Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Jaki jest okres retencji danych zebranych w związku z rekrutacją na uczelnię wyższą?

Zwracam się z zapytaniem dotyczącym przetwarzania danych osobowych w systemach informatycznych uczelni osób, które uczestniczyły w procesie rekrutacyjnym, ale nie zostały studentami uczelni. Zgodnie z art. 83 ustawy Prawo o szkolnictwie wyższym i nauce, osoba przyjęta na studia nabywa prawa studenckie z chwilą złożenia ślubowania (podstawa prawna do procesu dalszego przetwarzania danych osobowych). Osoby te dostały się na wybrane wydziały, lecz nie podjęły studiowania (nie złożyły ślubowania). Czy w związku z takim stanem prawnym dane osobowe osób, które nie zostały studentami naszej uczelni, powinny być niezwłocznie usuwane z systemów informatycznych.

Kluczowe dla udzielenia odpowiedzi na tak sformułowane pytanie jest określenie, w jakim celu, w systemach informatycznych uczelni, przetwarzane są dane osobowe osób, które uczestniczyły w procesie rekrutacyjnym, ale nie zostały studentami uczelni. Czy ten cel związany jest jedynie z rekrutacją, czy też w grę mogą wchodzą inne cele przetwarzania danych osobowych.

Po ustaleniu, w jakim konkretnie celu określone dane są przetwarzane w systemach informatycznych uczelni, należy dokonać analizy, kiedy ten cel zostanie osiągnięty.

Zgodnie z art. 5 ust. 1 lit. b RODO dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami („ograniczenie celu”). Określenie celów przetwarzania danych osobowych ma zatem bezpośredni wpływ na zapewnienie zgodności operacji przetwarzania danych z pozostałymi zasadami ochrony danych osobowych, takimi jak chociażby zasada minimalizmu, rzetelności i legalności oraz ograniczenia przechowywania.

Z zasady ograniczenia przechowywania (retencji) sformułowanej w art. 5 ust. 1 lit. e RODO wynika natomiast, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Zasada ta oznacza, że w każdym przypadku administrator musi ustalić, przez jaki okres może przetwarzać określone dane osobowe w określonym celu oraz jakie czynności musi podjąć po upływie tego okresu.

Kwestia ustalenia adekwatnego okresu przetwarzania jest kluczowa również z punktu widzenia spełnienia przez administratora innych obowiązków wynikających z przepisów RODO. Jest on zobowiązany wskazać okres, przez który dane osobowe będą przechowywane, w ramach realizacji obowiązków informacyjnych określonych w art. 13 ust. 2 i 14 ust. 2 RODO, oraz wskazać te okresy w prowadzonym przez siebie rejestrze czynności przetwarzania danych osobowych.

Administrator powinien dokonać analizy dotyczących jego działalności przepisów prawa, które mogą przewidywać określony termin przechowywania danych do realizacji określonego celu przetwarzania (np. ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach, których doprecyzowaniem jest instrukcja kancelaryjna, lub ustawy z dnia 29 września 1994 r. o rachunkowości).

W przypadku, gdy prawo nie reguluje okresu przechowywania danych należy, przy uwzględnieniu ogólnych zasad wynikających z RODO, samodzielnie ustalić termin ich przechowywania, biorąc pod uwagę cel przetwarzania. Brak określonych przepisami prawa okresów przetwarzania informacji zawierających dane osobowe, nie oznacza bowiem, że informacje takie można przetwarzać bezterminowo (tak też w odpowiedzi na pytanie Czy trzeba precyzyjnie określać okres przechowywania danych?).

Zgodnie z art. 70 ust. 1 ustawy z dnia 20 lipca 2018 r. o szkolnictwie wyższym i nauce, uczelnia ustala warunki, tryb oraz termin rozpoczęcia i zakończenia rekrutacji oraz sposób jej przeprowadzenia. Artykuł ten stanowi delegację do określenia w uchwale senatu uczelni zasad i trybu rekrutacji, a także terminu rozpoczęcia i zakończenia rekrutacji na studia, jak również sposobu jej przeprowadzenia.

Mając na uwadze, że przepisy ustawy nie zawierają szczegółowych regulacji dotyczących okresu przechowywania danych w związku z przeprowadzaną rekrutacją na studia, a jedynie odsyłają do ustalenia przez uczelnię szczegółów dotyczących tego procesu, trzeba samodzielnie określić okres przechowywania danych osobowych, również w odniesieniu do danych przetwarzanych w systemach informatycznych. Konieczne jest uwzględnienie, że w odniesieniu do określonych danych osobowych przetwarzanych przez uczelnię publiczną mogą mieć zastosowanie przepisy o narodowym zasobie archiwalnym i archiwach. Natomiast w sytuacji, gdy kandydat wniósł opłatę rekrutacyjną, przy ustaleniu okresu przechowywania danych należy także uwzględnić przepisy ustawy o rachunkowości (art. 74 tej ustawy).

Pomocne w przestrzeganiu zasady ograniczenia przechowywania jest opracowanie i wdrożenie odpowiednich procedur związanych z usuwaniem danych osobowych. W decyzji z dnia 18 października 2019 r. Prezes UODO wskazał, iż w celu zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania, administrator powinien stworzyć procedury, z których będzie wynikał termin i sposób usuwania informacji zawierających dane osobowe oraz zasady dokonywania przeglądów przetwarzanych danych w celu weryfikacji, czy określone w ten sposób terminy usuwania danych osobowych są przestrzegane (https://uodo.gov.pl/decyzje/ZSPU.421.3.2019).

Warto wskazać, że UODO nie narzuca określonych wzorów postępowania, ale oczekuje od administratora przedstawienia argumentów, które przemawiają za przyjęciem określonych rozwiązań i wykazania spełnienia wynikających z RODO zasad, takich jak: zgodność z prawem, rzetelność i przejrzystość, celowość, minimalizacja danych, prawidłowość, integralność czy poufność. Powyższe wynika z określonej w art. 5 ust. 2 RODO zasady rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie wymienionych w art. 5 ust. 1 RODO zasad dotyczących przetwarzania danych i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności wymaga też, aby administratorzy wykazywali logikę, na której opierają swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania.

2021-12-06 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2021-12-06
Wprowadził‚ informację: Edyta Madziar 2021-12-06 11:12:31
Ostatnio modyfikował: Edyta Madziar 2021-12-06 11:06:35