RODO agh krok po kroku w postępowaniu w praktyce prawnej

W dobie powszechnej cyfryzacji szkolnictwa wyższego ochrona danych osobowych stała się jednym z najistotniejszych obszarów zarządzania nowoczesną uczelnią wyższą. Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie (AGH), jako jedna z największych i najbardziej prestiżowych uczelni technicznych w Polsce, przetwarza codziennie ogromne wolumeny danych osobowych. Dotyczą one nie tylko studentów, doktorantów i kandydatów na studia, ale również pracowników naukowych, administracyjnych, kontrahentów oraz uczestników różnego rodzaju konferencji i projektów badawczych. W tym skomplikowanym ekosystemie prawnym prawidłowe stosowanie przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO) wymaga precyzyjnych procedur i doskonałej znajomości praktyki prawnej. Niniejsze opracowanie stanowi kompleksowy przewodnik po procedurach RODO na AGH, pokazując krok po kroku, jak skutecznie dochodzić swoich praw oraz jak uczelnia realizuje swoje obowiązki.

Wprowadzenie do problematyki RODO na uczelni wyższej (AGH)

Przetwarzanie danych na uczelni wyższej ma charakter wielopoziomowy. AGH jako publiczna szkoła wyższa działa na podstawie ustawy Prawo o szkolnictwie wyższym i nauce oraz licznych przepisów wykonawczych. To sprawia, że podstawy prawne przetwarzania danych są bardzo zróżnicowane. Z jednej strony mamy do czynienia z realizacją obowiązków prawnych ciążących na administratorze (art. 6 ust. 1 lit. c RODO), takich jak prowadzenie dokumentacji przebiegu studiów czy spraw kadrowo-płacowych. Z drugiej strony, uczelnia realizuje zadania w interesie publicznym (art. 6 ust. 1 lit. e RODO), a w niektórych przypadkach opiera przetwarzanie na umowie (art. 6 ust. 1 lit. b RODO) lub dobrowolnej zgodzie (art. 6 ust. 1 lit. a RODO). Zrozumienie tych podstaw jest kluczowe dla każdego prawnika analizującego sprawę z zakresu ochrony danych na uczelni.

Status AGH jako administratora danych osobowych

Administratorem danych osobowych (ADO) w rozumieniu art. 4 pkt 7 RODO jest Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie, z siedzibą przy Al. A. Mickiewicza 30. Reprezentantem administratora na zewnątrz jest Rektor AGH. To na uczelni jako osobie prawnej spoczywa pełna odpowiedzialność za zgodność procesów przetwarzania z prawem, w tym za wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Wszelkie roszczenia, wezwania czy wnioski o charakterze prawnym powinny być zatem kierowane bezpośrednio do AGH jako osoby prawnej, a nie do poszczególnych wydziałów czy jednostek organizacyjnych.

Obowiązki AGH w zakresie ochrony danych osobowych

Jako publiczny administrator, AGH musi sprostać rygorystycznym standardom rozliczalności, co oznacza konieczność wykazania, że przetwarzanie odbywa się zgodnie z prawem. Do kluczowych obowiązków uczelni należy zaliczyć:

  • Obowiązek informacyjny: Każda osoba, której dane są zbierane (np. podczas rekrutacji, zawierania umowy o pracę czy zapisu na bibliotekę), musi otrzymać komplet informacji o tożsamości ADO, celach przetwarzania, odbiorcach danych oraz przysługujących jej prawach.
  • Prowadzenie rejestru czynności przetwarzania: Narzędzie to pozwala na systematyzowanie i kontrolowanie wszystkich procesów przetwarzania danych wewnątrz struktury uczelni, od rekrutacji po archiwizację.
  • Zapewnienie bezpieczeństwa danych: Wdrożenie systemów szyfrowania, kontroli dostępu do systemów takich jak USOS (Uniwersytecki System Obsługi Studiów) oraz regularne testowanie i ocenianie skuteczności środków technicznych.
  • Wyznaczenie Inspektora Ochrony Danych (IOD): Osoba ta wspiera administratora w monitorowaniu zgodności z RODO oraz stanowi punkt kontaktowy dla osób, których dane dotyczą.

Rola Inspektora Ochrony Danych (IOD) na AGH

Inspektor Ochrony Danych na AGH odgrywa kluczową rolę w strukturze bezpieczeństwa informacji. IOD nie tylko doradza władzom uczelni i pracownikom w zakresie obowiązków wynikających z RODO, ale jest także bezpośrednim organem pomocniczym dla osób chcących zrealizować swoje prawa. Wszelkie zapytania, wnioski oraz zgłoszenia naruszeń powinny być kierowane bezpośrednio do biura IOD AGH, co znacznie przyspiesza bieg sprawy i minimalizuje ryzyko błędów proceduralnych. IOD działa niezależnie i nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań.

Procedura krok po kroku: Jak złożyć wniosek o realizację praw RODO do AGH

Osoby, których dane są przetwarzane przez AGH (np. studenci, absolwenci, pracownicy), posiadają szereg uprawnień, w tym prawo dostępu do danych, ich sprostowania, usunięcia (prawo do bycia zapomnianym), ograniczenia przetwarzania oraz przenoszenia danych. Aby skutecznie zrealizować te prawa, należy przejść przez ustrukturyzowaną procedurę, która minimalizuje ryzyko formalnych uchybień.

Krok 1: Identyfikacja podstawy prawnej i celu wniosku

Przed sformułowaniem pisma należy dokładnie określić, które prawo chcemy zrealizować. Na przykład student chcący dowiedzieć się, jakie informacje na jego temat zgromadził dziekanat, powoła się na art. 15 RODO (prawo dostępu). Z kolei były pracownik żądający usunięcia nieaktualnego numeru telefonu prywatnego skorzysta z art. 17 RODO (prawo do usunięcia danych). Ważne jest, aby nie żądać usunięcia danych, których przechowywanie jest wymagane przez inne ustawy (np. oceny z egzaminów).

Krok 2: Przygotowanie i precyzyjne sformułowanie wniosku

Wniosek powinien mieć formę pisemną lub elektroniczną. Kluczowe jest, aby zawierał dane pozwalające na jednoznaczną identyfikację wnioskodawcy (imię, nazwisko, numer albumu w przypadku studentów, PESEL lub adres e-mail zarejestrowany w systemach AGH). Należy precyzyjnie wskazać, jakich danych wniosek dotyczy – np. danych z systemu USOS, dokumentacji rekrutacyjnej czy monitoringu wizyjnego na terenie kampusu. Im bardziej precyzyjny wniosek, tym szybsza reakcja ze strony uczelni.

Krok 3: Wybór kanału komunikacji i złożenie dokumentu

Wniosek można złożyć na kilka sposobów. Najbardziej rekomendowane w praktyce prawnej to: wysyłka drogą elektroniczną na oficjalny adres e-mail IOD AGH, przesłanie dokumentu za pośrednictwem platformy ePUAP (co gwarantuje urzędowe poświadczenie odbioru) lub tradycyjna wysyłka listem poleconym na adres kancelarii głównej uczelni. Możliwe jest również złożenie wniosku osobiście w biurze IOD. Wybór ePUAP jest szczególnie zalecany w spornych sprawach, gdyż precyzyjnie dokumentuje datę wpływu pisma.

Krok 4: Weryfikacja tożsamości wnioskodawcy przez uczelnię

Zgodnie z art. 12 ust. 6 RODO, w przypadku uzasadnionych wątpliwości co do tożsamości osoby fizycznej składającej wniosek, administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia jej tożsamości. W praktyce AGH może to oznaczać konieczność okazania legitymacji studenckiej, dowodu osobistego (do wglądu) lub potwierdzenia wniosku profilem zaufanym. Działanie to ma na celu zapobieżenie wyciekowi danych do osób nieuprawnionych i jest całkowicie legalnym i wymaganym krokiem proceduralnym.

Krok 5: Oczekiwanie na odpowiedź – ustawowy termin

AGH jako administrator ma obowiązek udzielić odpowiedzi bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania wniosku. W sprawach szczególnie skomplikowanych lub przy dużej liczbie wniosków, termin ten może zostać przedłużony o kolejne dwa miesiące. W takim przypadku uczelnia musi jednak poinformować wnioskodawcę o przedłużeniu terminu w ciągu miesiąca od wpływu wniosku, podając konkretne przyczyny opóźnienia. Brak odpowiedzi w terminie stanowi naruszenie procedury i otwiera drogę do skargi.

Postępowanie przed organem nadzorczym (UODO) w przypadku naruszeń

Jeśli AGH nie odpowie na wniosek w ustawowym terminie, odmówi realizacji prawa bez uzasadnienia prawnego lub w opinii wnioskodawcy przetwarza dane niezgodnie z przepisami, przysługuje mu prawo wniesienia skargi do organu nadzorczego. Organem tym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Kiedy i jak złożyć skargę do Prezesa UODO?

Skargę wnosi się po wyczerpaniu drogi wewnętrznej lub w przypadku rażącego naruszenia przepisów. W piśmie skierowanym do PUODO należy dokładnie opisać stan faktyczny, wskazać naruszenia jakich dopuściła się uczelnia, oraz załączyć dowody (np. kopię wysłanego wniosku do AGH wraz z potwierdzeniem odbioru oraz brak odpowiedzi). Postępowanie przed Prezesem UODO toczy się według przepisów Kodeksu postępowania administracyjnego, co oznacza, że organ bada sprawę merytorycznie i może wydać decyzję nakazującą uczelni przywrócenie stanu zgodnego z prawem, a w skrajnych przypadkach nałożyć administracyjną karę pieniężną.

Najczęstsze błędy w postępowaniach RODO z udziałem uczelni

W praktyce prawnej najczęściej spotyka się następujące błędy popełniane zarówno przez wnioskodawców, jak i jednostki organizacyjne uczelni:

  1. Brak precyzji we wniosku: Ogólne żądanie typu "chcę usunięcia wszystkich moich danych" jest często niemożliwe do zrealizowania, ponieważ uczelnia ma ustawowy obowiązek przechowywać dokumentację przebiegu studiów przez kilkadziesiąt lat.
  2. Niewłaściwa identyfikacja tożsamości: Wysyłanie wniosków z prywatnych, anonimowych adresów e-mail bez podania danych identyfikacyjnych, co uniemożliwia uczelni weryfikację i zmusza do wstrzymania procedury.
  3. Przekroczenie terminów przez administratora: Brak reakcji komórek organizacyjnych AGH w ciągu 30 dni, wynikający często z wewnętrznego obiegu dokumentów między wydziałami a biurem IOD.
  4. Błędne powoływanie się na prawo do bycia zapomnianym: Studenci często żądają usunięcia danych o ocenach lub przebiegu studiów, zapominając, że przetwarzanie to opiera się na obowiązku prawnym (ustawa), a nie na zgodzie.

Praktyczny przykład (Case Study)

Jan Kowalski, profesjonalny programista i były student AGH, zauważył, że na stronie internetowej jednego z kół naukowych AGH nadal widnieje jego wizerunek oraz prywatny adres e-mail, mimo że ukończył studia dwa lata temu. Postanowił podjąć kroki prawne.

W pierwszym kroku Jan skierował pisemny wniosek do Inspektora Ochrony Danych AGH, żądając niezwłocznego usunięcia jego danych osobowych (wizerunku oraz adresu e-mail) na podstawie art. 17 RODO. Wniosek wysłał za pośrednictwem ePUAP. IOD AGH odebrał wniosek i po weryfikacji tożsamości Jana (poprzez profil zaufany) skierował sprawę do opiekuna danego koła naukowego. W terminie 14 dni od złożenia wniosku, dane Jana zostały usunięte z witryny internetowej, a IOD przesłał oficjalne potwierdzenie realizacji wniosku drogą elektroniczną. Dzięki precyzyjnemu sformułowaniu żądania i właściwemu kanałowi komunikacji sprawa została rozwiązana szybko, polubownie i zgodnie z prawem, bez konieczności angażowania organu nadzorczego.

Podsumowanie i wnioski dla praktyków

Procedury RODO na AGH, choć na pierwszy rzut oka mogą wydawać się skomplikowane z uwagi na strukturę uczelni, opierają się na jasnych zasadach prawnych. Kluczem do sukcesu w każdym postępowaniu jest precyzja, zachowanie formy pisemnej lub elektronicznej gwarantującej identyfikację oraz ścisłe przestrzeganie terminów. Dla prawników reprezentujących klientów w sporach z uczelniami kluczowe znaczenie ma zrozumienie, że większość procesów przetwarzania na uczelni wyższej opiera się na przepisach prawa powszechnie obowiązującego, co ogranicza niektóre uprawnienia (jak prawo do usunięcia danych), ale jednocześnie nakłada na uczelnię wysokie standardy ochrony i transparentności, których niedopełnienie otwiera drogę do skutecznego postępowania przed Prezesem UODO.