Uczelnie od swoich studentów, zwłaszcza w okresie sesji, wymagają wiele. Lecz czy jednocześnie dają należyty przykład? Zlikwidowana już warszawska niepubliczna szkoła wyższa AlmaMer, stała się przykładem „książkowego” naruszenia przetwarzania danych osobowych, dzięki któremu w dzisiejszym artykule omówimy jak danych osobowych z pewnością przetwarzać nie można.
Pierwsze sygnały o naruszeniach w zakresie przechowywania dokumentów, w tym danych osobowych studentów oraz ich prac licencjackich i magisterskich media nagłaśniały latem 2017 r., choć uczelnia zakończyła działalność w 2016 r. Przez cały ten okres po zakończeniu funkcjonowania uczelni opustoszały budynek stał otworem nie tylko dla bezdomnych, lecz także dla oszustów mogących wykorzystać zawartość teczek do wszelakich przestępstw czy krętactw. [1][2]
GIODO (Generalny Inspektor Ochrony Danych Osobowych) pierwsze czynności kontrolne przeprowadziło w lipcu 2017. Sprzęt, materiały dydaktyczne a co najważniejsze dla RODOczytelników tony akt dokumentujących przebieg procesu kształcenia setek studentów (imiona i nazwiska, PESEL, zdjęcia, dane adresowe i wiele innych jakie przecież każdy student w zaufaniu powierza uczelni dla prawidłowego toku edukacji) władze uczelni pozostawiły bez odpowiedniego zabezpieczenia. GIODO skontrolowało budynek, w którym pozostawiono dane osobowe studentów „bez opieki”. Brak pieczy, otwarte pomieszczenia opustoszałego budynku, gdzie dane osobowe słuchaczy byłej uczelni pozostawały na wyciągnięcie ręki każdego, kto może tu bez problemu dotrzeć.
Nieuniknionym było zajęcie się sprawą przez policję i prokuraturę w obliczu licznych zgłoszeń byłych studentów obawiających się tego, w jaki sposób mogą zostać wykorzystane ich dane osobowe. Po lipcowej kontroli GIODO, zabezpieczono dokumenty, a rektor uczelni zobowiązał się do podjęcia działań w celu przywrócenia archiwum uczelni do stanu zgodnego z prawem.
Co prawda uczelnia zakończyła działalność edukacyjną, jednak nie została zamknięta, przez co inspektorzy ustalili, iż nadal jest ona administratorem danych osobowych studentów i zobowiązana jest do wypełnienia ciążących na niej obowiązków. Zgodnie z obowiązującą (do 25 maja 2018 r.) ustawą o ochronie danych osobowych „administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem” (art. 36 ustawy).
Zapewne (a co najbardziej przeraża w tej całej historii) dopiero po czasie osoby, których dane pozostawiono bez odpowiedniego zabezpieczenia, będą w stanie zweryfikować czy faktycznie ich dane osobowe pozostawione w budynku AlmaMer nie stały się łupem rabusiów tożsamości. Niezależnie od spraw, w których przedmiotem będą indywidualne sytuacje wykorzystania przez nieuprawnione osoby danych osobowych, administrator (a w tym przypadku uczelnia) zagrożony jest odpowiedzialnością wynikającą z naruszenia nałożonych na niego ustawą obowiązków . Bowiem art 52 ustawy o ochronie danych osobowych przewiduje , że kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Jak mawiają studenci- spokojnie (!) są drugie terminy 🙂 🙂 – GIODO w toku ponownej kontroli, podjętej w październiku 2017 r. ustalił, iż rektor AlmaMer wywiązał się z przyjętego na siebie przy pierwszej kontroli zobowiązania (co zresztą powinno być przyjęte jako standard działania w obliczu likwidacji uczelni) i archiwum z danymi osobowymi z teczek studentów znalazło schronienie w wynajętych przez byłe władze uczelni budynkach spełniających podstawowe normy zabezpieczeń. Upoważnieni do wglądu są w tym momencie jedynie pracownicy uczelni a nie każdy kto przekroczy próg warszawskiego campusu. Można przyznać- poprawka zaliczona 🙂
Powyższa historia powinna stanowić jedynie przykład stricte teoretyczny, lecz niestety wydarzyła się naprawdę. Zasmucający jest fakt, że „przykład” AlmaMer nie jest odosobniony, co GIODO ustalił w wyniku wrześniowych kontroli. Wykazano podobne przypadki niewłaściwego zabezpieczenia danych osobowych studentów i pracowników przez trzy inne uczelnie.[3]
Być może po wejściu w życie RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) i wprowadzeniu do katalogu novum w postaci kar administracyjnych, które mogą sięgać (w zależności m.in. od charakteru, wagi i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody; umyślnego lub nieumyślnego charakteru naruszenia; działania podjętego przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;) nawet do 20 mln EURO, takie sytuacje dobiegną końca.
Tak czy inaczej oby takie sytuacje w przyszłości stały się historią, której już nikt nie powiela, aby mogły zająć odpowiednie miejsce- podręcznik prawidłowej ochrony danych. Najważniejsze, że uczelnia wyciągnęła wnioski i obecnie dane osobowe byłych studentów są bezpieczne.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
[1] http://www.giodo.gov.pl/pl/259/10080
[2]https://tvnwarszawa.tvn24.pl/informacje,news,uczelnia-sie-zwinela dokumenty- zostaly-rektor-sie-tlumaczy
[3] http://www.giodo.gov.pl/pl/1520301/10192
