RODO a szkolnictwo wyższe

03.08.2018 4 minuty na przeczytanie artykułu

Photo by Matthew Henry on Unsplash

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej RODO, już od blisko dwóch miesięcy jest, a przynajmniej powinno być, bezpośrednio stosowane w Polsce, w tym również na polskich uczelniach. Nowe prawo to też nowe obowiązki, na które szkoły wyższe powinny zwrócić szczególną uwagę. Dzisiaj przyglądamy się zmianom wynikającym z RODO, które wywierają największy wpływ na funkcjonowanie polskich uczelni.

 

Uczelnia jako podmiot przetwarzający

Na wstępnie należy wyraźnie zaznaczyć, że dane osobowe studentów, pracowników i innych osób, przetwarza uczelnia rozumiana jako administrator tych danych. Tym samym to uczelnia jako podmiot decydujący o celach i sposobach przetwarzania posiadanych danych jest odpowiedzialna za ich właściwe zabezpieczenie i odpowiednie przestrzeganie przepisów.

W tym miejscu warto wskazać, że szkoły wyższe przetwarzają dane osobowe w bardzo wielu zbiorach danych, przykładowo będą to: kandydaci na studia, studenci, doktoranci, absolwenci, słuchacze studiów podyplomowych; kandydaci do pracy, pracownicy, byli pracownicy, współpracownicy i kontrahenci (umowy zlecenia, umowy o świadczenie usług, umowy o dzieło); osoby korzystające z biblioteki; domów studenckich. Samo przetwarzanie danych osobowych przez uczelnie zaistnieje, m.in. w postaci list obecności; list mailingowych, uczelnianych systemów informatycznych (USOS, Wirtualny Dziekanat), archiwum akt osobowych studentów.

Nowe obowiązki

RODO w założeniu ma stanowić źródło nowego podejścia do kwestii ochrony danych osobowych. Dotychczasowa praktyka i codzienna rzeczywistość pokazały, że bywało z tym bardzo różnie, a niestety najczęściej bardzo źle. Nowe przepisy powinny doprowadzić, m.in. do wzmocnienia prawa do poszanowania prywatności wszystkich osób fizycznych, zharmonizowania ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania, zmiany podejścia regulacji do postępującego rozwoju technologii przetwarzania, a także zbudowania realnej odpowiedzialności za procesy przetwarzania. Aby urzeczywistnić powyższe założenia administratorzy danych, w tym szkoły wyższe powinny zweryfikować czy:

  • stosują odpowiednie zasady przetwarzania.

Uczelnie nie stanowią wyjątku i muszą przestrzegać ustalonych zasad przetwarzania danych osobowych. Najważniejsze z nich to legalność, rzetelność/przejrzystość, ograniczenie celu, minimalizacja, prawidłowość, minimalizacja, prawidłowość, ograniczenie przechowywania oraz rozliczalność.  Upraszczając sprawę uczelnia:

  • może przetwarzać dane tylko na odpowiedniej podstawie prawnej (wyrażona zgoda, niezbędność do wykonania umowy, wypełnienie obowiązku prawnego, niezbędność do ochrony żywotnych interesów podmiotu danych, niezbędność do wykonania zadania realizowanego w interesie publicznym, prawnie uzasadniony interes uczelni),
  • powinna informować osoby, których dane przetwarza o ich uprawnieniach prostym i przystępnym językiem;
  • powinna gromadzić tylko takie dane, które są faktycznie niezbędne do realizacji odpowiednich zadań wynikających ze specyfiki działalności szkoły wyższej (przykładowo gromadzenie informacji o poglądach polityczne będzie oczywiście niedopuszczalne);
  • powinna na bieżąco sprawdzać, czy przetwarzane dane osobowe są merytorycznie poprawne i zgodne z rzeczywistym stanem faktycznym;
  • powinna przetwarzać dane osobowe tylko przez okres niezbędny do osiągnięcia wskazanego celu;
  • powinna móc udowodnić, że wykonują wszystkie obowiązki nałożone przepisami prawa (np. odpowiednie informowanie, m.in. studentów, pracowników, absolwentów o celach, sposobie i czasie dotyczących ich danych).
  • realizują uprawnienia podmiotów danych (studentów, pracowników, absolwentów).

Każdy podmiot danych, czyli osoba, która przekazuje uczelni swoje dane, posiada pewien zakres uprawnień, który nie może być w żaden sposób wyłączony. Otóż Uczelnia jest zobowiązana, m.in. do przekazania informacji na temat swojego adresu i nazwy, danych kontaktowych Inspektora Ochrony Danych Osobowych (jeżeli jest powołany), celu oraz podstawie przetwarzania, informacji o odbiorcach danych, wskazania okresu przetwarzania, informacji o prawie dostępu do danych, możliwości sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie, do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, informacja o prawie do cofnięcia zgody w dowolnym momencie, informacji o prawie wniesienia skargi do organu nadzorczego, informacji o dobrowolności albo obowiązku podania danych, informacji o zautomatyzowanym podejmowaniu decyzji.

  • stosują odpowiednie środki techniczne oraz organizacyjne zapewniające bezpieczeństwo oraz poufność danych.

Co niezwykle istotne wskazane środki powinny zostać wdrożone z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. W ramach działalności szkół wyższych jest to tym bardziej ważne, ze względu na olbrzymią ilość przetwarzanych danych osobowych, które na bardzo wielu etapach są stale narażone na wszelakie ryzyka, począwszy od błędów pracowników, aa próbie ingerencji zewnętrznej, np. w system USOS, kończąc. RODO praktycznie w żadnym miejscu nie wskazuje jakie środki organizacyjne i techniczne powinny zostać wdrożone przez Administratora, który jak jedyny podmiot odpowiedzialny za bezpieczeństwo przetwarzanych danych osobowych ponosi pełną odpowiedzialność za potencjalne naruszenia. Tym samym nie da się określić standardowego katalogu narzędzi, jakie powinna zastosować szkoła wyższa, by móc wykazać odpowiednie bezpieczeństwo danych.  Mimo wszystko niezbędnym minimum wydaje się:

  • przygotowanie odpowiedniej dokumentacji z naciskiem na właściwe opracowanie odpowiednich procedur, zwłaszcza usystematyzowanych sposobów reagowania na naruszenia ochrony danych osobowych pracowników i studentów;
  • odpowiednie fizyczne zabezpieczenie wszelkich nośników danych osobowych;
  • niezbędne przeszkolenie personelu pracującego z danymi osobowymi w kontekście przestrzeganie najważniejszych zasad zapewnienia ochrony danych, m.in. prywatności kont w systemach, poufności haseł i kodów dostępu, zamkniętego pomieszczenia, czystego biurka, czystej tablicy, czystego ekranu, czystych drukarek, czystego kosza.
Błędy i nadinterpretacje

RODO w zamyśle miało stanowić milowy krok w uporządkowaniu sposobów przetwarzania danych osobowych przede wszystkim poprzez wzmocnienie prawa do poszanowania prywatności, ujednolicenia zasad ochrony podstawowych praw i wolności osób fizycznych w związku z operacjami na danych osobowych, czy też zbudowanie realnej odpowiedzialności za procesy przetwarzania. Niestety początkowy okres funkcjonowania nowego prawa wykazał mnóstwo niezrozumienia i zdecydowanie błędnego pojmowania celu, w jakim RODO w ogóle zostało stworzone. Przykładowo jedna z niepublicznych szkół wyższych przygotowała dla studentów umowy powierzenia przetwarzania danych, na mocy której każdy student jako administrator swoich danych osobowych powierza ich przetwarzanie uczelni jako procesorowi (podmiot przetwarzający). Konsekwencje podpisania takiej umowy mogą być dla uczelni opłakane. Wystarczy wskazać, chociażby na uprawnienie administratora, w tym przypadku każdego studenta, do uzyskania wszelkich informacji niezbędnych do wykazania przez procesora, w tym przypadku uczelni, spełnienia obowiązków określonych w RODO oraz umożliwienia administratorowi lub audytorowi upoważnionemu przez niego przeprowadzanie audytów, w tym inspekcji. Upraszczając sprawę każdy student, który powierzył przetwarzanie danych osobowych swojej uczelni, będzie miał prawo żądać wszelkich informacji na temat wdrożonych zasad ochrony danych osobowych, a nawet osobiście je zweryfikować w ramach przeprowadzonej przez siebie samego kontroli. Pytanie, jak zachowałaby się uczelnia, gdyby nagle kilkuset studentów zapowiedziało chęć powyższej weryfikacji. To tylko jeden z dziesiątków przykładów niewłaściwego zrozumienia nowych przepisów, miejmy nadzieję, że z czasem podobne sytuacje zostaną wyparte przez wypracowanie odpowiednich standardów, niemniej do tej pory każda osoba, które dane osobowe przetwarzane są przez uczelnie, powinna zachować dodatkową czujność.

Publikacja finansowana w ramach programu Ministra Nauki i Szkolnictwa Wyższego pod nazwą „DIALOG” na lata 2018-2019