Wyzwanie dla szkół wyższych
Ochrona danych osobowych. Część 2
Artykuł będzie zawierał analizę najczęściej występujących naruszeń popełnianych przez szkoły wyższe w zakresie przewarzania danych osobowych. Dotychczasowa praktyka przetwarzania danych osobowych przez uczelnie wykazała, że do najczęstszych naruszeń dochodzi przy procesie rekrutacji, w przypadku publikowania przez wykładowców wyników egzaminów, kolokwiów z podaniem imion i nazwisk studentów. Ponadto szkoły wyższe działają niezgodnie z prawem w zakresie przesyłania informacji handlowej do byłych kandydatów na studia, prowadzą monitoring karier absolwentów bez uzyskania uprzedniej zgody, rozpowszechniają zdjęcia i nagrania swoich studentów, absolwentów z naruszeniem przepisów prawa.
Rekrutacja na studia
Zestawienie danych kandydatów na studia, publikowane na listach bez ich zgody, należy uznać za zgodne z prawem. Ujawnienie danych osobowych na listach wyników egzaminów wstępnych znajduje podstawę prawną w art. 6 ust. 1 pkt c Rozporządzenia 2016/679 w związku z art. 72 ust. 5 ustawy z 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce. Zgodnie z treścią art. 72 ust. 5 tej ustawy wyniki postępowania w sprawie przyjęcia na studia są jawne. Dlatego też obowiązkiem szkoły wyższej jest zapewnienie jawności tego procesu, gdyż służy to przejrzystości postępowania rekrutacyjnego na studia. Należy mieć na uwadze w tym zakresie także przepisy określające sposób dokumentowania studiów, które ustali uczelnia. Może tam się znaleźć zakres danych osobowych wymaganych od kandydata na studia.
Publikowanie wyników egzaminów
Często stosowaną praktyką jest wywieszanie lub publikowanie na stronie internetowej wykładowcy, w sposób ogólnie dostępny, wyników egzaminu/kolokwium wraz z imionami i nazwiskami studentów. Należy podkreślić, że sprawy dotyczące danych studentów należy rozpatrywać, opierając się na przepisach prawa o szkolnictwie wyższym i wydanych na ich podstawie aktów wykonawczych, a także wewnętrznych aktów obowiązujących w danej uczelni, np. regulaminu studiów. Jak wyżej zaznaczono, jawne są jedynie wyniki postępowania rekrutacyjnego. Natomiast brak w ustawie upoważnienia wprost dla wykładowców do upubliczniania innych informacji. Publiczne podanie wyników egzaminów wraz ze wskazaniem nazwisk studentów na stronie internetowej lub wywieszenie w gablocie, przekazanie pliku z takimi danymi staroście roku, byłoby możliwe pod warunkiem uzyskania przez wykładowcę wyraźniej zgody (art. 6 ust. 1 pkt a Rozporządzenia 2016/679) zainteresowanych, np. gdy na karcie egzaminacyjnej z pytaniami zamieści on klauzulę zgody. Należy pamiętać, że wykładowca w takim przypadku powinien umieć wykazać, że takie zgody od studentów uzyskał, a zgoda powinna spełniać warunki ujęte w art. 7 rozporządzenia 2016/679. Przede wszystkim zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Narzędziem, z którego warto skorzystać, jest pseudonimizacja, która oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W przypadku szkoły wyższej można skorzystać z numeru albumu albo numeru PESEL studenta. Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym w wywiązaniu się z obowiązku ochrony danych (motyw 28 rozporządzenia 2016/679).
W celach marketingowych
Przede wszystkim należy podkreślić, że kwestie przesyłania informacji handlowej bądź w ramach marketingu bezpośredniego regulowane są przepisami ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego.
Na gruncie art. 10 ustawy o świadczeniu usług drogą elektroniczną zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
Zgodnie z art. 172 ust. 1 używanie telekomunikacyjnych urządzeń końcowych do celów marketingu bezpośredniego jest dozwolone jedynie wtedy, gdy abonent lub użytkownik końcowy uprzednio wyrazi na to zgodę. Telekomunikacyjne urządzenie końcowe to takie, które jest przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci. Jest to dowolny produkt umożliwiający przesyłanie informacji lub jego znaczący element, które mogą być bezpośrednio lub pośrednio podłączone za pomocą jakichkolwiek środków do interfejsu publicznych sieci telekomunikacyjnych. Interfejsem jest punkt końcowy sieci o określonej charakterystyce technicznej, czyli fizyczna część sieci, za pomocą której użytkownik uzyskuje do niej dostęp. Urządzenie końcowe służy przede wszystkim do nadawania i odbioru informacji. Poza nadawaniem i odbiorem urządzenia końcowe mogą także przetwarzać informacje. Nie ma ograniczeń co do rodzaju informacji, które mogą być nadawane, odbierane i przetwarzane za pomocą urządzeń końcowych (znaki, sygnały, pismo, obrazy, dźwięki). Telekomunikacyjne urządzenie końcowe powinno być bezpośrednio lub pośrednio podłączone do sieci. Podłączenie bezpośrednie ma miejsce wówczas, gdy pomiędzy zakończeniem sieci a urządzeniem końcowym nie ma innych urządzeń telekomunikacyjnych. Może jednak występować przewód (kabel) oraz osprzęt telekomunikacyjny służący do podłączenia urządzenia. W przypadku podłączenia pośredniego pomiędzy urządzeniem końcowym a zakończeniem sieci znajduje się inne urządzenie końcowe, pośredniczące w przekazywaniu sygnałów (np. centrala abonencka, modem). Typowymi urządzeniami końcowymi są: telefony analogowe i cyfrowe ISDN, telefaksy, analogowe i cyfrowe telefony komórkowe, odbiorniki telewizyjne. Postęp techniczny powoduje, że jedno urządzenie może pełnić coraz więcej funkcji w nadawaniu i odbiorze informacji dzięki dodawaniu kolejnych modułów. Typowymi urządzeniami końcowymi pośredniczącymi w procesie przekazu są modemy, routery końcowe i dekodery.
Kandydaci na studia, którzy albo nie uzyskali pozytywnego wyniku ubiegając się na konkretny kierunek, albo wycofali się z ubiegania o miejsce na uczelni bądź z tego miejsca zrezygnowali, nie posiadają statusu studenta danej uczelni. Dlatego też przesyłanie do nich oferty handlowej lub marketing bezpośredni własnych produktów i usług na warunkach wskazanych w wyżej wymienionych przepisach wymaga uzyskania wyraźnej zgody, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Każda osoba powinna bowiem świadomie i dobrowolnie wyrazić wolę przetwarzania swoich danych osobowych, aby można było uznać, że przetwarzanie danych osobowych na podstawie takiej zgody jest legalne (wyrok NSA z 4 kwietnia 2003 r., II SA 2135/2002).
Inaczej ta kwestia wygląda w przypadku przetwarzania danych osobowych studentów. Analiza preambuły rozporządzenia 2016/679 wskazuje na podstawę prawną przetwarzania – prawnie uzasadnione interesy administratora. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego (motyw 47 rozporządzenia 2016/679). W świetle art. 6 ust. 1 pkt f przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, o ile nadrzędne wobec tych interesów nie pozostają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Należy przyjąć stanowisko, że motyw 47 rozporządzenia 2016/679 powinien być stosowany przez sądy i organy krajowe oraz uczestników obrotu gospodarczego jako wskazówka interpretacyjna, która określa przykład przetwarzania danych w prawnie uzasadnionym interesie administratora. Przetwarzanie danych do celów marketingowych powinno być rozpatrywane w kategoriach prawnie usprawiedliwionego interesu administratora. Należy pamiętać natomiast o konieczności poinformowania osoby fizycznej o przysługujących jej prawach do usunięcia danych oraz wyrażenia sprzeciwu.
Zdecydowana większość uczelni korzysta dziś z wewnętrznych systemów obsługi studentów. Komunikacja za pośrednictwem tego typu systemów informatycznych zapobiega nieprawidłowościom, jest doskonałym miejscem do informowania o usługach i produktach danej szkoły wyższej (np. nowych szkoleniach, warsztatach, stażach finansowanych ze środków unijnych itp.) skierowanych do jej studentów.
Biura karier
Na gruncie art. 49 ust. 4 Prawa o szkolnictwie wyższym i nauce w uczelni może działać akademickie biuro karier. Zgodnie z art. art. 2 ust. 1 pkt 1 ustawy o promocji zatrudnienia i instytucjach rynku pracy pod tym pojęciem należy rozumieć jednostkę działającą na rzecz aktywizacji zawodowej studentów i absolwentów szkoły wyższej, prowadzoną przez szkołę wyższą lub organizację studencką, do której zadań należy w szczególności: a) dostarczanie studentom i absolwentom informacji o rynku pracy i możliwościach podnoszenia kwalifikacji zawodowych, b) zbieranie, klasyfikowanie i udostępnianie ofert pracy, staży i praktyk zawodowych, c) prowadzenie bazy danych studentów i absolwentów zainteresowanych znalezieniem pracy, d) pomoc pracodawcom w pozyskiwaniu odpowiednich kandydatów na wolne miejsca pracy oraz staże zawodowe, e) pomoc w aktywnym poszukiwaniu pracy. Natomiast monitoring karier absolwentów reguluje art. 352 Prawa o szkolnictwie wyższym i nauce, szczegółowo określając zakres danych osobowych oraz źródła ich pozyskiwania przez ministra nauki i szkolnictwa wyższego. Przepisy określają także precyzyjnie, jakie dane osobowe uczelnia przetwarza w celu prowadzenia własnego monitoringu karier zawodowych absolwentów. Na gruncie art. 352 ust. 14 uczelnia może prowadzić monitoring swoich absolwentów w celu dostosowania programu studiów do potrzeb rynku pracy. W takim przypadku uczelnia ma prawo przetwarzać dane osobowe absolwentów obejmujące: imiona i nazwisko, adres do korespondencji oraz adres poczty elektronicznej. Uczelnia przetwarza te dane przez okres nie dłuższy niż 10 lat od dnia ukończenia studiów przez absolwenta. Pozyskiwanie innych informacji, poza wyżej określonymi na gruncie przepisów prawa, powinno odbywać się po uzyskaniu zgody absolwenta.
Rozpowszechnianie wizerunku
Pojęcie wizerunku łączone jest z dostrzegalnymi, fizycznymi cechami człowieka składającymi się na jego wygląd i pozwalającymi na identyfikację osoby wśród ludzi. Wizerunek jest wytworem niematerialnym, który za pomocą środków plastycznych przedstawia rozpoznawalną podobiznę danej osoby (wyrok SN z 15.10.2009 r., sygn. akt I CSK 72/09, SIP Legalis). Podkreśla się, że możliwość identyfikacji powinna mieć wymiar uniwersalny, a nie ograniczać się do rodziny, kręgu znajomych czy współpracowników. Sąd Najwyższy przy realizacji prawa do rozpowszechniania wizerunku wymaga bardziej uniwersalnej rozpoznawalności, nieograniczającej się do kręgu osób najbliższych (por. wyrok SN z 27.2.2003 r. IV CKN 1819/00, OSP 2004, Nr 6, poz. 75wyrok SN z 20.05.2005 r., II CK 330/03, SIP Legalis). Zgodnie z tym założeniem ochrona wizerunku wymaga, aby podobieństwo było dostrzegalne nie tylko dla uprawnionego, lecz również dla osób trzecich. Stąd też osoba uprawniona do wizerunku musi wykazać, że rozpowszechniany jest rzeczywiście jej wizerunek i że jest ona w nim rozpoznawalna. Wynika to z funkcji identyfikacyjnej i informacyjnej, jaką pełni wizerunek, i ze względu na które jest on chroniony.
Ustawa z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych reguluje gwarancje ochrony wizerunku. Zasadą jest to, że na rozpowszechnianie wizerunku wymagane jest zezwolenie osoby na nim przedstawionej. Oznacza to, że zgoda może być udzielona ustnie, na piśmie, w sposób wyraźny albo dorozumiany. Takie rozpowszechnienie będzie obejmować m.in. publiczne umieszczenie zdjęcia studentów na ogólnie dostępnej stronie internetowej uniwersytetu, zdjęcie pracownika udostępniane w stopce maila służbowego, zdjęcia studentów udostępniane w folderach reklamowych uczelni. Chodzi tu o sytuację, w której stworzona zostaje możliwość zapoznania się z wizerunkiem bliżej nieokreślonemu kręgowi osób. Należy pamiętać jednak, że ciężar wykazania istnienia zgody na umieszczenie zdjęć przedstawiających osobę fizyczną w miejscu publicznym obciąża osobę rozpowszechniającą zdjęcie (wyrok SN z 20.5.2004 r., II CK 330/03; wyrok SA w Katowicach I ACa 740/11, SIP Legalis). Podkreślić także należy, że zgoda na rozpowszechnianie wizerunku powinna być udzielona zanim osoba zainteresowana rozpowszechnianiem wizerunku podejmie działania zmierzające do jego upublicznienia. Ponadto uprawniony, udzielając zgody, powinien wskazać precyzyjnie zakres działań, jakie może podjąć osoba uzyskująca zgodę. Osoba wyrażająca zgodę powinna być świadoma sposobu prezentacji jej wizerunku, miejsca i czasu publikacji, zestawienia z innymi wizerunkami czy też z określonym tekstem, reklamowego wykorzystania wizerunku. Zgodę można w każdym czasie odwołać.
Obowiązek uzyskania zgody na rozpowszechnianie wizerunku osoby fizycznej doznaje wyłączenia w trzech przypadkach. Po pierwsze, gdy osoba, której wizerunek rozpowszechniono, otrzymała umówioną zapłatę za pozowanie. Po drugie, zezwolono na rozpowszechnianie wizerunków osób powszechnie znanych, pod warunkiem że wizerunek został wykonany w związku z pełnieniem przez nie funkcji publicznych i rozpowszechnienie następuje w celu relacjonowania wykonywania przez osobę portretowaną funkcji zawodowych, społecznych i politycznych, co eliminuje utrwalanie wizerunku w sytuacji prywatnej. W końcu obowiązek uzyskania zgody został wyłączony w stosunku do osób przedstawianych np. na fotografii lub w filmie jako szczegół przedstawianej całości, takiej jak zgromadzenie, krajobraz, publiczna impreza. Biorąc pod uwagę orzecznictwo sądów administracyjnych, aby zastosować przytoczone wyłączenie, „rozstrzygające znaczenie ma ustalenie w strukturze przedstawienia relacji między wizerunkiem osoby a pozostałymi elementami jego treści. Jeśli wizerunek osoby stanowi wyłącznie element akcydentalny lub akcesoryjny przedstawienia, czyli, że w razie jego usunięcia nie zmieniłby się przedmiot i charakter przedstawienia, to rozpowszechnianie nie wymaga zezwolenia” (wyrok SA we Wrocławiu z 30.01.2014 r., I ACa 1452/13, SIP Legalis; wyrok SA w Warszawie z 28.02.2017, I ACa 2383/15, SIP Lex). Przykładem tego rodzaju wizerunku jest fotografia grupowa absolwentów danego rocznika podczas uroczystości absolutorium. Zgodnie z wyrokiem NSA zamieszczenie takiego zdjęcia bez oznaczania osób na nim występujących nie stanowiłoby danych osobowych, gdyż bez wątpienia ustalenie tożsamości takich osób wymagałoby nadmiernych kosztów, czasu lub działań (wyrok NSA z 18.11.2009 r., sygn. akt I OSK 667/09, SIP Lex). Warto podkreślić również, że osoba decydująca się na udział w publicznym zgromadzeniu nie tyle wyraża w sposób dorozumiany zgodę na upublicznienie jej wizerunku jako szczegółu całości, ile godzi się na to, że wizerunek taki może zostać rozpowszechniony w ramach publikacji całości bez jej zgody, dorozumianej czy nie – to nie ma w tym przypadku znaczenia, ponieważ zgoda taka nie jest wymagana na podstawie regulacji ustawowej (wyrok SA w Łodzi z 6.1.2014, I ACa 429/14, SIP Legalis). Przy okazji publikacji ogłoszenia o wydarzeniu organizator zgromadzenia bądź imprezy masowej ma również możliwość poinformowania potencjalnych uczestników w sposób przez niego przyjęty (informacja na stronie internetowej, fanpage’u, plakacie, ogłoszenie ze sceny do zgromadzonej publiczności) o zamiarze wykonywania fotografii podczas wydarzenia i publikowania ich w celach relacyjnych.
Ochrona wizerunku jako odrębnego dobra osobistego znajduje swoje gwarancje także na gruncie art. 23 Kodeksu cywilnego. Naruszenie prawa do wizerunku może się wiązać z uderzeniem w inne dobra osobiste, takie jak godność (cześć) i prywatność. Przepisy prawa autorskiego nie ograniczają możliwości skorzystania z przepisów kodeksu cywilnego, w przypadku gdy osoba, której wizerunek rozpowszechniono, uzna, ż e naruszono jej dobra osobiste, w postaci np. godności, poprzez umieszczenie zdjęcia z imprezy masowej o zabarwieniu ośmieszającym. Należy także pamiętać, że wizerunek to dane osobowe i jako takie podlega on ochronie m.in. na gruncie przepisów o ochronie danych osobowych. Pozwala on w niektórych przypadkach na zidentyfikowanie osoby, określenie jej tożsamości bezpośrednio (a niekiedy pośrednio wraz z innymi informacjami). Dlatego też podmiot rozpowszechniający wizerunek, będąc jednocześnie administratorem danych, powinien brać pod uwagę przepisy rozporządzenia 2016/679 przede wszystkim w zakresie spełnienia obowiązku informacyjnego, o którym mowa w art. 13 w/w aktu prawnego. Informacje, o których mowa, możemy zawrzeć m.in. w formularzu zawierającym klauzulę zgody. W przypadku natomiast zgromadzeń i imprez masowych warto, na przykład w ogłoszeniu o planowanym wydarzeniu, zawrzeć stosowne odesłanie do strony internetowej, na której umieściliśmy klauzulę informacyjną, tak aby umożliwić osobom zainteresowanym uzyskanie niezbędnych informacji w zakresie przetwarzania danych osobowych.
Komentarze
Tylko artykuły z ostatnich 12 miesięcy mogą być komentowane.