Według UODO pracownikowi szkoły skradziono laptop, na którym były dane kandydatów na studia na tej uczelni. Laptop ten był wykorzystywany zarówno do celów prywatnych, jak i służbowych.
Zdaniem Urzędu, kontrola przeprowadzona w SGGW wykazała wyraźne dysfunkcje systemu ochrony danych na uczelni - zarówno od strony technicznej, jak i organizacyjnej.
"Stwierdzono naruszenie przepisów o ochronie danych osobowych odnoszących się do obowiązków ciążących na administratorze m.in. z art. 24 ust. 1 RODO w kontekście braku aktualizacji i przeglądów polityk bezpieczeństwa przyjętych na uczelni" - napisano w komunikacie.
Jak podano, w toku kontroli stwierdzono też, że administrator nie poddawał należytym przeglądom procesu przetwarzania danych osobowych kandydatów na studia. W związku z tym nie posiadał dostatecznej wiedzy o ryzyku związanym z tym przetwarzaniem i nie podejmował właściwych działań wynikających z przepisów RODO. Działania kontrolne wykazały również uchybienia związane ze sposobem sprawowania funkcji inspektora ochrony danych, który m.in. nie wypełniał swoich zadań z należytym uwzględnianiem ryzyka związanego z operacjami przetwarzania.
Urząd przypomniał, że celem postępowania administracyjnego jest przywrócenie u administratora stanu zgodnego z prawem. Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO. Mogą to być np. upomnienia, ostrzeżenia, nakazy dostosowania operacji przetwarzania do przepisów o ochronie danych osobowych. Prezes UODO może też nałożyć karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.