Naczelny Sąd Administracyjny oddalił skargę złożoną przez jedną z uczelni, utrzymując w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO) o nałożeniu kary finansowej. Sprawa dotyczyła naruszenia przepisów o ochronie danych osobowych, w wyniku którego doszło do ujawnienia informacji o kandydatach na studia.

Do incydentu doszło w 2019 roku, kiedy dane osobowe zostały wyeksportowane na prywatny komputer pracownika SGGW. W wyniku kradzieży tego urządzenia doszło do naruszenia poufności danych. Po przeanalizowaniu sprawy Prezes UODO uznał, że instytucja nie zapewniła odpowiednich środków zabezpieczających i nałożył na nią karę w wysokości 50 tys. zł. Decyzja ta została następnie zaskarżona przez uczelnię do Wojewódzkiego Sądu Administracyjnego, a po jego orzeczeniu – do Naczelnego Sądu Administracyjnego.

NSA, rozpatrując sprawę 7 lutego 2025 roku, nie przychylił się do argumentacji uczelni, zgodnie z którą to pracownik, działając poza zakresem upoważnienia, ponosił wyłączną odpowiedzialność za naruszenie. Sąd uznał, że w świetle przepisów administrator danych musi mieć pełną kontrolę nad ich przetwarzaniem i zapewnić skuteczny nadzór nad działaniami swoich pracowników.

W ocenie NSA brak odpowiednich mechanizmów kontroli oraz niewystarczająca dbałość o bezpieczeństwo danych skutkowały naruszeniem przepisów RODO. W konsekwencji sąd podtrzymał stanowisko PUODO, uznając nałożenie kary za zasadne. Decyzja ta potwierdza, że instytucje przetwarzające dane osobowe muszą wdrażać skuteczne procedury bezpieczeństwa oraz egzekwować ich przestrzeganie, aby zapobiec podobnym incydentom w przyszłości.

Źródło: UODO