Zmiany w ustawie prawo o szkolnictwie wyższym i nauce
Kilka dni temu poinformowaliśmy na naszym portalu o rozpoczęciu serii artykułów dotyczących przepisów wprowadzanych ustawą o zmianie niektórych ustaw w związku
z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679[1]. Wśród zmienionych aktów znajduje się również ustawa z dnia 20 lipca 2018 r. – Prawo
o szkolnictwie wyższym i nauce (Dz. U. poz. 1668, 2024 i 2245 oraz z 2019 r. poz. 276). Jak daleko idą zmiany?
Najważniejsze fragmenty nowelizacji
DZIAŁ XIVa
Przetwarzanie danych osobowych
Art. 469a. Obowiązek wynikający z realizacji żądania zgłoszonego na podstawie art. 16 rozporządzenia […] wykonuje podmiot, który pozyskał dane od osoby, której dane dotyczą.
Art. 469b.
1.Do przetwarzania danych osobowych przez podmioty, o których mowa w art. 7 ust. 1 pkt 1 i 4–7, do celów badań naukowych i prac rozwojowych wyłącza się stosowanie przepisów art. 15, art. 16, art. 18 i art. 21 [RODO], jeżeli zachodzi prawdopodobieństwo, że prawa określone w tych przepisach uniemożliwią lub poważnie utrudnią realizację celów badań […] i jeżeli wyłączenia te są konieczne do realizacji tych celów.
2. W zakresie niezbędnym do prowadzenia badań naukowych i prac rozwojowych dopuszcza się przetwarzanie danych osobowych [wrażliwych] pod warunkiem że publikowanie wyników tych badań i prac następuje w sposób uniemożliwiający identyfikację osoby fizycznej, której dane zostały przetworzone.
3. Przy przetwarzaniu danych osobowych, o których mowa w ust. 1 i 2, administrator danych wdraża odpowiednie zabezpieczenia […] zgodnie z rozporządzeniem 2016/679, w szczególności przez pseudonimizację albo szyfrowanie danych, nadawanie uprawnień do ich przetwarzania minimalnej liczbie osób niezbędnych do prowadzenia badań naukowych i prac rozwojowych, kontrolę dostępu do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe, oraz opracowanie procedury określającej sposób zabezpieczenia danych.
4. Dane osobowe, o których mowa w ust. 1 i 2, poddaje się anonimizacji niezwłocznie po osiągnięciu celu badań naukowych lub prac rozwojowych. Do tego czasu dane, które można wykorzystać do identyfikacji danej osoby fizycznej, zapisuje się osobno. Można je łączyć z informacjami szczegółowymi dotyczącymi danej osoby fizycznej wyłącznie, jeżeli wymaga tego cel badań naukowych lub prac rozwojowych.
Komentarz
Najważniejsze zmiany są zawarte w nowowprowadzonym artykule 469b ustawy o szkolnictwie wyższym i nauce. W jego ustępie 1 nałożono pewne ograniczenia na możliwość korzystania ze swoich praw przez osoby, których dane dotyczą. Obejmują one prawo dostępu do danych osobowych, ich sprostowania, ograniczenia przetwarzania oraz prawo do wyrażenia sprzeciwu. Należy jednak zauważyć, że ograniczenia te można zastosować jedynie wtedy, gdy istnieje prawdopodobieństwo, że realizacja tych praw uniemożliwi lub poważnie utrudni realizację celów badania oraz jeżeli wyłączenia są dla nich konieczne. Tak wiec ograniczenie to nie ma charakteru bezwzględnego i będzie musiało być analizowane osobno w poszczególnych przypadkach.
W uzasadnienie do projektu wskazano, iż „RODO dopuszcza możliwość ograniczenia w ustawodawstwie krajowym praw osób fizycznych, związanych z ochroną ich danych osobowych, jeżeli miałoby to umożliwić prowadzenie działalności badawczej i byłoby podyktowane interesem publicznym. Warunkiem jest, aby cele działalności badawczej, w ramach których dane osobowe są przetwarzane, nie naruszały istoty prawa do ochrony tych danych i przewidywały odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby fizycznej, której dane dotyczą. Dodawane przepisy pozwolą zabezpieczyć szereg sytuacji, w których przetwarzanie danych osobowych jest niezbędne do realizacji celów badawczych. Dotyczy to zwłaszcza badań o charakterze sektorowym prowadzonych na dużej populacji osób”.
W ustępie 2 zezwolono na przetwarzanie szczególnych kategorii danych osobowych o których mowa w art. 9 RODO (tzw. danych wrażliwych). Przepis ten nie powinien budzić wątpliwości, ponieważ niektórych badań, np. w dziedzinie zdrowia nie da się przeprowadzić bez danych wrażliwych. Ponadto należy pamiętać, że konkretny podmiot może przetwarzać jedynie te dane, które są niezbędne dla celu badania, tak więc pomimo tego, że może przetwarzać dane wrażliwe to nadal jest ograniczony zasadą minimalizacji danych.
Ustępy 3 oraz 4 dotyczą środków technicznych oraz organizacyjnych służących zabezpieczeniu danych osobowych. Omawiany przepis powtarza sformułowanie zawarte w art. 33 RODO, ale dodatkowo dodaje także nowe środki, które powinny być przyjęte w przypadku badań. Należą do nich nadawanie uprawnień do przetwarzania danych minimalnej liczbie osób niezbędnych do prowadzenia badań, kontrolę dostępu do pomieszczeń gdzie przechowywane są dane oraz opracowanie procedury zabezpieczenia danych. Ponadto na administratora nałożono obowiązek zastosowania pseudonimizacji danych, tj. zapisywanie danych służących identyfikacji osobno od pozostałych informacji.
Podsumowanie
Zmiany wprowadzone ustawą o szkolnictwie wyższym oraz nauce wydają się najistotniejsze
w punkcie, który dotyczy ograniczenia praw osób, których dane dotyczą, jednak uzasadnienie przedstawione w ustawie dot. m. in. tego, że spełnienie wszystkich praw w przypadku badań odbywających się na dużych populacjach wymagałoby niewspółmiernie wysokich nakładów należy uznać za racjonalne. Pozytywnie trzeba także ocenić doprecyzowanie środków technicznych i organizacyjnych, co może pomóc zapewnić wysoki poziom ochrony danych,
a w szczególności ich szczególnych kategorii.
[1] Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
