Od dnia 25 maja 2018 r. stosujemy przepisy Rozporządzenia  Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, dalej RODO) [1]. Szkoły wyższe jako administratorzy danych również, w mniejszym lub większym stopniu, starają się poradzić sobie z wdrożeniem nowych przepisów. Publikacja w pierwszej części ma na celu przybliżenie głównych obowiązków jakie ciążą na administratorach danych, tak aby mógł rozliczyć się ze zgodnego z prawem przetwarzania danych osobowych. Część druga artykułu będzie zawierać analizę najczęściej występujących naruszeń popełnianych przez szkoły wyższe w zakresie przetwarzania danych osobowych.

Bezpośrednie stosowanie RODO

Regulacja RODO daje osobom fizycznym kontrolę nad własnymi danymi osobowymi, a co za tym idzie osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce w zakresie legalnego przetwarzania danych osobowych [2]. Z uwagi na szczególny charakter prawny rozporządzenia wszystkie materialne przepisy od 25 maja 2018 r. obowiązują bezpośrednio i mają bezpośredni skutek. Wszystkie obowiązki szkół wyższych jako administratorów danych, wynikające z RODO, powinny być wykonywane od tego dnia. Stosownie do art. 288 TFUE [3] rozporządzenie ma zasięg ogólny, wiąże w całości, co do wszystkich zawartych w nim postanowień. Rozporządzenie staje się częścią krajowych systemów prawnych bez potrzeby dokonywania jakichkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek. Taki właśnie charakter ma RODO. Zakazane jest stosowanie rozwiązań nieprzewidzianych w RODO i niepozostawionych w nim wyraźnie do uregulowania w prawie krajowym [4]. Należy przy tym zaznaczyć, że RODO wprowadza harmonizację częściową, w której pozostawia się państwom członkowskim większą lub mniejszą aktywność w danej dziedzinie po wejściu w życie aktu harmonizującego. W ramach takiej harmonizacji częściowej pozostawia się państwom członkowskim w określonych sytuacjach [5] możliwość wyboru kierowania się w ustalonych kwestiach przedmiotowych regulacjami unijnymi lub regulacjami krajowymi. W RODO znajdują się liczne upoważnienia przewidujące możliwość wydania przepisów krajowych, które pełnią funkcję doprecyzowania lub zawężenia stosowania jego przepisów. Pamiętać warto, że nawet gdy państwo wybierze opcję wprowadzenia przepisów krajowych akt harmonizujący może ingerować w kształt tych przepisów. W przypadku RODO w zakresie, w jakim dopuszcza się doprecyzowanie lub zawężenie jego przepisów przez prawo państw członkowskich, mogą one – o ile jest to niezbędne, by krajowe przepisy były spójne i zrozumiałe dla osób, do których mają zastosowanie – włączyć elementy niniejszego rozporządzenia do swego prawa krajowego (pkt 8 Preambuły). Takie podejście pozwoli wykluczyć rozbieżności między zakresami ochrony danych w ramach Unii Europejskiej.

Obowiązek szacowania ryzyka w związku z przetwarzaniem danych osobowych

RODO zmienia podejście do ochrony danych osobowych – z ochrony reaktywnej na aktywną. To na administratorze danych ciąży odpowiedzialność za właściwą ocenę ryzyka związaną z przetwarzaniem danych osobowych i wdrożeniem wewnętrznych procedur zapewniających zgodność takich operacji z przepisami. Jednocześnie to właśnie administrator danych ma być w stanie wykazać, że właściwie spełnił wymogi określone przepisami. Mają temu służyć nowe instrumenty prawne i mechanizmy, które przewiduje RODO, takie jak ocena skutków dla ochrony danych, zapewnienie ochrony danych na etapie projektowania, domyślna ochrona danych czy zgłaszanie naruszeń ochrony danych osobowych. Wydaje się, że kluczową rolę w tym podejściu do ochrony danych osobowych będzie odgrywała instytucja inspektora ochrony danych, który ma stać się rzeczywistym gwarantem właściwego przestrzegania przepisów o ochronie danych osobowych.

RODO wprowadza skuteczne procedury i mechanizmy koncentrujące się na tych operacjach przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To administrator danych ma ocenić jakie zbiory danych ma w swoich zasobach, jakim ryzykiem obarczone jest przetwarzanie danych w tych zbiorach, by następnie wdrożyć mechanizmy zapobiegające wystąpieniu tych ryzyk. RODO wprowadza podejście do przetwarzania danych osobowych oparte na analizie ryzyka (risk based approach) [6]. RODO znosi obowiązek stosowania konkretnych procedur. Administrator danych, przy uwzględnieniu profilu swojej działalności będzie musiał sam zdecydować, jakie powinien wdrożyć środki techniczne i organizacyjne aby przetwarzanie danych odbywało się zgodnie z postanowieniami RODO.

Idea podejścia opartego na ryzyku polega na tym, że ryzykiem najlepiej zarządza ten kto je zna. Prawodawca unijny dał całkowitą autonomię administratorom w doborze środków bezpieczeństwa. Jednocześnie za negatywne skutki zastosowania nieadekwatnych do ryzyka środków technicznych czy organizacyjnych odpowiedzialność  ponosić będzie administrator danych. Każdy kto przetwarza dane osobowe powinien na początku ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza. Następnie musi określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem, by w końcu dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe. Dlatego też administratorzy danych jakimi są szkoły wyższe, powinni ocenić stopień gotowości na wprowadzenie RODO by następnie sporządzić harmonogram dalszych działań. Przydatnym instrumentem może być np. lista kontrolna, której wypełnienie pozwoli na wskazanie obszarów przetwarzania danych osobowych, które należy dostosować do stanu zgodnego z przepisami regulującymi ochronę danych osobowych, a także działań, które należy podjąć, by zgodnie z przepisami przetwarzać dane osobowe w każdej jednostce organizacyjnej.

Zasady przetwarzania danych osobowych

Administrator danych jest odpowiedzialny za przestrzeganie zasad ujętych w art. 5 ust. 1 RODO i musi być w stanie rozliczyć się z ich przestrzegania. Na gruncie tego przepisu dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Administrator danych zawsze musi wskazać podstawę przetwarzania posiadanych w swoich zasobach danych osobowych. Przepisy RODO wskazują w art. 6 przesłanki do przetwarzania danych zwykłych, natomiast w art. 9 przesłanki do przetwarzania danych szczególnych kategorii. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator danych powinien uzyskać zgodę w sposób określony w art. 7 RODO, oraz potrafić wykazać, że osoba fizyczna udzieliła zgody. Kilka miesięcy stosowania RODO pokazuje, że nadal nadmiernie gromadzone są zgody na przetwarzanie danych osobowych i to w sytuacjach kiedy dysponujemy inna przesłanką. Zgoda powinna być wykorzystywana dopiero wtedy kiedy nie mamy żadnej podstawy do przetwarzania danych.

Ponadto dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Zgodnie z zasadą minimalizacji dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przetwarzane dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane oraz przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Ostatnia zasada odnosi się do przetwarzania danych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Warto w tym miejscu zwrócić uwagę na zasadę minimalizacji danych. Należy ograniczyć się do przetwarzania danych niezbędnych, bez których nie da się osiągnąć zamierzonego celu przetwarzania. Akcentuje to motyw 39 preambuły, zgodnie z którym dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Jednocześnie jednak, zgodnie z zasadą wyrażoną w motywie 45 preambuły do RODO, jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, prawo Unii lub państwa członkowskiego może określać m.in. rodzaj danych osobowych podlegających przetwarzaniu. W takich przypadkach więc w prawie krajowym będzie można zawrzeć katalog danych osobowych, które mają być przetwarzane w określonym celu [7]. Z taką sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez szkoły wyższe. Cele przetwarzania danych osobowych w szkołach wyższych określa ustawa Prawo o szkolnictwie wyższym. Jeżeli cel przetwarzania wykracza poza sferę obowiązków wynikających z przepisów, należy także zakomunikować inny cel zbierania danych. Przepisy prawa zasadniczo określają zakres danych osobowych pozyskiwanych od kandydatów na studia, przetwarzanych danych osobowych studentów w związku z procesem kształcenia, ubiegania się o pomoc materialną, w końcu określają zasady przewarzania danych osobowych w celu badania losów absolwentów. W związku z obecnie przeprowadzaną zmianą w zakresie prawa o szkolnictwie wyższym konieczne jest dopilnowanie przez szkoły wyższe realizacji zasady minimalizacji. Należy dostosowywać posiadane zbiory danych pod kątem podstawy przetwarzania opartej na przepisie prawa w zakresie katalogu danych osobowych koniecznych do realizacji zadań nałożonych na szkoły wyższe przez nowe przepisy.

Prawa osób, których dane dotyczą

Wśród kolejnych obowiązków administratora danych kluczowe znaczenie ma zapewnienie obsługi praw osoby fizycznej, której dane osobowe są przetwarzane, określonych w art. 12-22 RODO. Obecnie dostrzec można praktykę spełniania obowiązku informacyjnego w nadmiernym zakresie, łącznie z obowiązkiem podpisywania oświadczeń o zapoznaniu się z podanymi przez administratora danych klauzulami. Natomiast w zakresie realizacji pozostałych praw jednostki widoczne są stonowane działania. RODO rozszerza obowiązki informacyjne wobec osób fizycznych. Należy podkreślić, że informacje mają być podawane jasnym, prostym językiem, wprowadzono tym samym przejrzystość komunikowania i informowania (art. 12 RODO). Szkoły wyższe powinny określić momenty pozyskiwania danych osobowych i na tym etapie przekazać osobie fizycznej informacje określone w art. 13 lub 14 RODO. Należy również pamiętać o realizacji obowiązków informacyjnych związanych z monitoringiem. Konieczne jest poinformowanie na piśmie pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. Ponadto należy oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Poszerzony został katalog uprawnień osób, których dane osobowe dotyczą. Obejmuje on: prawo do informowania przejrzystego w określonym trybie (miesiąc z możliwością przedłużenia o kolejne dwa m-ce), poszerzony zakres prawa do bycia poinformowanym z urzędu i na wniosek, prawo do sprostowania danych, prawo do usunięcia danych (bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, prawo do niepodlegania decyzji podjętej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Część z tych uprawnień obowiązuje już dziś, jednak warto zweryfikować, czy przyjęliśmy odpowiednie procedury respektujące te prawa, a jeżeli tak to w jakim stopniu są one skuteczne.

Zapewnienie bezpieczeństwa danych

Kolejny obowiązek administratora danych związany jest z zapewnieniem bezpieczeństwa danych osobowych zgodnie z art. 24 i 32 RODO. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jak wspomniano już wyżej zakres obciążeń dotyczących ochrony danych osobowych spoczywających na administratorze danych zależeć będzie od ryzyka, jakie może powstać w związku z przetwarzaniem danych osobowych. Ewolucji ulęgną także obowiązki w zakresie posiadanej przez administratora danych dokumentacji przetwarzania danych. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa, obejmują wdrożenie przez administratora danych odpowiednich polityk ochrony danych, ale bez określenia zakresu takiej dokumentacji. Dlatego trudno dziś o wzorce dokumentów jednolite dla wszystkich podmiotów, ponieważ każdy administrator danych posiada swoiste cechy odróżniające go od innych. Polityk powinna zawierać procedury, które administrator danych, na podstawie przeprowadzonej analizy ryzyka, uznał za odpowiednie by zapewnić bezpieczeństwo przetwarzanych danych osobowych.

Administrator danych ma ponadto obowiązek prowadzenia rejestru czynności przetwarzania [8] danych osobowych zgodnie z art. 30 RODO. Wśród obowiązków istotne miejsce zajmuje zgłaszanie naruszenia ochrony danych osobowych [9] do organu nadzorczego oraz zawiadamiania o tym osoby, której te dane dotyczą. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest to mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Ostatnia kwestia odnosi się do dokonania analizy, czy na gruncie przepisów RODO szkoła wyższa ma obowiązek wyznaczenia Inspektora ochrony Danych. W przypadku szkół publicznych taki obowiązek posiadają [10].

Podsumowanie

Dotychczasowa praktyka przetwarzania danych osobowych przez szkoły wyższe wykazała, że wśród najczęstszych naruszeń dochodzi przy procesie rekrutacji, w przypadku publikowania przez wykładowców wyników egzaminów, kolokwiów z podaniem imion i nazwisk studentów. Ponadto szkoły wyższe działają niezgodnie z prawem w zakresie przesyłania informacji handlowej do byłych kandydatów na studia, prowadzą monitoring karier absolwentów bez uzyskania uprzedniej zgody, rozpowszechniają zdjęcia i nagrania swoich studentów, absolwentów z naruszeniem przepisów prawa.

Podsumowując, RODO stawia przed administratorami danych szereg wyzwań:  obowiązek uwzględniania i rozliczania przestrzegania zasad ochrony danych osobowych, obowiązek realizacji żądań osób, których dane dotyczą, obowiązek dokonywania oceny skutków planowanych operacji przetwarzania danych, obowiązek rejestrowania czynności przetwarzania danych, obowiązek współpracy z organem nadzorczym, obowiązek zgłaszania naruszenia ochrony danych osobowych, konsultowanie rozpoczęcia przetwarzania danych osobowych z organem nadzorczym oraz wyznaczenie inspektora ochrony danych jako czynność obligatoryjna w niektórych przypadkach a nie wyłącznie fakultatywna.

Małgorzata Ganczar

doktor nauk prawnych, pracownik naukowy, ekspert Instytutu Rozwoju Szkolnictwa Wyższego.

Przypisy:

[1] Dz. Urz. UE, L 119/1.

[2] Punkt 6 i 7 Preambuły Rozporządzenia 2016/679.
[3] Traktat o funkcjonowaniu Unii Europejskiej (wersja skonsolidowana), Dz. Urz. z dnia 20 października 2012, C 326/49.
[4] W. Wiewiórowski, Nowe ramy ochrony danych osobowych w Unii Europejskiej [w:] Aktualne problemy ochrony danych osobowych 2012, G. Sibiga (red.), dodatek do „Monitora Prawniczego” Nr 7/2012, s. 3.
[5] Do grupy obligatoryjnie ustanawianych przepisów krajowych zaliczymy te przepisy, które są niezbędne do wykonywania przepisów ogólnego rozporządzenia. Będą to przepisy dotyczące:

1) organów nadzorczych,
2) środków ochrony prawnej, odpowiedzialności i sankcji, a w szczególności zagadnień proceduralnych.
3) przepisy ustanawiające relacje między ochroną danych osobowych oraz innymi prawami i wolnościami jednostki (art. 85 i 86 rozporządzenia 2016/679).

[6] Zob. Vademecum ABI. Część II – Przygotowanie do roli Inspektora Ochrony Danych, wyd. 1, Warszawa 2017, SIP Legalis.
[7] P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, 2018, SIP Legalis.
[8] Zob. szerzej Paweł Fajgielski, Rejestry czynności przetwarzania danych osobowych (dodatek MoP 20/2017), SIP Legalis.
[9] Zob. szerzej Tomasz Soczyński, Zgłaszanie naruszeń ochrony danych – nowy obowiązek administratorów danych (dodatek MoP 20/2017), SIP Legalis.
[10] Art. 35 ust. 1 RODO.

 

Chcesz wiedzieć więcej? Zajrzyj do naszej oferty szkoleniowej!

szkolenie-RODO-Instytut rozwoju szkolnictwa wyższego