Do naruszenia poufności danych osobowych doszło w 2022 r., podczas przenoszenia systemu Szkoły Głównej Handlowej na nowy serwer. Doszło do niewłaściwego zabezpieczenia danych osobowych w aplikacji do rekrutacji na wymiany studenckie i do niezamierzonego ujawnienia w internecie wrażliwych informacji dotyczących 1461 studentów, absolwentów i byłych studentów SGH.
PUODO: nie tylko pracownik SGH winny wycieku
Zdaniem uczelni incydent miał wynikać wyłącznie z błędu pracownika. SGH twierdziła, że do pomyłki człowieka doszło pomimo dochowania wymaganych standardów ochrony danych. Prezes UODO uznał natomiast, że uczelnia nie realizowała obowiązków wynikających z RODO: nie analizowała ryzyka, nie dobierała prawidłowo środków bezpieczeństwa i nie oceniała rzetelnie ich skuteczności. Dlatego PUODO nałożył na uczelnię karę w wysokości 35 tys. zł.
Czytaj więcej:
SGH zaskarżyła decyzję PUODO, lecz WSA w Warszawie zgodził się ze stanowiskiem organu nadzorczego i uznał skargę za nieuzasadnioną. Sąd przyznał, że w toku postępowania administracyjnego, które poprzedziło wydanie decyzji, uczelnia nie wykazała, że rzeczywiście wdrożyła odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemie rekrutacyjnym oraz że regularnie testowała, mierzyła i oceniała ich skuteczność.
WSA nie znalazł zatem podstaw do zakwestionowania zaskarżonej decyzji, uznając, że jej wydanie w obecnym kształcie było nie tylko uzasadnione, ale i potrzebne. Sąd potwierdził też, że nie tylko błąd ludzki, ale przede wszystkim przetwarzanie danych niezgodne z RODO, doprowadziło do wycieku danych.
