Ochrona i przetwarzanie danych osobowych studentów

Ochrona i przetwarzanie danych osobowych studentów

Zarządzanie danymi osobowymi należy do kompetencji uczelni wyższych, co zostało uregulowane
w Ustawie z dnia 20 lipca 2018 r. „prawo o szkolnictwie wyższym i nauce”, oczywiście działając na
zasadach zgodnych z przepisami Ustawy z dnia 20 maja 2018 r. „ o ochronie danych osobowych”.

Uczelnia wyższa występująca w charakterze administratora obowiązana jest do przetwarzania
danych osobowych wyłącznie w wyznaczonym celu, tj. czynności związanych z realizacją procesu
kształcenia, co zastrzega w swoim przepisie art. 23 §1 pkt. 5 ustawy o ochronie danych osobowych.
Ustawowe obowiązki obciążają uczelnię do m.in.
• zapewnienia poprawnego procesu przetwarzania danych osobowych,
• realizacji obowiązku informacyjnego wobec osób, których dane dotyczą,
• właściwego zabezpieczenia tych danych,
• prowadzenia ewidencji osób upoważnionych do przetwarzania danych oraz kontrolowania ich
treści, celu użytku, a także monitorowania podmiotów, które wprowadzają dane do obrotu i ich
adresatów.

Uczelnie wyższe przetwarzają dane osobowe w znacznie szerszych, niż jest to widoczne zbiorach
danych: studentów jak również kandydatów na studia, absolwentów, doktorantów, pracowników, osób
korzystających z bibliotek i domów studenckich oraz innych.
Należy zachować świadomość, że podstawowymi nośnikami danych osobowych studenta są przede
wszystkim: indeks i legitymacja studencka, protokoły zaliczeniowe, dyplomy, dokumenty przyznające
studentom pomoc materialną.
Jeśli chodzi natomiast o zakres informacji umieszczanych w tradycyjnych zbiorach (księgach,
kartotekach) jak również popularnych i powszechniej występujących dzisiaj systemach informatycznych,
należą do nich w szczególności: imienia i nazwiska, miejsca zamieszkania, nr indeksu studenta, nr
PESEL, nr i seria dowodu osobistego, danych kontaktowych. Z pośród nich wszystkich najczęściej
przetwarzane są w praktyce
➔ imię, nazwisko,
➔ numer indeksu studenta.
Numer indeks otrzymuje funkcję identyfikatora, któremu każdemu z osobna nadaje się numer „kolejny w
ramach uczelni numer albumu”. Każdy student posługuje się swoim własnym numerem indeks,
właściwym dla określonego studenta. Nie jest możliwe, aby dwóm studentom został przypisany ten sam
numer.

Ciekawie została ujęta kwestia grupowych adresów mailowych. W celu ułatwienia komunikacji,
czy wymiany informacji studenci w trosce o komfort często zakładają grupowe adresy mailowe. Za ich
pośrednictwem wybrana grupa studentów po uzyskaniu dostępu ma możliwość swobodnego przeglądania
informacji. Ich wygodną funkcją jest w relacji korespondencji elektronicznej pracownik (wykładowca)-
student wysyłanie wiadomości do każdej osoby, której ona dotyczy za pośrednictwem pojedynczej
wiadomości.
Adresy mailowe stanowią dane osobowe w przypadku, gdy za jego pośrednictwem jesteśmy w stanie
ustalić tożsamość osoby fizycznej (w tym celu należy przeprowadzić niezbędną analizę wszystkich
informacji związanych z konkretnym adresem e-mail.
Oczywiście identyfikacja właściciela adresu mailowego jest o wiele proste, jeśli składa się z imienia i
nazwiska.

Formą przetwarzania danych osobowych jest także ich udostępnianie. Uczelnie wyższe mogą
przekazywać dane osobowe studentów innym podmiotom w formie powierzenia przetwarzania danych
osobowych bądź po prostu je udostępnić. W przypadku powierzenia przetwarzania danych uczelnia jest
prawnie zobligowana do zawarcia z podmiotem trzecim umowę upoważniającą tenże podmiot do
przetwarzania danych, zastrzegając przy tym, że uczelnia (upoważniający) pozostaje administratorem
danych osobowych.
Z kolei z udostępnianiem danych mamy do czynienia w przypadku realizowania uprawienia lub
spełnienia obowiązku wynikającego z przepisu prawa. W tej sytuacji do podmiot upoważniony staje się
administratorem danych osobowych.

Uczelnia, jako administrator danych osobowych zobowiązana jest do dołożenia należytej
staranności w celu ochrony interesów osób, których powierzone jej dane dotyczą. Szczegółowe obowiązki
administratorów zostały uregulowane w rozdziale V Ustawy o „ochronie danych osobowych”. Pod pieczą
administratora dane muszą z właściwą starannością być przechowywane zgodnie z prawem. N podstawie
przepisów Ustawy „ o ochronie danych osobowych” uczelnia jest obowiązana do zastosowania środków
o charakterze organizacyjnym i technicznym, w celu zapewnienia wysokiego poziomu bezpieczeństwa
przetwarzania.
Administrator powinien w szczególności zabezpieczać dane przed ich udostępnianiem osobom
nieupoważnionym, zabraniem ich przez osobę nieuprawnioną, przetwarzaniem danych z naruszeniem
przepisów prawa i oczywiście przed ich utratą uszkodzeniem lub zniszczeniem.

Autor: Miłosz Sulwiński