RODO na uczelni: dowody w postępowaniu sądowym

Przetwarzanie danych osobowych w sektorze szkolnictwa wyższego to proces niezwykle złożony, obejmujący tysiące studentów, doktorantów, pracowników naukowych oraz administracyjnych. Szczególne wyzwanie pojawia się w momencie, gdy dane te stają się kluczowym elementem sporu prawnego. RODO na uczelni nie może być jednak traktowane jako tarcza całkowicie uniemożliwiająca realizację prawa do sądu. Z drugiej strony, uczelnia jako administrator danych osobowych nie może bezkrytycznie przekazywać wszelkich informacji na każde żądanie. Jak zatem pogodzić rygorystyczne przepisy o ochronie danych osobowych z wymogami procedury sądowej? Kiedy uczelnia ma obowiązek udostępnić dokumentację, a kiedy powinna odmówić?

Zderzenie RODO z procedurą sądową – wprowadzenie do problemu

W codziennej praktyce funkcjonowania uczelni wyższych dochodzi do sytuacji, w których dokumenty zawierające dane osobowe (np. protokoły egzaminacyjne, akta osobowe studenta lub pracownika, rejestry logowań do systemów e-learningowych) stają się niezbędne w postępowaniu sądowym. Spory te mogą dotyczyć m.in. odwołań od decyzji o skreśleniu z listy studentów, spraw o mobbing, naruszenie praw autorskich czy sporów pracowniczych.

Uczelnia, występując w roli administratora danych (ADO), musi pamiętać, że każde udostępnienie danych podmiotowi zewnętrznemu – w tym sądowi, prokuraturze czy stronie postępowania – stanowi formę ich przetwarzania. Aby takie działanie było zgodne z prawem, musi opierać się na jednej z przesłanek wymienionych w art. 6 (dla danych zwykłych) lub art. 9 (dla danych szczególnej kategorii) Ogólnego Rozporządzenia o Ochronie Danych (RODO).

Podstawy prawne przetwarzania danych w celach dowodowych

Głównym dylematem, przed którym staje dział prawny uczelni, jest określenie właściwej podstawy prawnej udostępnienia danych na potrzeby procesu. W kontekście postępowań sądowych najczęściej wchodzą w grę dwie podstawy prawne:

  • Artykuł 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek ten najczęściej wynika z przepisów Kodeksu postępowania cywilnego (KPC), Kodeksu postępowania karnego (KPK) lub Kodeksu postępowania administracyjnego (KPA).
  • Artykuł 6 ust. 1 lit. f RODO – prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią. Ta podstawa ma zastosowanie np. wtedy, gdy sama uczelnia dochodzi swoich roszczeń przed sądem (np. o zapłatę czesnego) lub broni się przed roszczeniami byłego pracownika.

Warto podkreślić, że jeśli żądanie udostępnienia danych pochodzi bezpośrednio od sądu lub prokuratury działających na podstawie przepisów proceduralnych, uczelnia ma prawny obowiązek dostarczenia tych informacji. W takim przypadku podstawą prawną jest art. 6 ust. 1 lit. c RODO w związku z konkretnym przepisem procedury sądowej.

Kiedy uczelnia ma obowiązek udostępnić dane na wniosek sądu?

Sądy powszechne oraz organy ścigania posiadają szerokie uprawnienia dowodowe. Jeśli do uczelni wpływa oficjalne postanowienie sądu lub wezwanie do przedłożenia określonych dokumentów, uczelnia ma bezwzględny obowiązek podporządkowania się temu żądaniu. Odmowa wykonania takiego polecenia może skutkować nałożeniem na uczelnię lub jej kierownika kary grzywny.

W takiej sytuacji wniosek sądu precyzuje zakres żądanych informacji. Uczelnia powinna jednak stosować zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Oznacza to, że należy przekazać tylko te dane, które są niezbędne do rozstrzygnięcia sprawy. Jeśli sąd żąda „akt studenckich”, a sprawa dotyczy jedynie weryfikacji oceny z jednego egzaminu, uczelnia powinna rozważyć, czy konieczne jest przesyłanie całej teczki studenta, czy też wystarczający będzie uwierzytelniony wyciąg z protokołu egzaminacyjnego.

Wniosek strony postępowania a obowiązki uczelni

Zupełnie inaczej wygląda sytuacja, gdy z wnioskiem o udostępnienie danych osobowych innego studenta lub pracownika zwraca się bezpośrednio strona postępowania (lub jej pełnomocnik) przed formalnym wszczęciem sprawy lub w jej trakcie, ale bez pośrednictwa sądu. Sam fakt, że ktoś planuje wytoczyć proces lub już go prowadzi, nie stanowi dla uczelni automatycznej podstawy do wydania dokumentów zawierających dane osób trzecich.

W takich przypadkach uczelnia powinna poinformować wnioskodawcę, że udostępnienie danych jest możliwe jedynie na wezwanie odpowiedniego organu prowadzącego postępowanie (np. sądu). Strona może wówczas złożyć wniosek dowodowy do sądu o zobowiązanie uczelni do przedłożenia określonych dokumentów. Dopiero gdy sąd przychyli się do tego wniosku i wyda stosowne wezwanie, uczelnia będzie mogła legalnie przekazać żądane materiały.

Procedura weryfikacji wniosku dowodowego przez uczelnię krok po kroku

Aby zminimalizować ryzyko zarzutu naruszenia przepisów RODO na uczelni, każdy wniosek o udostępnienie danych do celów sądowych powinien przejść rzetelną procedurę weryfikacyjną:

  1. Identyfikacja nadawcy: Należy ustalić, czy wnioskodawcą jest uprawniony organ (sąd, prokuratura, policja), czy też osoba prywatna lub pełnomocnik strony.
  2. Analiza podstawy prawnej: Należy sprawdzić, czy pismo powołuje się na konkretne przepisy prawa (np. art. 248 KPC mówiący o obowiązku przedstawienia dokumentu na żądanie sądu).
  3. Ocena zakresu żądania: Należy zweryfikować, czy żądane dane są adekwatne do celu. Jeśli wniosek jest zbyt szeroki, dopuszczalne jest skontaktowanie się z organem w celu doprecyzowania zakresu.
  4. Anonimizacja danych zbędnych: Jeśli dokument, który należy przedłożyć, zawiera dane osób trzecich niezwiązanych ze sprawą (np. listę ocen całej grupy dziekańskiej), uczelnia ma obowiązek zanonimizować dane pozostałych studentów przed wysłaniem dokumentu do sądu.
  5. Dotrzymanie terminów: Pisma sądowe zazwyczaj wyznaczają określony termin na udzielenie odpowiedzi. Niedopełnienie tego obowiązku w terminie grozi sankcjami procesowymi.
  6. Odnotowanie faktu udostępnienia: Każde przekazanie danych na zewnątrz musi zostać odnotowane w wewnętrznym rejestrze prowadzonym przez Inspektora Ochrony Danych (IOD) uczelni.

Najczęstsze błędy popełniane przez uczelnie

Analiza praktyki pokazuje, że uczelnie wyższe popełniają dwa skrajne błędy. Pierwszym z nich jest tzw. „nadgorliwość RODO”, czyli bezpodstawna odmowa współpracy z sądami pod pretekstem ochrony danych osobowych. Taka postawa utrudnia postępowanie i może narazić uczelnię na kary finansowe. Drugim błędem jest zbyt łatwe i bezrefleksyjne udostępnianie całych pakietów dokumentów bez uprzedniej weryfikacji i anonimizacji danych osób postronnych.

Innym częstym uchybieniem jest brak konsultacji z Inspektorem Ochrony Danych. IOD na uczelni powinien być angażowany w każdą nietypową sprawę dotyczącą udostępniania danych do celów procesowych, aby ocenić ryzyko i pomóc w prawidłowym sformułowaniu odpowiedzi.

Praktyczny przykład: Spór o prawa autorskie do pracy dyplomowej

Wyobraźmy sobie sytuację, w której były student oskarża promotora o przywłaszczenie autorstwa części jego pracy magisterskiej. Student wytacza proces cywilny przeciwko profesorowi. W toku procesu pełnomocnik powoda składa wniosek do sądu o zobowiązanie uczelni do przedstawienia recenzji pracy dyplomowej, protokołu obrony oraz korespondencji mailowej prowadzonej za pośrednictwem uczelnianej poczty elektronicznej.

Sąd przychyla się do wniosku i kieruje do rektora uczelni wezwanie do przedłożenia tych dokumentów w terminie 14 dni. Jak powinna zareagować uczelnia? Uczelnia ma obowiązek udostępnić żądane dokumenty, ponieważ nakazał to sąd (obowiązek prawny). Jednak przed wysłaniem korespondencji mailowej, dział prawny uczelni we współpracy z IOD musi przeanalizować wiadomości i zanonimizować dane innych studentów lub pracowników, których nazwiska mogły pojawić się w treści maili, a które nie mają żadnego związku ze sporem o prawa autorskie.

Podsumowanie i rekomendacje dla działów prawnych uczelni

RODO na uczelni nie stanowi bariery uniemożliwiającej prowadzenie postępowań sądowych, o ile proces udostępniania danych opiera się na jasnych i legalnych podstawach. Kluczem do bezpieczeństwa prawnego uczelni jest przeszkolenie pracowników administracyjnych, ścisła współpraca z Inspektorem Ochrony Danych oraz wypracowanie jasnych procedur weryfikacji każdego wniosku dowodowego. Pamiętając o zasadzie minimalizacji danych oraz dbając o terminowość i rzetelność, uczelnie mogą skutecznie realizować swoje obowiązki wobec wymiaru sprawiedliwości, nie narażając się na zarzuty ze strony organu nadzorczego, jakim jest Prezes Urzędu Ochrony Danych Osobowych (UODO).