Ta strona wykorzystuje ciasteczka ("cookies") w celu zapewnienia maksymalnej wygody w korzystaniu z naszego serwisu. Czy wyrażasz na to zgodę?

Czytaj więcej

Zajęcia zdalne – najczęściej pojawiające się pytania (lista aktualizowana)

W związku z pojawiającymi się wątpliwościami dotyczącymi przetwarzania danych osobowych w ramach prowadzenia zajęć zdalnych poniżej przekazuję moją rekomendację dot. pytań najczęściej występujących:

1. Co stanowi podstawę przetwarzania danych osobowych w ramach prowadzenia zajęć zdalnych?

Przetwarzanie danych osobowych studentów/doktorantów w związku z realizacją toku studiów odbywa się na podstawie przepisów ustawy Prawo o szkolnictwie wyższym i nauce (PSWiN). Ponadto ustawa z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 zmienia między innymi ww. ustawę PSWiN dodając art. 76a, który daje uczelni uprawnienie mówiące, że “uczelnia może zorganizować  weryfikację osiągniętych efektów uczenia się określonych w programie studiów, w szczególności przeprowadzać zaliczenia i egzaminy kończące określone zajęcia oraz egzaminy dyplomowe, poza siedzibą uczelni lub poza jej filią z wykorzystaniem technologii informatycznych zapewniających kontrolę ich przebiegu i rejestrację”.

Powyższe oznacza, że podstawę prawną uprawniającą do przetwarzania danych osobowych w związku z realizacją toku studiów stanowi art. 6 ust. 1 lit. c RODO (przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) w związku z art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym).

2. Z jakiego oprogramowania korzystać do prowadzenia zajęć zdalnych?

Art. 24 RODO wskazuje, że do obowiązków administratora należy wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami regulującymi ochronę danych osobowych. Ponadto przetwarzanie danych powinno odbywać się z uwzględnieniem zasad przetwarzania danych osobowych określonych w art. 5 RODO.

Ww. przepisy jasno wskazują, że procesy przetwarzania danych osobowych powinny odbywać się pod nadzorem administratora, oznacza to, że administrator musi mieć realną kontrolę nad przetwarzaniem danych osobowych, wiedzieć jaki zakres danych osobowych jest zbierany, w jaki sposób i w jakim celu jest wykorzystywany oraz z wykorzystaniem jakich narzędzi się to odbywa. Oznacza to, że korzystać można wyłącznie z oprogramowania, które dostarcza administrator, a więc istnieje realna kontrola nad przepływem danych (w tym danych osobowych). W związku z tym z punktu widzenia przepisów regulujących ochronę danych osobowych dopuszczalne jest korzystanie wyłącznie z narzędzi, gdzie między deweloperem (dostawcą oprogramowania) a uczelnią została zawarta umowa, która uwzględnia zasady przetwarzania danych osobowych w tym powierzenie przetwarzania danych osobowych określone w art. 28 RODO. Zapewnienie powierzenia przetwarzania danych osobowych jest warunkiem obligatoryjnym. Powierzenie przetwarzania danych osobowych (w skrócie) oznacza przekazanie podmiotowi zewnętrznemu przetwarzanie danych w imieniu administratora jeżeli samodzielnie (administrator) nie jest w stanie osiągnąć zamierzonego celu. Korzystanie z dowolnego oprogramowania sprawia, że uczelnia traci kontrolę nad administrowanymi danymi osobowymi, a ryzyko naruszenia praw osób, których dane dotyczą wzrasta.  Korzystanie z usług innych producentów, gdzie UW nie ma np. podpisanej umowy może skutkować naruszeniem przepisów regulujących ochronę danych osobowych – z uwagi np. na brak weryfikacji dot. zabezpieczeń danych osobowych czy też miejsc przechowywania danych.

W ocenie Inspektora Ochrony Danych uwzględniając przepisy regulujące ochronę danych osobowych narzędziami, które można wykorzystywać przy prowadzeniu zajęć zdalnych są:

  • platforma Kampus i Big Blue Button dostarczane przez Centrum Kompetencji Cyfrowych UW (przetwarzanie danych odbywa się na serwerach UW. Do tej platformy dostęp posiadają wszyscy studenci i pracownicy UW) – w celu korzystania z ww. platform należy kontaktować się z Centrum Kompetencji Cyfrowych: pomoc-ckc@uw.edu.pl;
  • G-suit dla Szkół i Uczelni (kwestie przetwarzania danych osobowych uregulowane są w umowie między UW i Google) – wsparcia dot. korzystania z oprogramowania G-suit może udzielić Pion IT UW.

3. Czy wobec studentów należy spełnić  obowiązek informacyjny w związku z przetwarzaniem danych osobowych z wykorzystaniem narzędzi do weryfikacji osiągniętych efektów uczenia się z wykorzystaniem technologii informatycznych zapewniających kontrolę ich przebiegu i rejestrację?

Tak, obowiązek informacyjny określony w art. 13 RODO należy spełnić w związku z “aktualizacją” procesu przetwarzania danych osobowych w zakresie dot. weryfikacji efektów uczenia się z wykorzystaniem technologii informatycznych .

Przykładowy obowiązek informacyjny: [PL] [EN].

4. Czy do prowadzenia korespondencji mailowej ze studentami w celach związanych z organizacją zajęć mogę posługiwać się prywatnym adresem mailowym?  

Nie, zgodnie z § 1 zarządzenia nr  16 Rektora UW z dnia 18 kwietnia 2007 r. w sprawie korzystania z poczty elektronicznej przez pracowników i studentów Uniwersytetu Warszawskiego istnieje obowiązek posiadania i użytkowania przez każdego pracownika konta poczty elektronicznej w domenie Uniwersytetu Warszawskiego. Natomiast § 3 tego zarządzenia wskazuje, że pracownicy są zobowiązani do korzystania z poczty służbowej w sprawach związanych z działalnością uczelni w tym do komunikacji i obiegu dokumentów. Ponadto należy zauważyć, że co do zasady e-maile kierowane do studentów wysyłane są w imieniu uczelni i stanowią oficjalną korespondencję związaną z działalnością jednostki organizacyjnej. Korzystanie z prywatnego maila do korespondencji służbowej stanowi naruszenie zasady obowiązku korzystania z poczty służbowej określonej w zarządzeniu.

5. Czy rejestracja (nagranie) egzaminu odbywa się na podstawie zgody na przetwarzanie danych osobowych?

Przepisy ustawy Prawo o szkolnictwie wyższym i nauce (art. 76a) dają szkołom wyższym uprawnienie do kontroli przebiegu i rejestracji weryfikacji efektów uczenia się określonych w programie studiów (w szczególności zaliczenia i egzaminy kończące określone zajęcia oraz egzaminy dyplomowe), oznacza to, że podstawę do prowadzenia rejestracji (nagrania) np. z egzaminu stanowi przepis prawa oraz realizacja zadania w interesie publicznym, a więc art. 6 ust. 1 lit. c w związku z art. 6 ust. 1 lit. e ogólnego rozporządzenia o ochronie danych (tzw. RODO) nie zaś zgoda osoby, której dane dotyczą. Istnienie podstawy prawnej w postaci określonego przepisu przesądza o możliwości wykonania rejestracji. Ponadto należy zwrócić uwagę, że Uczelnia posiada konstytucyjną (art. 70 ust. 5 Konstytucji) i ustawową autonomię (art. 9 ust. 2 PSWiN) co pozwala na uszczegółowienie określonych zasad w taki sposób by nie powstała luka prawna. Dodatkowo wobec studentów należy spełnić obowiązek informacyjny dot. przetwarzania ich danych osobowych w formie nagrań.

6. Jak zweryfikować tożsamość studenta?

W przypadku prowadzenia egzaminu zdalnego podstawę do przetwarzania danych osobowych stanowi ustawa Prawo o szkolnictwie wyższym i nauce – oznacza to, że uczelnia ma prawo zweryfikować tożsamość studenta np. w pierwszej kolejności przez weryfikację czy student korzysta z indywidualnego konta Active Directory przypisanego do użytkownika przy korzystaniu z narzędzi rekomendowanych przez uczelnię, zaś w przypadku wątpliwości np. przez okazanie legitymacji studenckiej (priorytet) lub innego dokumentu tożsamości (z zastrzeżeniem, że należy zakryć pozostałe informacje, które nie są niezbędne do dokonana weryfikacji np. imiona rodziców, data urodzenia, podpis).

Należy pamiętać, że zgodnie z zarządzeniem nr 84 w sprawie zasad przeprowadzenia egzaminów i zaliczeń w trybie zdalnym po upływie 14 dni od daty obrony czy egzaminu nagranie powinno być usunięte przez egzaminatora.

7. Czy ZOOM i Microsoft Teams to narzędzia rekomendowane?

Nie. Administrator danych osobowych jakim jest Uniwersytet Warszawski zobowiązany jest do stosowania środków technicznych i organizacyjnych zapewniających zgodność przetwarzania z przepisami regulującymi ochronę danych osobowych. Niezbędne jest zatem uregulowanie kwestii dotyczącej przetwarzania danych osobowych między dostawcą oprogramowania, a administratorem – może to być uregulowane m.in. w zawartej umowie licencyjnej uwzględniającej powierzenie przetwarzania danych osobowych. Uniwersytet Warszawski aktualnie nie posiada podpisanej żadnej umowy z Zoom Video Communications Inc., natomiast firma Microsoft udostępnia nieodpłatnie m.in. szkołom wyższym swoje oprogramowanie na podstawie identyfikacji domeny „edu.pl” (wynika to z polityki firmy) stąd też może istnieć mylne wrażenie, że Uczelnia posiada podpisaną umowę lub zaakceptowała warunki licencyjne w tym te dot. ochrony danych osobowych na poziomie centralnym. Należy także podkreślić, że korzystanie z ww. narzędzi w szczególności bez uregulowania kwestii dot. przetwarzania danych osobowych powoduje wysokie ryzyko naruszenia praw osób, których dane dotyczą, a także może odbywać się bez wyraźnej podstawy określonej w RODO legalizującej takie działanie, co m.in. oznacza prawo złożenia skargi do organu nadzorczego przez osobę, której dane dotyczą lub naruszenie dóbr osobistych określonych w kodeksie cywilnym.

Narzędzia rekomendowane przez Uniwersytet Warszawski zostały określone w § 6 zarządzenia nr 84 Rektora UW.

Pozostałe aplikacje wymagają indywidualnej oceny. W celu uzyskania opinii nt. możliwości skorzystania z innych aplikacji należy zapoznać się z komunikatem umieszczonym na stronie: zgodność aplikacji z przepisami o ochronie danych osobowych.