RODO a uczelnie wyższe
Dowiedz się jak branża szkolnictwa wyższego radzi sobie z zarządzaniem danymi osobowymi
Polskie szkoły wyższe zarządzają ogromną ilością danych osobowych. Według danych Głównego Urzędu Statystycznego mogą gromadzić nawet 1,3 mln informacji o studentach1, do tego setki tysięcy o rekrutowanych absolwentach, pracownikach oraz współpracownikach. Wytyczne Urzędu Ochrony Danych Osobowych w zakresie realizowania polityki RODO odnoszą się do wielu przypadków, związanych m.in. z realizowaniem obowiązku informacyjnego przez szkołę w trakcie rekrutacji, czy też udzielania informacji osobom trzecim. Nie są jednak w stanie przewidzieć wszystkich okoliczności. Przypadki wycieku danych, pochodzące z polskich uczelni, stanowią dowód na to, jak wiele pozostaje jeszcze do zrobienia.
Uczelnie wyższe a dane osobowe
Należy wyraźnie zaznaczyć, że dane osobowe studentów, pracowników i innych osób zatrudnionych lub powiązanych z daną szkołą wyższą, przetwarzane są przez uczelnię, rozumianą jako administrator tych danych. Tym samym to szkoła wyższa, jako podmiot decydujący o celach i sposobach przetwarzania posiadanych danych, odpowiedzialna jest za właściwe zabezpieczenie danych osobowych, jak również przestrzeganie odpowiednich przepisów.
Uczelnie i inne podmioty z branży szkolnictwo wyższe przetwarzają dane osobowe w bardzo wielu zbiorach danych. Mogą to być informacje, dotyczące:
- kandydatów na studia,
- studentów i doktorantów,
- absolwentów,
- słuchaczy studiów podyplomowych,
- kandydatów do pracy,
- pracowników,
- byłych pracowników,
- współpracowników,
- kontrahentów (zatrudnionych na podstawie umowy zlecenia, umowy o świadczenie usług lub umowy o dzieło),
- osób korzystających z bibliotek i domów studenckich.
Samo przetwarzanie danych osobowych przez uczelnie zachodzi m.in. w postaci list obecności, uczelnianych systemów informatycznych, jak USOS czy też archiwum akt osobowych studentów.
W jakim celu przetwarzane są dane osobowe na uczelniach?
Cele przetwarzania danych osobowych w uczelniach określa ustawa Prawo o szkolnictwie wyższym. Jeśli wykraczają one poza sferę obowiązków wynikających z przepisów, należy wówczas zakomunikować inny cel zbierania danych.
Przepisy prawa zasadniczo określają zakres danych osobowych pozyskiwanych w szkołach wyższych. Mogą to być dane:
- pochodzące od kandydatów na studia,
- przetwarzane w związku z procesem kształcenia,
- związane z ubieganiem się o pomoc materialną,
- określające zasady przetwarzania danych osobowych w celu badania losów absolwentów.
Główne kategorie naruszeń
Każdy, nawet najmniejszy wyciek, może mieć poważne konsekwencje. Główne kategorie przewinień w zakresie ujawnienia danych osobowych to:
- naruszenia przy procesie rekrutacji na studia,
- przypadki publikowania przez wykładowców wyników kolokwiów i egzaminów
z podawaniem imion i nazwisk studentów, - niezgodne z prawem działania w zakresie przesyłania informacji handlowych do byłych kandydatów na studia oraz w zakresie prowadzenia monitoringu karier absolwentów bez uzyskania od nich wcześniejszej zgody,
- rozpowszechnianie zdjęć studentów i absolwentów bez uprzedniej zgody.
Konsekwencje wycieku danych
Wycieki danych osobowych mogą spowodować zarówno szkody majątkowe, jak i niemajątkowe wśród studentów. Są to okoliczności, które umożliwiają studentowi lub grupie studentów kierowanie roszczeń odszkodowawczych do administratora, ale też podmiotu przetwarzającego dane osobowe. Koszty ewentualnych procesów nie różnią się od innych sporów odszkodowawczych. Uczelnie, z których wyciekły dane muszą liczyć z koniecznością wypłaty odszkodowań, jak również z sankcjami administracyjnymi. Nie należy także zapominać o karach pieniężnych wynikających z RODO. Z założenia mają one mieć charakter odstraszający.
RODO opiera się na zasadzie adekwatności. Oznacza to, że pojedynczy wyciek o charakterze okazjonalnym oraz indywidualnym, przy jednoczesnym zachowaniu odpowiedniego poziomu staranności administratora, nie może być traktowany na równi z wyciekiem, który jest następstwem systemowych zaniedbań w obszarze ochrony.