że system SOK umożliwia pobieranie danych kandydatów (m.in. w formacie arkusza kalkulacyjnego) wg przyjętych w systemie kryteriów (zakres kategorii danych dla obu widoków, wg wybranych kryteriów, wskazany jest w załączniku nr 59 do protokołu kontroli). System Obsługi Kandydatów w ramach jednego z modułów nie posiadał zaimplementowanej funkcji rejestrowania zdarzeń związanych z pobieraniem bazy danych kandydatów w ramach wybranego kierunku studiów. Z uwagi na zakres kategorii danych uzyskiwanych poprzez tą funkcjonalność oraz ich skalę, stanowi to uchybienie uniemożliwiające rozliczenie osoby mającej dostęp do danych osobowych, zwłaszcza w związku z obowiązkami realizowanymi przez członków Uczelnianej Komisji Rekrutacyjnej, w tym jej sekretarza.

Zasada rozliczalności określona w art. 5 ust. 2 rozporządzenia 2016/679 została uszczegółowiona w art. 24 ust. 1 i art. 32 ust. 1 tego rozporządzenia, który nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Wdrażając te środki, administrator powinien uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i różnej wadze zagrożenia. Mając na uwadze powyższe, zasadny jest zarzut naruszenia tego artykułu. Nieuwzględnienie przez Uczelnię w sposób wystarczający tej zasady w procesie korzystania z systemu informatycznego służącego do przetwarzania danych osobowych kandydatów na studia stało się jednym z czynników, który doprowadził do naruszenia ochrony danych osobowych.

W odpowiedzi na wszczęcie postępowania administracyjnego Uczelnia wskazała, że po stwierdzeniu ww. uchybienia, na podstawie nowej umowy zawartej z administratorem systemu informatycznego, panem S.L., wdrożono szereg zmian w Systemie Obsługi Kandydatów, w tym m.in. dostęp do treści zakładki […] jest możliwy wyłącznie po nadaniu stosownych uprawnień przez kierownika Biura Spraw Studenckich, a sam eksport danych jest możliwy wyłącznie w określonym przez kierownika Biura Spraw Studenckich uzasadnionym funkcjonalnie zakresie przetwarzania danych, fakt pobrania danych z zakładki rejestrowany jest w logach systemowych i jest możliwość pobrania raportu dotyczącego eksportu danych zawierającego informacje: kto, kiedy i jaki raport (eksport danych) pobrał. Ponadto ograniczono dostęp do Systemu Obsługi Kandydatów dla Uczelnianej i Wydziałowych Komisji Rekrutacyjnych wyłącznie do terenu budynku nr […] i nr […] - ograniczenie techniczne/systemowe do wydzielonej podsieci, wprowadzono indywidualny numer identyfikacyjny (DOID) jako identyfikator kandydata w SOK, umożliwiono członkom Komisji Rekrutacyjnych korzystanie z systemu SOK wyłącznie z komputerów przygotowanych do obsługi rekrutacji przez Centrum Informatyczne SGGW, ograniczono zawartości raportów, z których korzystają Komisje Rekrutacyjne wyłącznie do informacji niezbędnych do podjęcia decyzji kwalifikacyjnych (żaden z powyższych raportów nie zawiera numeru PESEL, numerów dokumentów tożsamości - paszport/karta Polaka, adresu, daty urodzenia, numeru indeksu, itp.).

W SGGW obowiązuje Procedura używania komputerów przenośnych, która stanowi załącznik do Instrukcji zarządzania systemem informatycznym, jednakże, jak wynika z wyjaśnień pana R.B. (protokół ustnych wyjaśnień stanowi załącznik nr 20 do protokołu kontroli) oraz analizy jej treści, obejmuje ona komputery, które zostały powierzone użytkownikom przez Uczelnię. W związku z tym powyższa procedura nie może stanowić punktu odniesienia dla oceny działań sekretarza Uczelnianej Komisji Rekrutacyjnej w niniejszej sprawie, albowiem komputer użytkowany przez niego i wykorzystywany do przetwarzania danych osobowych kandydatów na studia w SGGW był komputerem prywatnym.

Na podstawie przedstawionego wyżej uzasadnienia zarzutu niewystarczającej oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia w SGGW, Prezes UODO stwierdza, że w momencie zaistnienia naruszenia ochrony danych osobowych oraz przeprowadzonej kontroli w okresie od […] listopada do […] listopada 2019 r. nie miała miejsca prawidłowa realizacja obowiązków wynikających z rozporządzenia 2016/679. Uczelnia dopiero po wystąpieniu naruszenia ochrony danych osobowych, w trakcie i po przeprowadzonej kontroli wykazała, że podjęła szereg działań, które zapewniają zgodność z rozporządzeniem 2016/679 i gwarantuje, iż realizacja tych obowiązków nie będzie miała charakteru jednorazowego a środki w zakresie procesu rekrutacji będą poddawane regularnym przeglądom i uaktualniane w oparciu o działania podejmowane w ramach prawidłowej analizy ryzyka. O ile okoliczność ta ma charakter łagodzący dla ostatecznego rozstrzygnięcia, o tyle w ocenie Prezesa UODO, nie ma wpływu na ostateczny zarzut naruszenia przepisów rozporządzenia 2016/679 wskazanych w sentencji decyzji.

Zgromadzony w sprawie materiał dowodowy daje podstawę, w ocenie Prezesa UODO, do stwierdzenia, że inspektor ochrony danych wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania, co stanowi naruszenie przez administratora art. 24 ust. 1, art. 32 ust. 1, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia 2016/679.

Zgodnie z brzmieniem art. 37 ust. 1 lit. a rozporządzenia 2016/679 administrator wyznacza inspektora ochrony danych, zawsze gdy przetwarzania dokonuje m.in. podmiot publiczny. Z kolei art. 37 ust. 6 rozporządzenia 2016/679 inspektor ochrony danych może być członkiem personelu administratora lub wykonywać zadania na podstawie umowy o świadczenie usług. W toku kontroli ustalono, że inspektor ochrony danych w SGGW został wyznaczony i wykonuje swoje zadania w związku z umową nr […] zawartą […] maja 2019 r. pomiędzy Szkołą Główną Gospodarstwa Wiejskiego a […] z siedzibą w […] w przedmiocie świadczenia usług związanych z realizacją zadań przypisanych Inspektorowi Ochrony Danych. Od […] czerwca 2019 r. pan M.K. pełni funkcję Inspektora Ochrony Danych w SGGW.

Stosownie do treści art. 39 ust. 1 lit. b rozporządzenia 2016/679 inspektor ochrony danych powinien monitorować przestrzeganie przepisów o ochronie danych osobowych oraz polityk ochrony danych przyjętych przez administratora, w tym prowadzić audyty związane z operacjami przetwarzania danych osobowych. Obowiązek w tym zakresie został nałożony także w pkt 10.1.4. Polityki bezpieczeństwa SGGW, w szczególności wobec przeprowadzanych zmian organizacyjnych na Uczelni.

Uczelnia w odpowiedzi na wszczęcie postępowania wskazuje, że nie zgadza się z zarzutem, iż inspektorzy ochrony danych, w szczególności pan M.K w ogóle nie monitorowali przepisów rozporządzenia oraz nie udzielali wsparcia administratorowi w wywiązywaniu się z obowiązków wynikających z rozporządzenia 2016/679. Podniosła również, że inspektor ochrony dany pan M.K. prowadził szerokie działania edukacyjne dla pracowników, co wynika z kalendarza jego spotkań załączonego do wyjaśnień. W ocenie Uczelni świadczy to o wypełnianiu zadań przez inspektora. Biorąc pod uwagę materiał zgromadzony w toku kontroli, Prezes UODO wskazuje, że w treści zawiadomienia o wszczęciu postępowania administracyjnego nie postawił zarzutów wskazujących na brak podejmowania jakichkolwiek działań w zakresie wypełniania swoich zadań przez inspektora ochrony danych. Prezes UODO wziął pod uwagę, że inspektorzy ochrony danych podejmowali działania zmierzające do zapewnienia prawidłowego wykonywania swoich zadań i monitorowania przestrzegania przepisów o ochronie danych osobowych, jednakże działania te były podejmowane w sposób niewystarczający i nieskuteczny poprzez wykonywanie zadań bez należytego uwzględniania ryzyka związanego z operacjami przetwarzania, co w procesie kontroli nad procesami przetwarzania danych osobowych ma immanentne znaczenie.

O powyższym świadczy fakt, iż pracownik SGGW pan A.G. miał możliwość pobierania z systemu SOK i przechowywania na dysku prywatnego komputera przenośnego danych osobowych kandydatów na studia w SGGW pochodzących z okresu ostatnich 5 lat rekrutacji bez wiedzy administratora, poza zakresem nadanego upoważnienia do przetwarzania danych osobowych oraz gromadzenia ich na tym nośniku poza wyznaczonym obszarem przetwarzania, wbrew przyjętym procedurom. Zgodnie z art. 38 ust. 1 rozporządzenia 2016/679 administrator zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jak już Prezes UODO wskazał, inspektor ochrony danych osobowych nie był angażowany w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego procesu. Włączenie inspektora w przedmiotowy proces przetwarzania mogłoby obniżyć ryzyko związane z operacjami przetwarzania obejmującymi proces rekrutacji na studia.

Zgodnie zaś z art. 39 ust. 2 rozporządzenia 2016/679 inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Przepis ten wymaga od inspektora ustalania priorytetów w swojej pracy, które powinny polegać na indywidualnym i samodzielnym określaniu środków oraz metod działania i dostosowywania ich do specyfiki konkretnego administratora. Istotne jest w tym kontekście wcześniejsze zidentyfikowanie zagrożeń związanych z przetwarzaniem danych osobowych i na tej podstawie ustalanie skutecznych rozwiązań zarówno technicznych jak i organizacyjnych. To selektywne i pragmatyczne podejście, tj. koncentrowanie się na aspektach pociągających za sobą większe ryzyko w zakresie ochrony danych osobowych powinno ułatwić inspektorowi ochrony danych doradzenie administratorowi, jaką metodologię należy zastosować przy przeprowadzeniu oceny skutków dla ochrony danych, które obszary powinny zostać poddane wewnętrznemu albo zewnętrznemu audytowi, jakie szkolenia wewnętrzne zaplanować i przeprowadzić dla pracowników lub kierowników odpowiedzialnych za przetwarzanie danych, i na które operacje przetwarzania przeznaczyć więcej czasu i zasobów. Uwzględnianie ryzyka wiążącego się z przetwarzaniem danych osobowych jest również m.in. jednym z kryteriów, które należy wziąć pod uwagę oceniając, czy stopień bezpieczeństwa jest odpowiedni, o czym mowa w art. 32 ust. 2 rozporządzenia 2016/679, w szczególności ryzyka wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Ponadto materiał zgromadzony w toku kontroli oraz okres, z jakiego pochodziły dane kandydatów na studia w SGGW będące przedmiotem naruszenia, pozwalają stwierdzić, że funkcjonalność umożliwiająca pobieranie danych osobowych, bez odnotowywania tego faktu w systemie informatycznym, istniała w systemie SOK od co najmniej 5 lat. Wnioskować zatem można, iż zarówno administrator, jak i inspektorzy ochrony danych, nie monitorowali przez ten okres prawidłowo procesu przetwarzania danych kandydatów na studia, przez co nie posiadali wiedzy o fakcie gromadzenia na dysku prywatnego komputera pracownika danych osobowych kandydatów na studia z systemu informatycznego nierejestrującego faktu pobierania zestawów danych osobowych, a w konsekwencji nie monitorowali prawidłowo zagrożeń dla danych osobowych kandydatów na studia, mimo, że jak wskazuje Uczelnia w odpowiedzi na wszczęcie postępowania, podczas cyklicznych wizyt inspektorów ochrony danych w jednostkach organizacyjnych analizowano schematy postępowania i wydawano zalecenia.

Oceniając prawidłowość postawionego zarzutu, Prezes UODO wziął pod uwagę, że wyższa uczelnia publiczna jaką jest SGGW, w ramach swoich ustawowych (ustawa z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce - Dz.U.2018.1669) i statutowych działań przetwarza m.in. dane osobowe kandydatów na studia. Uczelnia, jako administrator danych, z uwagi na specyfikę funkcjonowania, skalę oraz zakres pozyskiwanych kategorii danych osobowych powinna w sposób szczególny zwracać uwagę na czynności przetwarzania związane z procesem rekrutacji. W działaniach tych Uczelnia powinna być aktywnie wspierana przez inspektora ochrony danych. W ramach każdej rekrutacji, uśredniając liczby znajdujące się w załączniku nr 29 do protokołu kontroli, Uczelnia dysponuje w systemie informatycznym ok. 16 000 wpisów dotyczących kandydatów w Systemie Obsługi Kandydatów (przy czym w trakcie rejestracji na studia kandydat wypełnia do 91 pól z kategoriami danych - wydruk opracowania przedstawiającego wykaz pól informacyjnych dostępnych w Systemie Obsługi Kandydatów stanowi załącznik nr 67 do protokołu kontroli). Należy zauważyć również, że okres, w którym inspektor ochrony danych pan M.K. sprawował swoją funkcję, obejmował m.in. okres rekrutacji na studia, co w ocenie Prezesa UODO powinno tym bardziej być obszarem jego szczególnego zainteresowania przejawiającego się w podejmowaniu konkretnych działań.

Z materiału zgromadzonego w toku kontroli, jak i z wyjaśnień złożonych przez Uczelnię w toku postępowania, nie wynika, by zarówno analiza ryzyka datowana na […] maja 2019 r., jak i przedłożona do akt postępowania metodologia, była znana inspektorowi ochrony danych panu M.K., który jak wyjaśnił, nie przeprowadzał analizy ryzyka, gdyż, jak wskazał, umowa z […] nie obejmowała świadczenia tego rodzaju czynności oraz że według jego wiedzy audyt w SGGW nie został przeprowadzony. W konsekwencji właściwym jest stwierdzenie, że praca i działania podejmowane przez poprzednich inspektorów nie była kontynuowana przez inspektora ochrony danych M.K.

W związku z powyższym zasadny jest zarzut naruszenia przez Uczelnię art. 39 ust. 1 lit. b oraz art. 39 ust. 2 rozporządzenia 2016/679.

Z zebranego w sprawie materiału dowodowego wynika, że jedną z osób zaangażowanych w proces przetwarzania danych osobowych na Uczelni podczas rekrutacji kandydatów na studia jest pan A.G. (kopie zakresu czynności sekretarza Uczelnianej Komisji Rekrutacyjnej pana A.G. związane z rekrutacją na rok akademicki 2017/2018, 2018/2019 oraz 2019/2020 stanowią załącznik nr 18 do protokołu kontroli). W oparciu o protokół przyjęcia ustnych wyjaśnień pani A.P. (załącznik nr 12 do protokołu kontroli), przykładową listę obecności ze szkolenia z zakresu ochrony danych osobowych przeprowadzonych dla pracowników Wydziału […] z dnia […] marca 2019 r. (załącznik nr 90 do protokołu kontroli), wyjaśnienia zawarte w piśmie z […] stycznia 2020 r., listy pracowników Wydziału […] uczestniczących w szkoleniu wyznaczonym na […] marca 2019 r. i […]marca 2019 r., Prezes UODO ustalił, że pan A.G. nie brał udziału w szkoleniu w żadnym z wyznaczonych terminów, gdyż przebywał od […] marca 2019 r. na urlopie naukowym. Nie uczestniczył również w szkoleniu po powrocie z ww. urlopu. W kontekście powyższego Prezes UODO wskazał, że podjęte działania edukacyjne powinny być monitorowane i weryfikowane pod względem ich skuteczności. Administrator powinien być w stanie wykazać monitorowanie procesu szkolenia, w tym dysponować potwierdzeniem odbycia szkoleń. W sytuacji nieobecności pana A.G. na szkoleniach dedykowanych pracownikom Wydziału […] administrator powinien podjąć skuteczne działania w celu zapewnienia przeszkolenia tej osoby w zaplanowanym zakresie poprzez dobór odpowiedniej formy kształcenia. Mając na uwadze powyższe oraz treść art. 24 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia 2016/679, obligujących administratora do wdrożenia odpowiednich środków organizacyjnych i technicznych, Prezes UODO w zawiadomieniu o wszczęciu postępowania administracyjnego stwierdził, że administrator nie wypełnił tego obowiązku należycie poprzez niedostosowanie formy szkoleń do specyfiki pracy pracowników naukowych oraz zapewnienie wystarczającej rozliczalności w zakresie przeprowadzanych dla pracowników szkoleń, co niewątpliwie ma wpływ na system bezpieczeństwa i ochrony danych osobowych w organizacji.

W piśmie z […] stycznia 2020 r. oraz odpowiedzi na zawiadomienie o wszczęciu postępowania, zawartej w piśmie z […] kwietnia 2020 r. Uczelnia wyjaśniła, że w zakresie szkoleń prowadzonych na wydziałach, na których obecność jest obowiązkowa, do pracowników naukowych były wysyłane e-maile szkoleniowe i instruktażowe, w tym bezpośrednio przed naruszeniem został wysłany […] października 2019 r. e-mail, którego jednym z adresatów był również pan A.G. Ponadto w Intranecie SGGW na stronie Centrum Informatycznego jest udostępniona instrukcja hasłowania plików zawierających dane osobowe. Jak wskazuje Uczelnia, pracownicy zgodnie z obowiązującymi procedurami nie mogą przetwarzać danych osobowych poza SGGW na żadnym nośniku. Ponadto członkowie Komisji Rekrutacyjnej, w tym pan A.G., każdorazowo byli informowani o zasadach bezpieczeństwa przetwarzania danych osobowych przez przewodniczącą Komisji, jak i Kierownika Biura Spraw Studenckich, co również w ocenie Uczelni należy traktować jako szkolenie. SGGW podkreśliła, że pan A.G. miał możliwość uczestniczenia w każdym z dostępnych terminów szkolenia, jednakże z własnej woli nie brał w nich udziału. Ponadto wskazała, iż celem ograniczenia błędów działania czynnika ludzkiego, zarówno przed dniem wszczęcia kontroli, jak i obecnie, administrator prowadzi stałe szkolenia pracowników Uczelni w zakresie przetwarzania danych osobowych, w tym szkolenia online dla wszystkich pracowników.

W kontekście powyższego wskazać należy, że budowanie świadomości bezpieczeństwa danych w organizacji i koncentrowania uwagi pracowników na kwestiach z nim związanych zmniejsza ryzyko dla przetwarzania danych osobowych. W interesie administratora jest więc odpowiednie przeszkolenie osób dopuszczonych do przetwarzania danych osobowych, w szczególności danych osobowych, których przetwarzanie ze względu na skalę, zakres i kontekst jest obarczone większym ryzykiem. Podkreślić należy, że administrator jako pracodawca dysponuje instrumentami prawnymi na podstawie obowiązujących przepisów pozwalającymi na zmobilizowanie pracownika do uczestniczenia w szkoleniu, zwłaszcza, że jest ono związane z jego obowiązkami służbowymi. Powyższe znajduje zastosowanie również do pana A.G., będącego pracownikiem SGGW.

Ponadto, zgodnie z treścią art. 39 ust. 1 rozporządzenia 2016/679, monitorowanie przestrzegania przepisów, w tym działania mające na celu zwiększanie świadomości w zakresie ochrony danych osobowych oraz szkolenie pracowników biorących udział w operacjach przetwarzania danych należy do zadań inspektora ochrony danych, który realizuje je z uwzględnieniem ryzyka dla praw i wolności osób fizycznych. Z zebranego w toku czynności kontrolnych materiału nie wynika, aby administrator dysponował potwierdzeniem odbycia szkoleń przez pana A.G. przed naruszeniem, co potwierdza, że działania edukacyjne nie były monitorowane i weryfikowane przez administratora oraz inspektora ochrony danych, a także nie były dostosowane do specyfiki pracy pracowników naukowych związanej m.in. z korzystaniem z urlopów naukowych.

W związku z tym zasadny jest przedstawiony zarzut, że administrator nie wypełnił należycie obowiązków wynikających z art. 24 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia 2016/679 poprzez niewdrożenie odpowiednich środków organizacyjnych i technicznych w tym zakresie i nie zapewnienie wystarczającej rozliczalności w zakresie przeprowadzanych dla pracowników szkoleń. Ponadto, zasadny jest zarzut naruszenia art. 39 ust. 1 lit. b rozporządzenia 2016/679 poprzez nieuwzględnienie faktu nieuczestniczenia pana A.G. w zaplanowanych szkoleniach i art. 39 ust. 2 rozporządzenia 2016/679 poprzez niepotraktowania tej okoliczności jako czynnika wskazującego na konieczność zweryfikowania, czy z tego tytułu pan A.G. w sposób prawidłowy i zgodny z procedurami przyjętymi na Uczelni dokonuje przetwarzania danych osobowych w ramach swoich obowiązków służbowych, mając na względzie pełnioną przez niego szczególną funkcję - [...] oraz zakres powierzonych mu w związku z tym obowiązków.

Należy wskazać także, że Uczelnia, jako administrator danych osobowych, jest odpowiedzialna w całości za wdrożenie zasad i procesów wynikających z przepisów o ochronie danych osobowych, w tym za pełnienie nad nimi nadzoru, nawet w sytuacji, gdy został wyznaczony inspektor ochrony danych osobowych. Jednocześnie podkreślić należy, że rozporządzenie 2016/679 oraz obecnie obowiązująca ustawa z 10 maja 2018 r. o ochronie danych osobowych nie statuują szczególnej odpowiedzialności inspektora ochrony danych. Inspektor w związku z wykonywaniem swoich zadań ponosi odpowiedzialność bezpośrednio przed podmiotem, który go wyznaczył, a zatem przed administratorem danych lub podmiotem przetwarzającym. W niniejszej sprawie, wobec wykonywania obowiązków przez inspektora na podstawie umowy o świadczenie usług jego odpowiedzialność względem administratora danych - SGGW będzie podlegała regulacjom ogólnym zawartych w kodeksie cywilnym. To administrator ponosi odpowiedzialność za działania inspektora ochrony danych, gdyż to na nim ciąży obowiązek jego wyznaczenia na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 rozporządzenia 2016/679. Zgodnie zaś z art. 83 ust. 4 lit. a rozporządzenia 2016/679, to na administratora może być nakładana administracyjna kara pieniężna za naruszenie przepisów rozporządzenia dotyczących obowiązków związanych z działalnością inspektora ochrony danych. Mając powyższe na uwadze uznać należy za nieprawidłowe stanowisko Uczelni zawarte w piśmie z […] kwietnia 2020 r., iż błąd inspektora nie może być równoznaczny z niewłaściwym nadzorem administratora nad przestrzeganiem bezpieczeństwa danych oraz przypisaniem pełnej odpowiedzialności administratorowi.

Zebrany w toku niniejszego postępowania materiał dowodowy stanowił podstawę do stwierdzenia, że prowadzony w SGGW czynności przetwarzania danych osobowych, w zakresie czynności przetwarzania danych osobowych kandydatów na studia pierwszego, drugiego stopnia i jednolitych studiów magisterskich w SGGW nie uwzględniał wszystkich wymaganych przepisami rozporządzenia 2016/679 informacji, co stanowi naruszenie art. 30 ust. 1 lit. d rozporządzenia 2016/679.

W toku kontroli ustalono, że w SGGW prowadzony jest rejestr czynności przetwarzania. Poszczególne komórki organizacyjne SGGW prowadzą rejestry czynności przetwarzania w zakresie swojej właściwości. Kierownik Biura Spraw Studenckich SGGW - pan Z.W., prowadzi rejestr czynności przetwarzania danych osobowych kandydatów na studia pierwszego, drugiego stopnia i jednolitych studiów magisterskich.

Art. 30 ust. 1 rozporządzenia 2016/679 określa zakres informacji, jakie powinny być zawarte w rejestrze czynności przetwarzania prowadzonym przez administratora danych. Jednym z rodzajów informacji, które powinny być zamieszczone w rejestrze są kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych. Pojęcie odbiorcy zostało zaś zdefiniowane w art. 4 pkt 9 rozporządzenia 2016/679 i oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Innymi słowy jest to każdy podmiot, któremu administrator ujawnia dane osobowe, z wyjątkiem podmiotów publicznych, które uzyskują dane w ramach postępowania prowadzonego na podstawie przepisów prawa. W tym kontekście za odbiorcę danych w rozumieniu komentowanego przepisu uznać trzeba także podmiot przetwarzający dane na zlecenie administratora, któremu administrator ujawnia dane osobowe.

Z zebranego w toku kontroli materiału dowodowego wynika, że SGGW zawarło umowy cywilnoprawne dotyczące obsługi informatycznej Systemu Obsługi Kandydatów oraz umowy powierzenia przetwarzania danych z panem S.L. (zleceniobiorcą), na podstawie których SGGW ujawnia zleceniobiorcy (poprzez zapewnienie dostępu do systemu, w którym przetwarzane są dane osobowe kandydatów na studia) dane osobowe kandydatów na studia w SGGW przetwarzane w Systemie Obsługi Kandydatów w celu realizacji obowiązków wynikających z tych umów. W związku z tym informacje o odbiorcy, którym jest zleceniobiorca powinny być ujawnione w rejestrze czynności przetwarzania. Ponadto, z załączonego do pisma z […] grudnia 2019 r. arkuszu oceny ryzyka rekrutacji kandydatów na studia przeprowadzonego […] maja 2019 r., rubryki 1.1.8, wynika, iż podmiotem przetwarzającym dane jest administrator systemu – pan S.L., z którym, jak wskazano powyżej, SGGW zawarło umowy o obsługę informatyczną SOK.

Uczelnia […] maja 2019 r. zawarła umowę nr […] z […] z siedzibą w […] w przedmiocie świadczenia usług związanych z realizacją zadań przypisanych Inspektorowi Ochrony Danych. Na jej podstawie SGGW powierza „w zakresie podglądu wszystkie zbiory danych osobowych (…) do których Wykonawca będzie uzyskiwał dostęp w trakcie realizacji przedmiotu Umowy”. W związku z tym informacje o odbiorcy, którym jest zleceniobiorca, powinny być ujawnione w rejestrze czynności przetwarzania. Ponadto, […] maja 2019 r. pocztą elektroniczną oraz w Intranecie Uczelni, została przekazana procedura zgłaszania naruszeń bezpieczeństwa danych osobowych, w ramach której wskazano innych przedstawicieli spółki […] oraz ich dane kontaktowe, którym należy przekazywać informacje o incydentach w przypadku braku możliwości nawiązania kontaktu z inspektorem ochrony danych.

W związku z powyższym, na podstawie zebranego materiału dowodowego stwierdzono, że załączony do protokołu kontroli rejestr czynności przetwarzania w zakresie procesu przetwarzania danych osobowych kandydatów na studia pierwszego, drugiego stopnia i jednolitych studiów magisterskich w kolumnie 10 nie zawiera informacji dotyczących kategorii odbiorców, którym administrator ujawnił dane osobowe, co stanowi o naruszeniu art. 30 ust. 1 lit. d rozporządzenia 2016/679.

W odpowiedzi na zawiadomienie o wszczęciu postępowania, zawartej w piśmie z […] kwietnia 2020 r. wyjaśniono, że Uczelnia dokonała weryfikacji rejestru pod kątem zgodności ze stanem faktycznym, tak, aby spełniał wymagania wynikające z art. 30 ust. 1 lit. d rozporządzenia 2016/679. Do pisma z […] czerwca 2020 r. został załączony zaktualizowany rejestr czynności przetwarzania w zakresie procesu przetwarzania danych osobowych kandydatów potwierdzający powyższe wyjaśnienia. Z powyższego wynika, że SGGW wprowadziła zatem wymagane już rozwiązania sanujące dotychczasowe postanowienia umowy z panem S.L. oraz […] z siedzibą w […]. W związku z powyższym stan naruszenia w tym zakresie został usunięty. W toku kontroli oraz postępowania administracyjnego nie stwierdzono aby nieuwzględnienie wszystkich wymaganych przepisami rozporządzenia 2016/679, informacji miało wpływ na wystąpienie naruszenia ochrony danych osobowych. W konsekwencji Prezes UODO umorzył postępowanie administracyjne w tym zakresie, a tym samym stwierdzone naruszenie nie stanowi podstawy wymiaru administracyjnej kary pieniężnej.

Uczelnia uzupełniając swoje wyjaśnienia, w odpowiedzi na wszczęcie postępowania administracyjnego, tj. w piśmie z […] kwietnia 2020 r. oraz w piśmie z […] czerwca 2020 r., wskazała organowi nadzorczemu, że przy wydawaniu decyzji kończącej postępowanie należy mieć na względzie specyficzną i szczególną sytuację, w jakiej znalazła się Uczelnia po rozpoczęciu stosowania rozporządzenia 2016/679 w maju 2018 r., gdyż zbiegło się to z reformą szkolnictwa wyższego wprowadzoną ustawą z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce (Dz. U. z 2020 r. poz. 85), która wymusiła bardzo duże zmiany organizacyjne w SGGW zarówno w 2018 r., jak i 2019 r. Ponadto Uczelnia podkreśliła, że wdrożenie rozwiązań technologicznych na Uczelni jest procesem ciągłym, skomplikowanym oraz długotrwałym z uwagi na wielkość organizacji i wymaga uprzednio opracowania strategii i przestrzegania przepisów prawa powszechnie obowiązującego m.in. prawa zamówień publicznych, co związane jest z tym, iż działalność Uczelni jako podmiotu publicznego finansowana jest ze środków publicznych. Mając powyższe na uwadze Prezes UODO wskazuje, że każde zmiany prawne i organizacyjne, wpływające na procesy przetwarzania danych osobowych, są okolicznościami, na które w sposób szczególny administrator powinien zwracać uwagę w procesie budowania systemu ochrony danych, a wszelkie istotne zmiany w tym zakresie poprzedzić stosowną analizą, gdyż kontekst przetwarzania jest jednym z czynników, które administrator ma obowiązek w tym procesie uwzględniać, w szczególności z punktu widzenia art. 24 ust. 1, 25 ust. 1, 32 ust. 1 czy 39 ust. 2 rozporządzenia 2016/679. Kontekst przetwarzania jest czynnikiem, do którego administrator musi się odnieść w procesie określania prawdopodobieństwa i powagi ryzyka naruszenia praw lub wolności osób fizycznych (motyw 78 rozporządzenia 2016/679). Ustalaniu priorytetów przy wdrażaniu odpowiednich środków służy też podstawowy czynnik wskazany w ww. przepisach, to jest ryzyko naruszenia praw lub wolności. Ponadto, art. 99 rozporządzenia 2016/679 rozgranicza daty wejścia w życie tego aktu prawnego i rozpoczęcia jego stosowania. Wejście w życie tego aktu prawnego nastąpiło 24 maja 2016, zaś rozpoczęcie stosowania 25 maja 2018 r. Unijny prawodawca w motywie 171 rozporządzenia 2016/679 wskazuje, że przetwarzanie, które w dniu rozpoczęcia stosowania tego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Dwuletni okres dostosowawczy był sygnałem, również dla Uczelni, że w tym okresie powinna dokonać ponownej analizy środków technicznych i organizacyjnych. Podkreślić również należy, że podmiot ponosi odpowiedzialność za tworzenie struktur i zasobów umożliwiających realizację obowiązków wynikających z rozporządzenia 2016/679 adekwatnych do charakteru i złożoności swojej działalności, niezależnie od źródła jej finansowania.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Uczelnię administracyjnej kary pieniężnej.

Decydując o nałożeniu na SGGW administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1) Waga i charakter naruszeń – przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie ochrony danych osobowych dotyczy kandydatów na studia w SGGW z okresu ostatnich 5 lat oraz że liczba osób dotkniętych naruszeniem wynosi 100 000 jako górna granica (wstępne zgłoszenie naruszenia ochrony danych osobowych skierowane do Prezesa Urzędu Ochrony Danych Osobowych z […] listopada 2019 r.), zaś liczba rekordów (wpisów) w systemie SOK obejmuje 81 624. Ponadto Prezes UODO wziął pod uwagę, że naruszenie ochrony danych było skutkiem używania przez pracownika niezabezpieczonego prywatnego komputera przenośnego do celów prywatnych i służbowych, w tym również do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych w ramach pełnionej funkcji sekretarza w Uczelnianej Komisji Rekrutacyjnej przy jednoczesnym braku wiedzy administratora o tym fakcie i niekontrolowaniu tego procesu również w systemie SOK poprzez brak rejestrowania operacji pobierania danych osobowych z tego systemu informatycznego. Powyższe okoliczności świadczące o naruszeniu zasady poufności (art. 5 ust. 1 lit. f rozporządzenia 2016/679) i rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) mają znaczący wpływ na wysokość nałożonej kary. Podkreślić należy, że nieuwzględnienie przez Uczelnię w sposób wystarczający zasady rozliczalności określonej w art. 5 ust. 2 rozporządzenia 2016/679 w procesie korzystania z systemu informatycznego służącego do przetwarzania danych osobowych kandydatów na studia stało się jednym z czynników, który doprowadził do naruszenia ochrony danych osobowych. Pobieranie danych nie było rejestrowane, co znajduje potwierdzenie w zgromadzonym materiale dowodowym. Biorąc pod uwagę zakres kategorii danych uzyskiwanych poprzez tą funkcjonalność oraz ich skalę stanowi uchybienie uniemożliwiające rozliczenie osoby mającej dostęp do danych, zwłaszcza w związku z obowiązkami realizowanymi przez członków Uczelnianej Komisji Rekrutacyjnej.

2) Kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych - System Obsługi Kandydatów, w związku z zaimplementowaną w tym systemie funkcjonalnością, umożliwiał importowanie na komputer prywatny, użytkowany przez sekretarza Uczelnianej Komisji Rekrutacyjnej i wykorzystywany także do wykonywania czynności służbowych, zestawu danych kandydatów na studia I i II stopnia oraz jednolitych studiów magisterskich w SGGW obejmujących: imię, nazwisko, nazwisko rodowe, imiona rodziców, numer identyfikacyjny PESEL, płeć, narodowość, obywatelstwo, adres zamieszkania, serię i numer dowodu osobistego bądź innego dokumentu tożsamości, w tym paszportu, numer telefonu komórkowego i/lub stacjonarnego oraz inne kategorie danych dotyczące dotychczasowego przebiegu nauczania: tj. informacja o ukończonej szkole średniej, dane szkoły średniej w tym miejscowość, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ocen ze studiów, kierunek studiów, o który kandydat się ubiega, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym, o który się kandydat ubiega (pełen wykaz kategorii danych osobowych, dla poszczególnych raportów, dostępnych w ramach funkcjonalności umożlwiającej eksport danych stanowi załącznik nr 59 do protokołu kontroli). Mając powyższe na uwadze należy stwierdzić, iż niewątpliwie doszło do naruszenia szerokiego zakresu danych osobowych kandydatów na studia w SGGW, co stanowi istotną okoliczność wpływającą na wysokość kary administracyjnej.

3) Czas trwania naruszeń – dane osobowe kandydatów na studia w SGGW w formie umożliwiającej identyfikację osoby, której dane dotyczą, przechowywane były przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Pan A.G. – [...] przechowywał dane osobowe kandydatów na studia w SGGW pochodzące z okresu ostatnich 5 lat rekrutacji na przenośnym prywatnym komputerze, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na 3 miesiące od zakończenia rekrutacji. Po osiągnięciu celów przetwarzania, w tym przypadku po zakończeniu procesu rekrutacji bądź upływu terminu do odwołania od decyzji w sprawie przyjęcia na studia, dane powinny zostać usunięte albo zanonimizowane, co w niniejszej sprawie nie zostało w pełni wykonane. Powyższe stanowi o naruszeniu przez administratora zasady ograniczenia przechowywania, zwaną także zasadą czasowego ograniczenia przetwarzania danych, określoną w art. 5 ust. 1 lit. e rozporządzenia 2016/679, co również miało istotny wpływ na wysokość nałożonej przez Prezesa UODO kary.

4) Wysoki stopień odpowiedzialności administratora – Ustalenia dokonane przez Prezesa Urzędu Ochrony Danych Osobowych pozwalają na stwierdzenie, że Uczelnia nie wdrożyła odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia, które powinny podlegać regularnym przeglądom i aktualizacji, w szczególności niedokonanie w sposób wystarczający oceny skuteczności tych środków. Brak mechanizmów w zakresie monitorowania, weryfikacji i kontroli nad sposobem, zakresem i terminem przetwarzaniem danych osobowych kandydatów na studia w SGGW przez sekretarza Uczelnianej Komisji Rekrutacyjnej stworzyło możliwość wykorzystania przez pracownika SGGW pana A.G. sprzętu prywatnego do przetwarzania danych kandydatów na studia w SGGW, możliwość pobierania danych kandydatów na studia z systemu SOK i wynoszenia ich na tym nośniku poza obszar przetwarzania wbrew implementowanym procedurom i przepisom rozporządzenia 2016/679, a także nadanemu upoważnieniu do przetwarzania danych osobowych. Ponadto, brak należytego monitorowania przez administratora polityk i dokumentów z nią powiązanych, w tym brak nadzorowania przestrzegania zasad określonych w tych dokumentach, a także brak przeprowadzania audytów jednostek organizacyjnych SGGW, w tym Biura Spraw Studenckich, a także Uczelnianej Komisji Rekrutacyjnej, przy jednoczesnym braku udokumentowania podejmowania tych działań spowodowało, że administrator nie posiadał pełnej wiedzy o przepływie danych osobowych na Uczelni.

Biorąc pod uwagę okres, z którego pochodzą dane osobowe będące przedmiotem naruszenia ochrony danych osobowych oraz ustalenia dokonane przez Prezesa Urzędu Ochrony Danych Osobowych pozwalają na stwierdzenie, że od początku stosowania rozporządzenia 2016/679, w ramach procesu przetwarzania danych osobowych kandydatów na studia w SGGW administrator nie stosował się do: art. 32 ust. 1 lit. b i lit. d, art. 32 ust. 2 i art. 39 ust. 1 lit. b rozporządzenia 2016/679 w związku z art. 5 ust. 2 rozporządzenia 2016/679 - poprzez niewłaściwe monitorowanie środków organizacyjnych w procesie przetwarzania danych osobowych kandydatów na studia w SGGW, art. 38 ust. 1 rozporządzenia 2016/679 – poprzez brak włączania inspektora ochrony danych w sprawy dotyczące ochrony danych osobowych w zakresie przyjmowanych rozwiązań technicznych w ramach funkcjonowania systemu SOK i jego późniejszych modyfikacji, do art. 25 ust. 1 rozporządzenia 2016/679 poprzez brak uwzględniania ochrony danych w czasie samego przetwarzania danych w systemie SOK i przyjęcia w tym zakresie stosownych procedur.

Zasada rozliczalności określona w art. 5 ust. 2 rozporządzenia 2016/679 została uszczegółowiona w art. 32 ust. 1 tego rozporządzenia, który nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Wdrażając te środki, administrator powinien uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i różnej wadze zagrożenia. Ryzyko związane z brakiem rejestrów/ logów operacji zachodzących w systemach IT wspierających przetwarzanie danych osobowych kandydatów na studia nie zostało prawidłowo ocenione, w związku z tym nie zostały wdrożone adekwatne środki techniczne.

W konsekwencji doprowadziło to do naruszenia przez Uczelnię art. 32 ust. 1 lit. b w związku z art. 5 ust. 1 lit. f poprzez utratę poufności i integralności danych, naruszenia art. 5 ust. 2 (tj. zasady rozliczalności), oraz art. 38 ust. 1, art. 39 ust. 1 lit. b oraz art. 25 ust. 1 rozporządzenia 2016/679 mające znaczący wpływ na wysokość nałożonej kary.

Niepodjęcie przez Uczelnię działań mających na celu zapewnienie monitorowania poziomu zagrożeń oraz rozliczalności w tym zakresie, a także adekwatności wprowadzonych zabezpieczeń. Brak dokonania przez Uczelnię oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f rozporządzenia 2016/679) czy zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. e rozporządzenia 2016/679), wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu SOK szerokiego zakresu kategorii danych osobowych na nośnik zewnętrzny. System Obsługi Kandydatów w ramach jednego z modułów nie posiadał zaimplementowanej funkcji rejestrowania zdarzeń związanych z pobieraniem bazy danych kandydatów w ramach wybranego kierunku studiów, co stanowi uchybienie uniemożliwiające rozliczenie osoby mającej dostęp do danych osobowych, zwłaszcza w związku z obowiązkami realizowanymi przez członków Uczelnianej Komisji Rekrutacyjnej, w tym jej sekretarza. Brak wdrożenia w proces analizy ryzyka, w tym czynności związane z opracowaniem metodologii analizy ryzyka, kierownika Biura Spraw Studenckich, który zgodnie ze strukturą organizacyjną Uczelni jest odpowiedzialny za proces przetwarzania danych osobowych kandydatów na studia. W związku z powyższym naruszenie 32 ust. 1 lit. d i art. 32 ust. 2 rozporządzenia 2016/679 w związku z art. 5 ust. 2 rozporządzenia 2016/679 również miało wpływ na wysokość nałożonej kary administracyjnej.

Brak należytego uwzględniania ryzyka związanego z operacjami przetwarzania w wypełnianiu zadań przez inspektorów ochrony danych. Brak jest podstaw do uznania, iż inspektorzy ochrony danych prowadzili audyty w poszczególnych jednostkach organizacyjnych w sposób kompleksowy, w szczególności brak jest dowodów na sporządzanie raportów z kontroli przestrzegania przepisów o ochronie danych, w szczególności w Biurze Spraw Studenckich i Uczelnianej Komisji Rekrutacyjnej. Nie można także uznać, że inspektorzy ochrony danych monitorowali w sposób wystarczający polityki ochrony danych przyjęte przez administratora oraz przestrzeganie przepisów o ochronie danych osobowych. Brak jest dowodów świadczących o podejmowaniu przez inspektorów działań w zakresie: analizowania, sprawdzania zgodności przetwarzania z przepisami rozporządzenia, a także wydawania rekomendacji określonych rozwiązań w odniesieniu do systemu SOK. O niewystarczających działaniach w zakresie monitorowania świadczy fakt, iż pracownik SGGW pan A.G. miał możliwość pobierania z systemu SOK, przechowywania na prywatnym komputerze danych osobowych kandydatów na studia w SGGW pochodzących z okresu ostatnich 5 lat rekrutacji oraz wynoszenia ich na tym nośniku poza obszar przetwarzania danych bez wiedzy administratora. Inspektorzy nie wypełniali swoich zadań z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Brak włączenia inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych, w szczególności w zakresie przyjmowania rozwiązań technicznych w ramach funkcjonowania systemu SOK i jego późniejszej modyfikacji oraz brak przyjęcia w tym zakresie odpowiednich procedur (jako środka organizacyjnego, o których mowa w art. 32 ust. 1 rozporządzenia 2016/679), stanowi o naruszeniu art. 38 ust. 1 oraz art. 25 ust. 1 rozporządzenia 2016/679 poprzez brak uwzględniania ochrony danych w czasie samego przetwarzania danych w systemie SOK i przyjęcia w tym zakresie stosownych procedur. Powyższe okoliczności oraz naruszenie przez Uczelnię art. 25 ust. 1, art. 32 ust. 1, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 w związku z art. 5 ust. 2 rozporządzenia 2016/679 Prezesa UODO uwzględnił przy ustaleniu wysokości kary administracyjnej.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:

1)Podjęcie przez SGGW wszelkich możliwych działań, mających na celu usunięcie naruszenia - jak bowiem ustalono w toku postępowania, następczo w stosunku do naruszenia dokonano analizy zaistniałego zdarzenia oraz podjęto niezwłocznie działania polegające m.in. na:

- zleceniu przez Rektora SGGW kontroli wewnętrznej w celu ustalenia okoliczności dysponowania przez sekretarza Uczelnianej Komisji Rekrutacyjnej SGGW danymi osobowymi kandydatów na studia w SGGW z wykorzystaniem prywatnego komputera;

- skierowaniu wniosku o wszczęcie postępowania wyjaśniającego przez rzecznika dyscyplinarnego ds. nauczycieli akademickich;

- zorganizowaniu spotkań z pracownikami Uczelni w sprawie przedmiotowego naruszenia, a także spotkań z przedstawicielami Rady Uczelnianej Samorządu Studentów i studentami;

- opublikowaniu na stronie internetowej SGGW komunikatu o naruszeniu ochrony danych osobowych zawierającego także informacje o możliwych sposobach ograniczenia negatywnych skutków naruszenia oraz możliwości monitorowania aktywności kredytowej w BIK oraz innych instytucjach;

- wysłaniu za pośrednictwem poczty elektronicznej zawiadomień o naruszeniu ochrony danych osobowych do osób rekrutujących się na studia w roku akademickim 2019/2020, a także studentów Uczelni za pośrednictwem systemu informatycznego […];

- skierowaniu do Ministra Nauki i Szkolnictwa Wyższego pisma informującego o przedmiotowym naruszeniu i podjętych przez Uczelnię działaniach;

- skierowaniu zawiadomienia do prokuratury o podejrzeniu popełnienia przestępstwa przez pana A.G.;

- skierowaniu do instytucji udzielających pożyczek i kredytów (w tym instytucji udzielających tzw. chwilówek) oraz operatorów telekomunikacyjnych i wszystkich banków znajdujących się na stronie KNF (drogą elektroniczną) informacji dotyczącej zdarzenia z prośbą o wyjątkową ostrożność przy przyjmowaniu wniosków;

2) Działania podjęte następczo w stosunku do naruszenia mające na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych w SGGW w przyszłości:

- wdrożono zmiany w programie System Obsługi Kandydatów w zakresie procesu rekrutacji na studia II stopnia rozpoczynających się od semestru letniego w roku akademickim 2019/2020:

  • ograniczono dostęp do Systemu Obsługi Kandydatów dla Uczelnianej i Wydziałowych Komisji Rekrutacyjnych wyłącznie do terenu budynku nr […] i nr […] - ograniczenie techniczne/systemowe do wydzielonej podsieci,
  • wprowadzono indywidualny numer identyfikacyjny (DOID) jako identyfikator kandydata w SOK,
  • umożliwiono członkom Komisji Rekrutacyjnych korzystanie z systemu SOK wyłącznie z komputerów przygotowanych do obsługi rekrutacji przez Centrum Informatyczne SGGW,
  • ograniczono zawartości raportów, z których korzystają Komisje Rekrutacyjne wyłącznie do informacji niezbędnych do podjęcia decyzji kwalifikacyjnych (żaden z powyższych raportów nie zawiera numeru PESEL, numerów dokumentów tożsamości (paszport/karta Polaka), adresu, daty urodzenia, numeru indeksu, itp.),
  • dokonano wydzielenia specjalnego zasobu w celu przekazywania w formie bezpiecznej informacji podlegającej przeniesieniu z Systemu Obsługi Kandydatów do Wirtualnego Dziekanatu SGGW bez konieczności przekazywania ich pocztą elektroniczną;
  • korespondencja z wydziałowymi komisjami rekrutacyjnymi — o ile jest niezbędna — zawierająca dane osobowe osób przyjętych na studia odbywa się przy użyciu szyfrowanych plików;

- ograniczono kopiowanie danych na dyski zewnętrzne dla pracowników administracji posiadających dostęp do najważniejszych systemów informatycznych, w których przetwarzane są dane osobowe, wprowadzono metody trwałego usuwania danych z nośników przy przekazywaniu komputerów pomiędzy jednostkami organizacyjnymi wykorzystując dedykowane oprogramowanie oraz zaktualizowano „Standard konfiguracji komputerowej stacji roboczej” wprowadzający obowiązek stosowania dodatkowych zabezpieczeń,

- rozpoczęto wdrażanie na komputerach (w szczególności przenośnych) rozwiązanie umożliwiające szyfrowanie dysków komputerów oraz nośników zewnętrznych oraz wdrażanie wspólnej domeny całej Uczelni i dodanie do niej wszystkich komputerów użytkowanych przez pracowników Uczelni co poprzez centralne i jednolite zarządzanie, znacząco podniesie bezpieczeństwo użytkowników i zasobów cyfrowych;

- przeprowadzono w ramach poszczególnych jednostek organizacyjnych SGGW analizę zgodności systemów przetwarzających dane osobowe z: Polityką Bezpieczeństwa, Instrukcją zarządzania systemem informatycznym oraz rozporządzeniem 2016/679 wraz z wnioskami i rekomendacjami służącymi poprawie bezpieczeństwa informatycznego;

- zabezpieczono środki finansowe w 2020 r. na realizację zaplanowanych działań zwiększających poziom bezpieczeństwa informatycznego w zakresie budowy i wdrożenia nowego systemu rekrutacyjnego do wsparcia procesu rekrutacji kandydatów na studia, przeprowadzenia audytu systemów informatycznych w zakresie architektury, bezpieczeństwa i wydajności, dostosowania centralnych systemów informatycznych do wymagań rozporządzenia 2016/679, opracowania procesu zarządzania incydentami teleinformatycznymi, wdrożenia procedur i planów ciągłości działania, a także opracowania Polityki Bezpieczeństwa Teleinformatycznego (uchwała Senatu SGGW z […] lutego 2020 r. w sprawie przyjęcia planu usług informatycznych na 2020 r. stanowi załącznik do pisma Uczelni z […] kwietnia 2020 r.);

- w ramach uczelnianego projektu obejmującego informatyzację SGGW m.in. zaplanowano rozbudowę ok. 11 systemów informatycznych, zaplanowano wymianę systemu pocztowego oraz narzędzi wspomagających pracę pracowników dydaktycznych, zawarto stosowne umowy z podmiotami zewnętrznymi, których przedmiotem jest centralizacja w zakresie usługi […], dostarczenie informatycznego rozwiązania typu Service Desk wraz z modułem „RODO”, którego zadaniem ma być możliwość prowadzenia rejestru czynności przetwarzania, rejestru upoważnień do przetwarzania danych osobowych, składania wniosków o udzielnie upoważnienia do przetwarzania oraz wnioski o nadanie/odebranie uprawnień w systemach informatycznych;

- trwają prace nad aktualizacją środków organizacyjnych zmierzające do implementacji kompleksowej polityki ochrony danych osobowych wraz z procedurami: zgłaszania naruszeń ochrony danych do organu nadzorczego — art. 33 ust. 3 rozporządzenia 2016/679, oceny i notyfikacji naruszeń ochrony danych osobowych — art. 34 rozporządzenia 2016/679, dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych - art. 33 rozporządzenia 2016/679, oraz rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania art. 30 rozporządzenia 2016/679, w zakresie tworzenia nowych procesów przetwarzania i uwzględniania domyślnej ochrony danych — art. 25 rozporządzenia 2016/679, procedurę oceny ryzyka i oceny skutków dla ochrony danych osobowych — art. 24, 32, 35 rozporządzenia 2016/679, a także plan utrzymania zgodności oraz prowadzenia audytów wewnętrznych, w tym m.in. zasady monitorowania i audytu procedur wewnętrznych, sposobu ich realizowania oraz procedura wyboru dostawcy przetwarzającego dane osobowe wraz z rejestrem podmiotów przetwarzających. W tym celu Uczelnia podjęła współpracę z podmiotem zewnętrznym, który obecnie wykonuje zlecenie kompleksowego przygotowania projektu polityki ochrony danych osobowych wraz z procedurami;

- podjęto działania zmierzające do aktualizacji analizy ryzyka dla procesu rekrutacji kandydatów na studia (analiza ryzyka dla przetwarzania danych osobowych w procesie rekrutacji wraz z metodyką dla analizy stanowi załącznik do pisma Uczelni z […] czerwca 2020 r.);

- określono plan naprawczy ustalający priorytety w działaniach administratora w zakresie maksymalizacji skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia w SGGW (plan naprawczy stanowi załącznik do pisma Uczelni z […] czerwca 2020 r.);

- zatrudniono od […] maja 2020 r. osobę na stanowisku specjalisty ds. ochrony danych osobowych podległą bezpośrednio Rektorowi SGGW, do której zadań należy przede wszystkim wsparcie merytoryczne i współpraca z jednostkami organizacyjnymi Uczelni w zakresie bezpieczeństwa informacji i przetwarzania danych osobowych, w szczególności wsparcie procesu rekrutacji na studia (zakres obowiązków ww. specjalisty stanowi załącznik do pisma Uczelni z […] czerwca 2020 r.);

- zaplanowano przeprowadzenie szkoleń e-learningowych dla pracowników SGGW kończących się testem sprawdzającym i generowaniem raportów, potwierdzających odbycie szkolenia i uzyskany wynik.

3) Dobra współpraca ze strony Uczelni, która zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania postępowania administracyjnego współpracowała z Prezesem Urzędu Ochrony Danych Osobowych w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; w wyznaczonym terminie Uczelnia przesłała wyjaśnienia i udzieliła odpowiedzi na wystąpienie Prezesa Urzędu Ochrony Danych Osobowych, zatem stopień tej współpracy należy ocenić jako pełny.

4) Brak dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę) - osoby fizyczne, których dotyczy przedmiotowe naruszenie poufności danych osobowych mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

5)Nie zostało stwierdzone, żeby Uczelnia uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postępowania.

Żadnego wpływu na fakt nałożenia, jak i sam wymiar administracyjnej kary pieniężnej, nie miały okoliczności, iż:

1) Uczelnia nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679,

2) W tej samej sprawie nie zostały wcześniej zastosowane wobec Uczelni środki, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679,

3) Brak jest dowodów wskazujących na uzyskanie przez Uczelnię korzyści finansowych, jak i powodujących uniknięcie strat w związku z naruszeniem.

Ponadto dla rozstrzygnięcia niniejszej sprawy nie mają znaczenia dowody załączone do pisma Uczelni z […] kwietnia 2020 r. dotyczące systemu EZD (e-mail z […] kwietnia 2020 r.), procedury antymobbingowej (e-mail z […] lipca 2019 r. i […] lipca 2019 r.), aktualizacji regulaminu zakładowego funduszu świadczeń socjalnych (e-maile z […] lipca 2019 r., […] lipca 2019 r., […] lipca 2019 r., […] kwietnia 2020 r.), monitoringu wizyjnego (e-mail z […]lipca 2019 r. i […] lipca 2019 r. oraz […] kwietnia 2020 r.), w związku z tym nie stanowią przedmiotu oceny.

Dla przedmiotowego rozstrzygnięcia nie mają również znaczenia wyjaśnienia Uczelni przedstawione w piśmie z […] sierpnia 2020 r. gdyż zgodnie z ustaleniami dokonanymi przez organ nadzorczy w toku kontroli oraz postępowania administracyjnego, dane kandydatów na studia doktoranckie i doktorantów Uczelni nie znajdowały się na skradzionym laptopie.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Uczelnię jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych Uczelni naruszeń. Stwierdzić należy, iż zastosowanie wobec SGGW jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Uczelnia w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.

Prezes UODO wziął pod uwagę, iż SGGW jest jednostką sektora publicznego. W tym miejscu wskazać należy na treść art. 102 ustawy o ochronie danych osobowych, z którego wynika ograniczenie (do 100.000 zł) kary, jaka może zostać nałożona na jednostkę sektora publicznego. W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna w wysokości 50.000 zł spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Uczelnię przepisów rozporządzenia 2016/679, ale i prewencyjną, czyli zapobieganie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez Uczelnię, jak i innych administratorów danych. Ponadto, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679. Przemawia za tym poważny charakter naruszenia ochrony danych osobowych, kategorie danych oraz krąg osób nim dotkniętych. Co istotne, w stosunku do tych osób w dalszym ciągu istnieje ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem prywatny laptop pracownika SGGW, na którym znajdowały się dane osobowe kandydatów na studia nie został odnaleziony (odzyskany).

Celem nałożonej kary jest doprowadzenie do właściwego wykonywania przez Uczelnię obowiązków przewidzianych w art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i d, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 2 rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018, poz. 1302, z późn. zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.

Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jan Nowak
date 2020-08-21
Wprowadził informację:
user Wioletta Golańska
date 2020-09-07 14:07:33
Ostatnio modyfikował:
user Edyta Madziar
date 2020-09-10 10:00:21