Dane osobowe to każda informacja, która w określonej sytuacji i w konkretnych warunkach - bezpośrednio lub pośrednio - pozwala zidentyfikować daną osobę.

To wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Osobę fizyczną można pośrednio zidentyfikować używając jej imienia i nazwiska, numeru PESEL, numeru albumu, karty EKP czy też dokumentu tożsamości. Warto wiedzieć, że dane osobowe posiadają wyłącznie osoby żyjące. a nie posiada ich np. osoba prawna (spółka, fundacja, urząd itd).

(aktualizacja - 14.12.2022 r.)

Bez sprawdzenia listy obecności trudno jest rozliczyć studentów z ich obowiązków. Odczytanie listy obecności nie będzie stanowiło problemu, jeśli ograniczy się do weryfikacji obecności osób wyczytywanych z nazwiska. Nie ma jednak uzasadnionego powodu aby w celu identyfikowania osób na zajęciach robić zdjęcia. Przetwarzanie wizerunku studenta w takim celu może wymagać uzyskania dobrowolnej i odwoływalnej zgody a trudno mówić o realnej dobrowolności takiej zgody w relacji prowadzący-student.

Od 2021 r. Uczelnia włączyła numer albumu wraz z imieniem i nazwiskiem do aliasów kont pocztowych studenta a w programach takich jak Microsoft TEAMS udostępniono możliwość wyszukiwania osób po adresach. W tej sytuacji „puszczenie” na zajęciach listy z nazwiskami i/lub numerami albumów (dla sprawdzenia obecności na zajęciach) nie może już służyć ochronie tożsamości studentów bo i tak mają oni wgląd do informacji o tym, kto konkretnie "stoi" za danym numerem albumu. Nie zmienia to faktu, że umieszczanie na listach obecności numerów albumu z nazwiskami (a tym bardziej z jeszcze innymi danymi) uznać wypada za nadmiarowe i zbędne. Wystąpią w takim przypadku kolejne ryzyka - np. w przypadku zgubienia albo nieuprawnionego udostępnienia takiej listy.

W pełni zrozumiałe jest natomiast weryfikowanie osób wchodzących na egzamin, zwłaszcza jeśli student proszony jest tylko o okazanie aktualnej legitymacji lub dokumentu ze zdjęciem. W ocenie Inspektora Ochrony Danych sporządzanie kopii dokumentów użytych przy weryfikacji tożsamości (szczególnie dowodów osobistych i paszportów) oraz samowolne nagrywanie okazania takich dokumentów (w przypadku zaliczeń i egzaminów zdalnych) - byłoby nieuzasadnione i nie powinno mieć miejsca.

(aktualizacja -14.12.2022 r.) 

Numer albumu ma służyć zapewnieniu prywatności studentom i ich zidentyfikowaniu, bez nadmiernej ingerencji w prywatność tych osób. Zatem lista z numerami albumów wywieszona przed salą na ogólnodostępnym terenie kampusu nie doprowadzi do ujawnienia tożsamości osób egzaminowanych, ale dla nich samych będzie konkretną i jasną informacją.

Należy pamiętać, że w Politechnice Wrocławskiej numer albumu Uczelnia w styczniu 2021 r. włączyła wraz z imieniem i nazwiskiem do adresu pocztowego studentów. Adresy e-mail zawierające te dane osobowe zostały identyfikatorami w programach do kształcenia na odległość (komunikator ZOOM, konto w Microsoft TEAMS) a numer albumu nie ukrywa już tożsamości studenta przed nikim, kto ma konto uczelniane (studenckie lub pracownicze). Nie można zatem przyjmować, że wywieszenie informacji kierowanej do studenta wskazanego numerem albumu skutecznie ochroni tożsamość osoby, o której mowa w ogłoszeniu. Informacje przeznaczone dla studentów powinno się tym bardziej przekazywać przy pomocy systemów dziedzinowych do tego przeznaczonych (JSOS/USOS).

Trzeba pamiętać, że podstawowym narzędziem do komunikowania się ze studentem jest system dziekanatowy i ewentualnie poczta studencka. Dla potrzeb organizacji egzaminów lub skoordynowania zajęć promotorów czy recenzentów wywieszenie takiej listy bywa ułatwieniem ale może też naruszać prywatność studentów - ujawniając informacje, których ujawnienie nie jest wymagane ani oczekiwane przez studenta.

Inspektor Ochrony Danych nie zaleca obecnie komunikowania się ze studentami z użyciem numerów albumu zamiast nazwisk - np. przez wywieszanie w miejscach ogólnodostępnych informacji z listą numerów albumu lub inne udostępnianie plików z takimi danymi.

Tak.

Upoważnić do przetwarzania danych osobowych można nie tylko pracownika, ale każdą osobę stwarzającą swoistą rękojmię przestrzegania określonych zasad przy przetwarzaniu danych osobowych.

Podpisanie zobowiązania do zachowania poufności i do przestrzegania zasad obowiązujących na uczelni daje pewnego rodzaju rękojmię. Ponieważ studenci przetwarzają dane osobowe w celach związanych z działalnością samorządu czy organizacji studenckich a ich administratorem jest wciąż uczelnia – naturalnym będzie, że uczelnia upoważni ich do tego przetwarzania. Warto wcześniej zapewnić im wiedzę o tych zasadach, o obowiązkach i ograniczeniach wynikających z przetwarzania danych dla Politechniki Wrocławskiej.

Jeśli na podstawie fotografii i ich opisów daje się ustalić tożsamość uwidocznionych osób to będzie to przetwarzanie danych osobowych.

Większość fotografii sporządzanych w takich okolicznościach ma charakter ilustracyjny i nie służy identyfikowaniu osób. Jeśli jednak mamy na celu pokazanie najzdolniejszych studentów, wybitnych absolwentów i zasłużonych pracowników, chcemy wymienić ich z nazwiska i przedstawić społeczności akademickiej, to jest to dobry powód, aby uprzedzić ich o tym i poprosić o zgodę na takie czynności.

Nie zawsze musi to mieć formę pisemnego i odrębnego dokumentu, ponieważ można uprzedzić o tym w zaproszeniu na uroczystość lub poinformować na początku wydarzenia.

Trzeba też pamiętać, że wykorzystanie wizerunku osoby może wiązać się z opublikowaniem zdjęcia w prasie. Tu większe znaczenie może mieć prawo prasowe. Korzystanie z fotografii zwykle łączyć się może z prawami majątkowymi osoby pozującej i prawami autorskimi do samego zdjęcia. Te uprawnienia skłaniać mogą do uzyskania innych pozwoleń – dalece ważniejszych niż zgoda na przetwarzanie danych osobowych w grupie osób uwidocznionych np. na fotografii zbiorowej.

Większość czynności wykonywanych na Politechnice Wrocławskiej wiąże się z przetwarzaniem danych osobowych. Dane takie występują w formie cyfrowej lub tradycyjnej - w treści dokumentów papierowych i elektronicznych. Znajdziemy je w zbiorach dokumentów, ewidencjach i uporządkowanych bazach danych, ale są też rozproszone w aktach studentów, pracowników i w aktach prowadzonych postępowań.

Przetwarzają je zarówno nauczyciele akademiccy, jak i pracownicy administracyjni, portierzy w akademikach i osoby prowadzące rekrutację, a także sami studenci działający w samorządzie czy kołach naukowych.

Warto wiedzieć, że w zasadzie każdą czynność da się umieścić w definicji „przetwarzania”. Przepisy mówią wprost, że przetwarzaniem danych osobowych jest operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

Przepisy wymieniają przykłady takich czynności: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Przetwarzanie danych wcale jednak nie musi być kłopotliwe - wystarczy zastosować się do kilku prostych zasad, o których aktualnie stanowi RODO.

RODO to rozporządzenie Parlamentu Europejskiego i Rady – akt prawny Unii Europejskiej, który dla każdego kraju unii jest aktem wprost obowiązującym. Oznacza to, że w Polsce jest tak samo stosowan,y jak każda ustawa.

Dlatego RODO zastąpiło starą ustawę polską z 1997 r. o ochronie danych osobowych. W RODO są wypisane zasady postępowania z danymi, prawa i obowiązki „przetwarzających i przetwarzanych”, a nawet zasady nakładania kar finansowych za ewentualne uchybienia prawu. Tylko niektóre kwestie ustawodawca krajowy może teraz sam ustalić w swoich przepisach krajowych.

Dlatego także w Polsce uchwalono nową ustawę o ochronie danych osobowych (z 10 maja 2018 r.). Nie znajdziemy tam jednak naszych praw i obowiązków, ani wiedzy o tym, jak organizować przetwarzanie danych – to wszystko jest już określone przez RODO. Dzięki temu wszystkie kraje unii muszą stosować te same zasady i środki ochrony danych osobowych. Na takich samych zasadach działają (w każdym kraju unijnym) wszystkie organy nadzorujące to, jak nasze dane są wykorzystywane.

Warto wiedzieć, że przepisy o danych osobowych są po to, aby chronić prywatność. Masz prawo używać swoich danych w dowolny sposób. Również dane innych osób, których nie używasz do celów służbowych czy zawodowych, nie są objęte przepisami. RODO zaczynamy stosować dopiero, gdy chodzi o przetwarzanie w celach zawodowych, służbowych, komercyjnych czy urzędowych.

Dane osobowe są uczelni publicznej niezbędne w szczególności do obsługi:

1. procesu rekrutacji na studia;
2. procesu dydaktycznego na studiach I, II, III stopnia (w tym obsługa programów wspólnego lub podwójnego dyplomu);
3. programów mobilnościowych dla studentów i pracowników;
4. relacji z absolwentami;
5. procesów organizacji kursów dokształcających i szkoleń;
6. procesów pracowniczych (rekrutacji, zatrudniania i rozwiązywania stosunku pracy);
7. relacji z byłymi pracownikami (w tym emerytami);
8. projektów badawczych (w tym projekty finansowane ze źródeł zewnętrznych i realizowane w partnerstwach/konsorcjach);
9. procesów komercjalizacji wyników badań;
10. procesów przyznawania i wypłaty stypendiów (w tym stypendia z Funduszu Pomocy Materialnej Studentów);
11. studiów podyplomowych (w tym studiów współorganizowanych z innymi podmiotami);
12. projektów edukacyjnych kierowanych do niepełnoletnich;
13. procesów nadawania stopni i tytułów naukowych;
14. procesów wydawniczych;
15. procesów bibliotecznych.

W każdym z tych obszarów stykamy się z danymi osobowymi i wszędzie niezbędne jest ich przetwarzanie.

Twoje dane, tak jak i dane innych osób, są domyślnie objęte ochroną. To znaczy, że każdy, kto chce je wykorzystać do celów innych niż prywatne, musi mieć konkretny powód zwany „przesłanką przetwarzania”.

Powinieneś zatem znać przesłankę, która pozwala ci przetwarzać cudze dane osobowe (wszystkie wymienione są w art. 6 RODO). Ustal czy jest to „obowiązek wynikający z przepisów prawa”, a może „uzasadniony prawnie interes” uczelni? Może jest to niezbędne do wykonania umowy z osobą, której danych używasz? A może po prostu osoba tu udzieliła uczelni zgodę na to co robisz z jej danymi?

Gdy już ustalisz przesłankę do przetwarzania cudzych danych osobowych w celach „nie-prywatnych” sprawdź czy masz upoważnienie do przetwarzania od osoby lub podmiotu, który decyduje o tym co i jak robisz z danymi (czyli administratora danych). To upoważnienie może być wystawione na piśmie, ale może się zawierać w innym dokumencie (np. umowie cywilnoprawnej). Jeśli jako pracownik lub student wystąpiłeś o upoważnienie, to pewnie znalazło się już ono w twoich aktach. Możesz także uzyskać kopię takiego dokumentu.

Warto wiedzieć, że są administratorzy, którzy udzielają upoważnienia poprzez e-mail (np. NCBiR czy NCN).

Politechnika Wrocławska aktualnie udziela upoważnień na odrębnym piśmie.

Uczelnia udostępnia przepisy i poradniki o danych osobowych. Możesz zapoznać się z politykami prywatności jakie Politechnika Wrocławska stosuje w różnych obszarach swojej działalności. Warto korzystać z udostępnionych wzorów dokumentów i przeczytać „Politykę bezpieczeństwa danych osobowych Politechniki Wrocławskiej”.

Uczelnia organizuje tez szkolenia z zakresu ochrony danych osobowych, a swoje pytania można też skierować do IOD PWr.

Skorzystaj z udostępnionego wzoru upoważnienia. Ustal jakich czynności i na czyich danych masz dokonywać. Pozostaw w upoważnieniu tylko to, co dotyczy twojego zakresu zadań. Pamiętaj, że upoważnienie może określać twoje uprawnienia w systemie, którego używasz do przetwarzania danych.

Zapoznaj się z odpowiednimi przepisami i podpisz czytelnie oświadczenie na dole dokumentu. Uzupełnij datę i dane kontaktowe. Zakres upoważnienia potwierdzi parafką przełożony albo asystent ds. kadrowych (dla studentów może to być opiekun koła, pracownik Działu Studenckiego, osoby odpowiedzialne za współpracę z samorządem).

Tak przygotowany projekt upoważnienia przekaż do sekretariatu prorektora ds. organizacji i rozwoju. Nie wpisuj numeru ani daty. Po paru dniach twoje upoważnienie będzie widoczne w rejestrze pełnomocnictw w intranecie uczelni, a oryginał trafi do akt.

Czasami ani administrator danych, ani jego pracownicy nie wykonują samodzielnie całości operacji na danych jakie są używane. Jeżeli administrator danych chce, aby dla niego i na jego rachunek ktoś inny wykonał określone czynności z danymi osobowymi wówczas zawiera z tym kimś umowę powierzenia przetwarzania.

Administrator wybiera podmiot, który zapewnia odpowiednie bezpieczeństwo danym osobowym i określa mu warunki, na których te dane powierzy. Minimalny zakres takiej umowy określa art. 28 RODO.

Podmiot, który przyjmuje powierzone mu przetwarzanie danych nazywany jest „podmiotem przetwarzającym” lub „sub-procesorem”. Wykonuje określone czynności dla administratora i nie ma żadnych własnych celów w przetwarzaniu powierzonych mu danych. Podmiot przetwarzający odpowiada jednak solidarnie z administratorem za przetwarzanie danych i szkody z nim związane. Musi też współpracować z administratorem i poddawać się określonym obowiązkom oraz zapewnić udokumentowanie tego, że przetwarza dane prawidłowo, a na incydenty reaguje niezwłocznie.

Powierzenie przetwarzania prawie zawsze występuje w związku z jakąś konkretną przyczyną.

Zlecenie jakiejś firmie obsługi kadrowej lub księgowej zazwyczaj wymaga przetwarzania danych przez tę firmę i dane te wówczas powierza się do przetwarzania. Podobnie rzecz się ma z obsługą informatyczną – zazwyczaj w systemach/komputerach są dane osobowe, a dostęp do nich jest niezbędny pracownikom dostawcy systemu przy czynnościach serwisowych. Zlecenie przetłumaczenia dokumentów i akt zawierających dane osobowe, pośrednictwo w organizacji przejazdów i załatwianiu wiz, outosurcing windykacji dłużników czy zamówienie mailing-u w celu pozyskania chętnych do udziału w konferencji będą raczej zawsze wymagały powierzenia przetwarzania. Nawet umowa o niszczenie dokumentacji osobowej i nośników informatycznych będzie związana z powierzeniem przetwarzania danych osobowych.

Natomiast usługi przychodni medycyny pracy, radcy prawnego lub adwokata prowadzącego własną kancelarię nie muszą wymagać zawierania umowy powierzenia przetwarzania.  Są to podmioty które mają własne cele (a nawet wynikające z prawa obowiązki) w przetwarzaniu danych osobowych w związku ze świadczonymi usługami. Nie uzasadnia zawierania umowy o powierzenie przetwarzania danych osobowych zawarcie zwyczajnej umowy na dostawę produktów, gdzie wprawdzie umieszcza się dane osób do kontaktów, ale kontakty te przebiegają przy użyciu służbowych adresów i telefonów pracowników zatrudnianych m.in. właśnie w celu obsługi takich kontaktów.