W listopadzie 2019 roku Prezes UODO otrzymał zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW oraz wszczął z urzędu postępowanie kontrola PUODO, kara|Rodo, naruszenie ochrony danych, przechowywane danych kandydatów na studia, RODO na uczelni, naruszenie zasady poufności i rozliczalności administracyjne.

U pracownika tej uczelni był skradziony przenośny prywatny komputer, który on używał także do celów służbowych.  Na tym urządzeniu były  przechowywane dane osobowe kandydatów na studia w SGGW.

W trakcie postepowania organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem wyniosła  do 100 tys.

Ponadto administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie prowadził weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego.

Jednocześnie Prezes UODO stwierdził, że  okres przechowywania danych osobowych kandydatów na studia wynosił pięć lat,  co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Według opinii PUOZDO stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.

Na podstawie zebranego materiału dowodowego UODO nałożył na uczelnię administracyjną karę pieniężną, stwierdzając  naruszenie zasady poufności i rozliczalności określonych w RODO oraz brak  odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia.

Decyzja PUODO