Na swojej stronie internetowej uczelnia poinformowała, że w dniu 5 listopada 2019 r. doszło do poważnego wycieku danych studentów w wyniku kradzieży komputera przenośnego.

Jak podano w komunikacie uczelni, na dysku tego komputera znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie, m.in.: dane identyfikacyjne - imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

Rzecznik prasowy SGGW Krzysztof Szwejk zaznaczył, że uczelnia może przechowywać dane z rekrutacji tylko przez jeden rok. Natomiast, pracownik, do którego należał laptop gromadził i przechowywał dane nielegalnie od przynajmniej pięciu lat. Wobec niego wszczęto postępowanie dyscyplinarne oraz grozi mu zwolnienie z pracy.

Uczelnia poinformowała studentów o wycieku. Jednak problem polega na tym, że dane z poprzednich lat po okresie przechowywania zostały przez SGGW skasowane, więc  nie uda się dotrzeć do wszystkich osób.

Uczelnia zgłosiła naruszenie do Urzędu Ochrony Danych. Urząd przeprowadzi czynności kontrolne,  w trakcie których ma  ustalić, czy przetwarzanie danych w SGGW odbywa się zgodnie z RODO.

W wydanym w dniu 19 listopada 2019 roku komunikacie Prezes UODO podkreśla, że zgłaszać naruszenia do niego należy nie później niż w ciągu 72 godzin od jego stwierdzenia. W przypadku gdy wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą o sytuacji trzeba poinformował również te osoby, żeby mogły one same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.

PUODO poinformował, że każda osoba, która uzna, że jej dane osobowe są przetwarzane niezgodnie z prawem może złożyć skargę do niego.

Niezależnie od złożenia skargi do Prezesa UODO art.  79  i 80 RODO dają osobie poszkodowanej prawo do ochrony swoich praw przed sądem cywilnym oraz prawo uzyskać od administratora odszkodowanie.