Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 9 grudnia 2021 r., sygn. DKN.5130.2559.2020
Na podstawie art. 104 § l i art. 105 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) w związku z art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1) i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h) oraz art. 58 ust. 2 lit. i) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 , a także art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Politechnikę Warszawską z siedzibą w Warszawie przy Placu Politechniki 1, 00-661 Warszawa, Prezes Urzędu Ochrony Danych Osobowych
1) stwierdzając naruszenie przez Politechnikę Warszawską z siedzibą w Warszawie przy Placu Politechniki 1, 00-661 Warszawa, przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”, polegające na niezrealizowaniu obowiązków ciążących na administratorze, wynikających z rozporządzenia 2016/679, poprzez:
a) niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym o nazwie […], a tym samym niewłaściwe uwzględnienie ryzyka związanego z przetwarzaniem danych osobowych w ww. systemie,