Jolanta Ojczyk: Jakie dane osobowe, nie licząc tych studentów, przetwarza Uniwersytet Łódzki?
Piotr Topolski: Moja uczelnia przetwarza na przykład dane osobowe dzieci w wieku przedszkolnym - mamy własne przedszkole, dane genetyczne w Biobanku oraz na Wydziale Biologii i Ochrony Środowiska i, oczywiście, pracowników. Warto też zaznaczyć, że zakres przetwarzanych danych studentów jest różny w zależności od kierunków studiów, np. studenci kierunków biologicznych muszą przechodzić okresowe badania lekarskie, by móc kontynuować naukę.
Czy mają Państwo już opracowany rejestr przetwarzania danych. A jeśli tak, to jak dużo pozycji liczy?
Stworzenie rejestru przetwarzania danych to trudne i pracochłonne zadanie. Rozpisanie działania uczelni na poszczególne procesy zależy oczywiście od przyjętego stopnia szczegółowości. W moim przypadku opisałem około setki procesów związanych z przetwarzaniem danych osobowych.
Poproszę o konkretne przykłady, np. dla spraw pracowniczych.
Sprawy pracownicze podzielone są na czynności kadrowe wynikające z obowiązków określonych prawem pracy, rekrutacja, obsługa nieobecności, badania, szkolenia, rozwiązanie umów, ocena pracownicza, obliczanie wynagrodzeń, rozliczanie pensum. Oddzielnie prowadzone są sprawy socjalne. Każda usługa traktowana jest jako oddzielny proces, ponieważ pracownik może korzystać z wybranych opcji: wczasów pod "gruszą", pożyczki na remont czy zakup nieruchomości, dofinansowania zorganizowanych wakacji, koleżeńskiej kasa pożyczkowej, dofinansowania zajęć sportowych czy biletów na wydarzenia kulturalne.
Jakie procesy wyróżnił Pan w związku z przetwarzaniem danych studentów?
Sama rekrutacja podzielona jest na kilka procesów: studia I i II stopnia, doktoranckie, podyplomowe, kursy językowe, kursy przygotowawcze. Potem jest obsługa toku studiów. Na nią składają się między innymi: przyznawanie stypendiów naukowych i socjalnych, praktyki, warunki i urlopy dziekańskie, windykacja, obrony prac dyplomowych, oddzielnymi procesami są też prace komisji dyscyplinarnych. Biblioteka to też kilka procesów: zapisanie, wypożyczenia, obsługa czytelni, windykacja, kasowanie kont.
Wymienił Pan dużo sytuacji, w których może dojść do naruszenia danych. To od 25 maja będzie podlegało szczególnej procedurze. Słyszał Pan o jakimś wycieku z uczelni?
O wyciekach danych najczęściej dowiaduję się z internetu. Najczęściej były to błędy ludzkie wynikające z niewiedzy lub beztroski, np. wywieszane lub wysyłane listy osób grup zajęciowych, lokatorów domów studenckich. Często są to pliki, które zostały zindeksowane przez googla, a teoretycznie nie powinny być widoczne w sieci. Zdarzały się niezabezpieczone dostępy do paneli administracyjnych. Wnioski nasuwają się same. Za każdym z tych incydentów stoi błąd pracownika uczelni, nie zaś grupa hackerska. Dlatego tak ważne są szkolenia pracowników.
Czy uczelnie powinny mieć przygotowany plan działania na wypadek wycieku?
Uczelnie powinny mieć zdecydowanie przygotowane procedury na wypadek incydentu. 72 godziny na podjęcie decyzji o powiadomieniu organu, to bardzo mało czasu. Nie chodzi tylko o przygotowanie dokumentacji incydentu, ale to także o podjęcia środków naprawczych. Dlatego każdy pracownik powinien wiedzieć jak zareagować na incydent, do kogo się zwrócić.
Co według Pana należy uznać za istotne naruszenie?
Ocena naruszenia opiera się o konsekwencje, jakie może wywołać dla danej osoby fizycznej. Dla przykładu jeśli zostanie zgłoszony wyciek faktur, to nie zawsze będzie oznaczał istotne zagrożenie. Jeśli będą to faktury uczestników konferencji wystawione na uczelnie, to szkodliwość takiego wycieku jest znikoma. Dane w postaci imienia i nazwiska pracowników naukowych są ogólnodostępne, tak samo jak adres i nip uczelni. Jeśli będzie to faktura za studia dla osoby fizycznej, gdzie mamy jej adres prywatny, to sprawa jest już poważniejsza. Tak samo poważnie potraktowałbym fakturę dla firmy za szkolenie pracownika wymienionego z imienia i nazwiska, czasem utrzymanie w tajemnicy miejsca pracy może być ważniejsze niż adres zamieszkania. Przy okazji analizy ryzyka warto więc stworzyć dokument zawierający zestawienie istotnych naruszeń. Dzięki temu łatwiej będzie można podejmować decyzje o zgłoszeniu naruszenia do organu nadzorczego. A w procedurze opisującej co jest istotnym naruszeniem powinno brać się pod uwagę zakres danych, możliwy zasięg wycieku danych. Oddzielną kwestią jest też utrata danych, np. zniszczenie lub brak dostępu.
Czy utrata danych może być istotnym naruszeniem?
Tak. Jako przykład można podać brak możliwości wydania studentowi zaświadczenia o kontynuacji nauki do ZUS, KRUS, czy banku. Konsekwencje w postaci wstrzymania wypłat rent, zasiłków, czy kredytu studenckiego są niewątpliwie dotkliwe i mogą skutkować poważnymi konsekwencjami dla uczelni. Dlatego należy rozważyć w jakim przypadku brak dostępu do danych jest istotnym naruszeniem.
Co z Pana punktu widzenia jest najtrudniejsze w przygotowaniu się na RODO? Dokumentacja, przygotowanie rejestrów, analiza ryzyka, czy może coś innego?
W przygotowaniu się do RODO trudno wskazać najtrudniejsze zagadnienie ze względu na skalę przedsięwzięcia. Stworzenie dokumentacji, przygotowanie rejestrów czy analiza ryzyka to trudne zagadnienia. Najważniejsze jest jednak, by mieć dokonaną inwentaryzację przetwarzania danych. Z mojego punktu widzenia jednak bardzo ważna sprawą, jak już wspomniałem jest przeszkolenie pracowników. To oni stanowią "pierwsza linię" kontaktu z klientem i niestety są też największym zagrożeniem.
Pracownicy uczelni rozumieją na czym polega trudność i złożoność RODO?
Mam to szczęście, że mam wsparcie władz uczelni oraz wydziałów. Szkolenia dla pracowników prowadzę systematycznie, dlatego też nie mam problemów ze zrozumieniem powagi sytuacji wśród pracowników. Częściej spotykam się z pytaniami jak rozwiązać pewne zagadnienia czy kwestie. Wielu z nich obawia się RODO. Artykuły o RODO w prasie i internecie straszą karami. Naukowcy obawiają się o swoje badania obecne i przyszłe, o swoje zbiory danych ankietowych. Moja rola polega na wyjaśnianiu i uspokajaniu. Jeśli bowiem chodzi o sferę nauki, to mam przeświadczenie, że RODO ją bardzo wspomaga.