Dopo un’ispezione effettuata presso SGGW in relazione a una violazione della protezione dei dati, il presidente di UODO avvia un procedimento amministrativo.

Il laptop rubato, su cui c’erano dati di candidati per studi all’Università di scienze di Varsavia, apparteneva a un impiegato universitario. Lo ha usato per scopi privati ​​e aziendali – i dati personali sono stati elaborati su un laptop in relazione all’assunzione di candidati allo studio. 

Tuttavia, questi non sono tutti gli accordi presi in relazione al controllo del Presidente dell’UODO effettuati dopo la violazione, avvenuta presso SGGW.

L’audit ha mostrato chiare disfunzioni del sistema di protezione dei dati nell’università, sia dal punto di vista tecnico che organizzativo. È stata inoltre accertata una violazione delle disposizioni sulla protezione dei dati personali relative agli obblighi incombenti all’amministratore dall’art. 24 comma 1 GDPR nel contesto della mancanza di aggiornamenti e revisioni delle politiche di sicurezza adottate all’università. 

L’audit ha rilevato che l’amministratore non ha esaminato correttamente il trattamento dei dati personali dei candidati allo studio. Pertanto, non aveva una conoscenza sufficiente dei rischi associati a questo trattamento e non ha intrapreso le azioni appropriate risultanti, tra l’altro, dall’art. 25 comma 1 o 32 comma 1 lit. be GDPR. Le attività di controllo hanno anche rivelato debolezze legate al modo di svolgere la funzione di responsabile della protezione dei dati, che tra l’altro non ha adempiuto ai suoi compiti ai sensi dell’art. 39 sezione 2 GDPR, vale a dire con la dovuta considerazione del rischio associato alle operazioni di elaborazione.

Lo scopo di un procedimento amministrativo è di riportare l’amministratore a uno stato legittimo. In caso di violazione delle disposizioni sulla protezione dei dati personali, il Presidente dell’UODO risponde in modo adeguato alla gravità della specifica violazione, utilizzando i numerosi diritti che ha ai sensi del GDPR. 

Ecco perché il presidente di UODO può trarre vantaggio dalle risorse fornite dal GDPR. 

Questi possono includere, ad esempio, promemoria, avvertenze, ordini di adeguamento delle operazioni di trattamento alle disposizioni sulla protezione dei dati personali. Il presidente di UODO può anche imporre un’ammenda amministrativa a seconda della valutazione delle circostanze di un caso particolare. 

Vale la pena ricordare che l’imposizione di un’ammenda amministrativa o di un avvertimento non pregiudica la possibilità per il Presidente dell’UODO di applicare altri poteri o sanzioni.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI PERSONALI DELLA POLONIA – UODO