RODO w szkolnictwie wyższym - kategorie naruszeń danych osobowych

W poprzedniej części opracowania na temat przetwarzania danych osobowych podkreślaliśmy, że polskie szkoły wyższe zarządzają ogromną ilością danych osobowych. Dane osobowe studentów, pracowników, kandydatów na studia i innych osób zatrudnionych lub powiązanych z daną szkołą wyższą, przetwarzane są przez uczelnię, która to jako podmiot prawny staje się administratorem tych danych. Omówione zostały dokładnie cele przetwarzania danych osobowych w uczelniach.

W dzisiejszym opracowaniu skupimy się na głównych kategoriach naruszeń danych osobowych. 

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) nakłada na uczelnie wyższe obowiązek dostosowania procesów przetwarzania danych osobowych do wymogów prawnych i stworzenie procedur, które ograniczą możliwości naruszeń danych osobowych.

Dominujące kategorie naruszeń w uczelniach to m.in.:

• nieuprawniony dostęp do danych – w procesie rekrutacji podczas kształcenia, po zakończeniu uczelni,

• niezgodne z prawem działania w zakresie przesyłania informacji handlowych do byłych kandydatów na studia oraz w zakresie prowadzenia monitoringu karier absolwentów bez uzyskania od nich wcześniejszej zgody,

• brak adekwatnych środków technicznych i organizacyjnych,

• niewłaściwe informowanie osób, niewłaściwe przetwarzanie danych w celach dydaktycznych,

• oraz naruszenia związane z systemami IT uczelni.

Każdy, nawet najmniejszy wyciek, może mieć poważne konsekwencje prawne.

Nieuprawniony dostęp do danych osobowych

Najczęściej zgłaszanym naruszeniem jest dostęp do danych osobowych przez osoby nieupoważnione. Przykładami mogą być:

• przypadkowe wysłanie wiadomości e-mail do niewłaściwych adresatów,

• udostępnienie ocen i informacji o studentach osobom trzecim,

• Zestawienie danych kandydatów na studia publikowane na listach bez ich zgody,

• Rozpowszechnianie wizerunku bez zgody studenta,

• brak ograniczenia dostępu do danych w systemach informatycznych.

Brak odpowiednich środków technicznych i organizacyjnych

Administrator danych osobowych w uczelni jest odpowiedzialny za właściwą ocenę ryzyka związaną z przetwarzaniem danych osobowych oraz wdrożenie procedur zapewniających bezpieczeństwo danych osobowych. Ważną rolę w zakresie ochrony danych osobowych i zastopowaniu odpowiednich środków organizacyjnych przez uczelnię stanowi instytucja inspektora ochrony danych, który ma być gwarantem właściwego przestrzegania przepisów o ochronie danych osobowych. Należy podkreślić, że za negatywne skutki zastosowania nieadekwatnych do ryzyka środków technicznych czy organizacyjnych odpowiedzialność ponosić będzie administrator danych. Oczywiście administrator danych zawsze musi wskazać podstawę przetwarzania posiadanych w swoich zasobach danych osobowych.

Przepisy RODO wskazują w art. 6 przesłanki do przetwarzania danych zwykłych, natomiast w art. 9 przesłanki do przetwarzania danych szczególnych kategorii. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator danych powinien uzyskać zgodę w sposób określony w art. 7 RODO, oraz potrafić wykazać, że osoba fizyczna udzieliła zgody. Przetwarzane dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane oraz przechowywane w formie, która umożliwia identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Przetwarzanie danych osobowych musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Warto w tym miejscu zwrócić uwagę na zasadę minimalizacji danych. Należy ograniczyć się do przetwarzania danych niezbędnych, bez których nie da się osiągnąć zamierzonego celu przetwarzania.

Uczelnie często nie wdrażają wystarczających środków ochrony, takich jak:

• szyfrowanie danych,

• systemy kontroli dostępu,

• regularne szkolenia pracowników w zakresie ochrony danych osobowych.

Brak takich zabezpieczeń może prowadzić do wycieku danych lub ich utraty.

Niewłaściwe informowanie osób, których dane dotyczą

RODO nakłada obowiązek jasnego i przejrzystego informowania osób o przetwarzaniu ich danych. Uczelnie nie zawsze spełniają ten obowiązek m.in.:

• nie dostarczają wymaganych klauzul informacyjnych,

• nie udzielają odpowiedzi na żądania dostępu do danych w terminie.

Niewłaściwe przetwarzanie danych w celach dydaktycznych i badawczych

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. W zakresie dydaktycznym przetwarzanie danych osobowych powinno dodatkowo odbywać się zgodnie z ustawą Prawo o szkolnictwie wyższym. W kontekście dydaktycznym i naukowym dane osobowe są często przetwarzane w sposób niezgodny z zasadą minimalizacji danych.

Przykłady obejmują:

• gromadzenie zbyt dużej ilości danych od studentów,

• brak pseudonimizacji w badaniach naukowych,

• przetwarzanie danych bez podstawy prawnej (np. brak zgody).

Uczelnia powinna wdrożyć politykę bezpieczeństwa, która powinna zawierać procedury, które administrator danych, na podstawie przeprowadzonej analizy ryzyka, uznał za odpowiednie by zapewnić bezpieczeństwo przetwarzanych danych osobowych. Administrator danych ma ponadto obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych zgodnie z art. 30 RODO.

Naruszenia związane z systemami informatycznymi i cyberbezpieczeństwem

W dobie cyfryzacji procesów administracyjnych, dydaktycznych i naukowych, uczelnie wyższe coraz bardziej uzależniają się od technologii informatycznych. Przetwarzając ogromne ilości danych osobowych, w tym dane studentów, pracowników, kandydatów na studia, a także dane wrażliwe (np. dane dotyczące zdrowia, niepełnosprawności, statusu socjalnego) szkoły wyższe narażone są na naruszenia tych danych.

Do najczęstszych zagrożeń należą:

• Ataki ransomware - polegają na zaszyfrowaniu danych i żądaniu okupu w zamian za klucz deszyfrujący. Wiele uczelni padło ofiarą tego typu ataków, co doprowadziło do paraliżu systemów rekrutacyjnych, e-dziekanatów czy platform e-learningowych.

• Phishing i spear-phishing - Oszuści podszywają się pod administrację uczelni, rektorów lub dział IT, aby wyłudzić dane logowania lub przejąć kontrolę nad kontami użytkowników.

• Braki w aktualizacjach i konserwacji systemów - uczelnie często korzystają z przestarzałych systemów informatycznych, które nie są regularnie aktualizowane.

• Nieautoryzowany dostęp do systemów – słaba kontrola dostępu do systemów uczelni zwiększa ryzyko naruszeń.

• Niewystarczające zabezpieczenia fizyczne i sieciowe - otwarte porty czy niezabezpieczone serwery lokalne ułatwiają przeprowadzenie ataku nawet przez mniej zaawansowanych hakerów.

Uczelnia jako administrator dużych zbiorów danych osobowych musi w szczególny sposób przestrzegać przepisów RODO i wdrażać procedury, które będą chronić dane osobowe. Analiza głównych kategorii naruszeń wskazuje, że uczelnia powinna dokonywać doskonalenia procedur oraz zwiększenia świadomości pracowników i studentów w zakresie ochrony danych osobowych. Skuteczna ochrona danych nie tylko minimalizuje ryzyko sankcji, ale także buduje zaufanie do uczelni.