Szczegoly

Tysiące dokumentów z danymi osobowymi bez absolutnie żadnego nadzoru… Bezprecedensowa sprawa pozostawienia niezabezpieczonego archiwum dokumentów studentów i pracowników po zamknięciu warszawskiej Wyższej Szkoły Ekonomicznej AlmaMer wzbudziła wiele kontrowersji i dyskusję w sprawie właściwego zabezpieczania i przetwarzania danych osobowych przez uczelnie wyższe, które gromadzą informacje na temat studentów w przeróżnych systemach informatycznych, niejednokrotnie bez odpowiednich zabezpieczeń oraz przez placówki, które zakończyły swoją działalność dydaktyczną.

AlmaMer została zlikwidowana w wyniku zadłużenia – taki stan rzeczy nie zwalnia jednak właściciela placówki z właściwego, zgodnego z wymogami prawa, zabezpieczenia i przechowywania dokumentów, w szczególności akt z danymi osobowymi, które należy zarchiwizować aż na 50 lat. Tymczasem do niezabezpieczonego, opuszczonego obiektu dostęp miał praktycznie każdy – po korytarzach uczelni jeszcze do niedawna porozrzucane były indeksy, prace dyplomowe i teczki z aktami. Sprawą ostatecznie zainteresowała się policja, która pod nadzorem prokuratury, prowadzi dochodzenie wyjaśniające okoliczności naruszenia obowiązku zabezpieczenia dokumentów zawierających dane osobowe przed ich nieautoryzowanym dostępem przez nieuprawnione osoby oraz uszkodzeniem lub zniszczeniem.

Interwencja GIODO doprowadziła do podjęcia przez rektora uczelni działań w celu właściwego zabezpieczenia ocalałych dokumentów zawierających dane osobowe. Przypadek AlmaMer nie stanowi jednak wyjątku. Kontrole przeprowadzone w trzech zlikwidowanych katowickich uczelniach: Wyższej Szkole Mechatroniki, Wyższej Szkole Bankowości i Finansów oraz Śląskiej Wyższej Szkole Informatyczno-Medycznej, wykazały, że władze uczelni opuszczając budynki, pozostawiły bez nadzoru akta osobowe studentów, a wobec utrudnionego kontaktu z byłymi władzami uczelni, kontrolerzy GIODO skierowali do prokuratury zawiadomienie o popełnieniu przestępstwa wobec naruszenia obowiązku zabezpieczenia danych osobowych.

Reforma ochrony danych osobowych na mocy przepisów unijnego rozporządzenia GDPR (RODO), która zacznie obowiązywać od 25 maja br., oznacza poważne zmiany w systemach informatycznych uczelni wyższych i wszelkich innych placówkach edukacyjnych przetwarzających dane studentów. Spośród wielu zmian, które muszą wdrożyć administratorzy danych (uczelnie) warto wspomnieć o obowiązku powołania Inspektora Ochrony Danych oraz o zwiększeniu zakresu obowiązków informacyjnych wobec studentów, a także zwiększeniu bezpieczeństwa danych przetwarzanych w placówkach edukacyjnych. Odpowiednie zabezpieczenie danych jest również wymogiem prawnym wynikającym także z rozporządzenia ministra spraw wewnętrznych w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.