UODO wszczął postępowanie administracyjne wobec Szkoły Głównej Gospodarstwa Wiejskiego. To efekt kontroli przeprowadzonej na uczelni.

Postępowanie jest związane z głośną sprawą skradzionego laptopa, na którym były w zasadzie kompletne dane osobowe kandydatów na studia w SGGW, łącznie z numerami telefonów, adresami e-mail i informacjami o ukończonych szkołach. Urządzenie należało do pracownika uczelni, a dane z okresu kilku lat były przechowywane na nim bezprawnie. Dotyczyły według szacunków nawet 70 tys. osób. Do kradzieży doszło w listopadzie ub.r. Niedługo potem policja poinformowała o aresztowaniu sprawców, ale laptopa nie odzyskano.

Kontrola UODO wykazała szereg innych naruszeń na SGGW, takich jak brak aktualizacji i przeglądów polityk bezpieczeństwa na uczelni (m.in. art. 24 ust. 1 RODO). Administrator nie sprawdzał jak należy procesu przetwarzania danych osobowych kandydatów na studia, nie miał więc wiedzy o ryzyku i nie podejmował w związku z tym właściwych działań (art. 25 ust. 1, art. 32 ust. 1 lit. b i d RODO). Także uczelniany IOD-a, inspektor ochrony danych osobowych, nie wypełniał swoich zadań zgodnie z RODO (art. 39 ust. 2).   

Celem postępowania jest przywrócenie u administratora stanu zgodnego z prawem. W razie naruszenia przepisów RODO prezes UODO może np. zastosować upomnienia, ostrzeżenia, nakazy dostosowania do przepisów o ochronie danych osobowych, nałożyć karę pieniężną. Kara czy ostrzeżenia nie wpływa na możliwość zastosowania innych sankcji. Jednostkom publicznym za naruszenie RODO grożą dużo niższe kary pieniężne niż przedsiębiorstwom – do 100 tys. zł.