Na łamach cyklicznie udostępnianej w formie newslettera publikacji „RODO – rewolucja czy ewolucja…?” będziemy przybliżać Państwu zagadnienia z zakresu administrowania danymi osobowymi, bezpieczeństwa ich przetwarzania i ochrony tak, by 25 maja 2018 r. nowe zasady ochrony danych osobowych nie budziły żadnych wątpliwości. 

Uniwersytet z racji prowadzonej działalności jest administratorem danych osobowych, usystematyzowanych w zbiory - zestawy danych o charakterze osobowym, dostępne według określonych kryteriów. W uczelni przetwarzamy m in. następujące zbiory danych osobowych:

• kandydatów na studia,
• studentów,
• absolwentów,
• słuchaczy studiów podyplomowych,
• czytelników biblioteki,
• pracowników i ich rodzin,
• osób zatrudnionych w formie umowy cywilnoprawnej,
• osób biorących udział w postępowaniach konkursowych,
• uczestników projektów,
• uczestników badań naukowych,
• uczestników konferencji, projektów, seminariów.

Każdy ze zbiorów posiada strukturę określającą, jakie dane dotyczące jednej osoby zostały w  nim umieszczone: np. imię, nazwisko, data urodzenia, PESEL, adres zameldowania i adres zamieszkania.

Gdzie przetwarzamy dane osobowe w Uniwersytecie?

Dane osobowe w Uniwersytecie przetwarzamy w:

 systemach informatycznych:

• ERK,
• USOS,
• SAP,
• SYSTEM BIBLIOTECZNY,
• Pakiety biurowe: np. MS WORD, MS EXCEL,
• systemy pocztowe np. MS OUTLOOK.

zbiorach tradycyjnych (zbierane i przechowywane w formie papierowej), np.: akta pracowników, teczki osobowe z danymi studentów i inne.

W jakim celu przetwarzamy dane w Uniwersytecie?

• obsługa toku studiów,
• obsługa wypłat stypendiów socjalnych/naukowych,
• obsługa czytelników biblioteki,
• obsługa regulaminowych opłat bibliotecznych,
• obsługa konkursu/projektu/badań naukowych,
• obsługa zatrudnienia pracowników,
• obsługa pomocy socjalnej dla pracowników,
• obsługa umów cywilnoprawnych.

Czy przekazujemy komuś dane z Uniwersytetu?

Udostępnianie danych osobowych to operacja wykonywana na danych osobowych w  ramach ich przetwarzania. Dane osobowe administrowane przez uczelnię mogą być udostępnione osobom lub podmiotom uprawnionym do ich otrzymania z mocy prawa (naczelne organy administracji państwowej, wymiaru sprawiedliwości, organy ścigania, ABW, policja, sądy, straż graniczna), lub innym osobom lub podmiotom w przypadku posiadania przez wnioskującego podstaw do legalnego przetwarzania danych, wynikających z RODO.

Przykłady udostępniania danych w Uniwersytecie:

• udostępnianie danych studentów zgodnie z ustawą o szkolnictwie wyższym do systemu Ministerstwa i Nauki i Szkolnictwa Wyższego POL-on,
• udostępnianie danych dotyczących doktoratów, habilitacji do systemu
  POL-on,
• udostępnianie danych studentów do ZUS potwierdzających ich status,
• udostępnianie danych absolwentów potencjalnym pracodawcom na podstawie zgody absolwentów,
• udostępnianie danych pracowników do systemu Płatnik (system ZUS).

Powierzenie danych osobowych ma miejsce, gdy administrator danych korzysta z usług podmiotów zewnętrznych, zwanych procesorami, w zakresie realizacji zadań związanych z  przetwarzaniem danych osobowych. Powierzenie odbywa się wyłącznie na mocy umowy. Umowa powierzenia musi określać cele powierzenia i kategorie powierzanych danych. Procesor może tylko w tym zakresie przetwarzać powierzone dane. Przy powierzeniu należy pamiętać, że administratorem danych po powierzeniu jest nadal podmiot powierzający, czyli decyduje on o celach, środkach i  zakresie przetwarzania.

Przykłady powierzenia danych w Uniwersytecie:

• umowy powierzenia z instytucjami obsługującymi domy studenckie,
• umowy powierzenia z innym uczelniami, np. powierzenie danych studentów studiujących na kierunkach międzyuczelnianych.
• przy powierzeniu danych zgodnie z RODO zarówno administrator danych, jak i procesor odpowiadają za powierzone dane oraz za ich zabezpieczenie.

Czy inni administratorzy udostępniają Uniwersytetowi Jagiellońskiemu dane ze swoich zbiorów?

Podobnie jak uczelnia udostępnia dane osobowe uprawnionym podmiotom, inne podmioty w  ramach działalności ustawowej udostępniają dane osobowe Uniwersytetowi Jagiellońskiemu. Dzieje się tak choćby w przypadku, kiedy Małopolski Urząd Marszałkowski przesyła do nas informację o wydanym pozwoleniu na pobyt stały studenta obcokrajowca.

Należy wówczas pamiętać, że osoba trzecia, wchodząca w drodze udostępnienia przez administratora danych w posiadanie danych osobowych, sama staje się ich administratorem. Na administratorze spoczywa odpowiedzialność i obowiązek właściwego i odpowiedniego do zagrożeń i  kategorii danych zabezpieczenie ich oraz realizacji obowiązków wynikających z RODO.

Administrator danych jest obowiązany do zastosowania środków technicznych i  organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Naruszenie tego obowiązku może skutkować odpowiedzialnością karną i cywilną oraz karami finansowymi nakładanymi na administratora danych.

W rozumieniu RODO to Uniwersytet Jagielloński jest administratorem danych. Rektor, jako osoba reprezentująca uczelnię, deleguje swoje uprawnienia w tym zakresie na pracowników administracyjnych. Osoba, która otrzymała od administratora upoważnienie do przetwarzania danych osobowych, zobowiązana jest identycznie jak administrator do właściwego ich zabezpieczenia oraz zachowania tych danych oraz sposobów ich zabezpieczenia w tajemnicy.

1. Czy wiesz już, jakie dane osobowe, w jakim celu i przy pomocy jakich narzędzi przetwarzane są w uczelni?
2. Czy wiesz, czym różni się udostępnienie danych osobowych od ich powierzenia?