Prawo PL - Profesjonalny portal prawny

Jak chroni─ç dane osobowe w szkole

Problematyka danych osobowych jest w naszym kraju wci─ů┼╝ jeszcze s┼éabo poznana, a ┼Ťwiadomo┼Ť─ç w zakresie przepis├│w reguluj─ůcych to zagadnienie jest niewystarczaj─ůca. Sfera o┼Ťwiaty nie stanowi w tym wypadku wyj─ůtku - ka┼╝dego kolejnego roku Generalny Inspektor Danych Osobowych (dalej "GIODO") wydaje decyzje ┼Ťwiadcz─ůce o tym, ┼╝e znajomo┼Ť─ç przepis├│w traktuj─ůcych o ochronie danych osobowych nie jest w┼Ťr├│d przedstawicieli szkolnictwa wystarczaj─ůca, a je┼╝eli nawet znajomo┼Ť─ç owych przepis├│w nie budzi zastrze┼╝e┼ä, to nad wyraz cz─Östo rodz─ů one problemy interpretacyjne.

W poni┼╝szym om├│wieniu przybli┼╝ono zagadnienia zwi─ůzane z┬áochron─ů danych osobowych, kt├│rych zg┼é─Öbienie wydaje si─Ö nieodzowne dla os├│b funkcjonuj─ůcych w┬ásferze o┼Ťwiaty. Lepsze poznanie odpowiednich regulacji mo┼╝e si─Ö okaza─ç przydatne zw┼éaszcza obecnie, w┬áprzededniu premiery nowego Systemu Informacji O┼Ťwiatowej.


Podstawowe regulacje

Kluczow─ů rol─Ö w┬ázakresie prawnej regulacji ochrony danych osobowych w┬áPolsce odgrywa ustawa z┬ádnia 29.08.1999 r. o┬áochronie danych osobowych (Dz.U. z┬á2002 r. Nr┬á101, poz. 926, z┬áp├│┼║n. zm.), okre┼Ťlana dalej skr├│tem u.o.d.o. Ustawa okre┼Ťla m.in., w┬ájakich sytuacjach i┬ájakie dane osobowe mog─ů podlega─ç przetwarzaniu, precyzuje wymogi stawiane administratorom danych, a┬átak┼╝e okre┼Ťla prawne konsekwencje naruszenia postanowie┼ä w┬ániej zawartych.

Zakres podmiot├│w podlegaj─ůcych regulacjom u.o.d.o. wskazany zosta┼é w┬áart. 3 tej┼╝e ustawy. Ustaw─Ö stosuje si─Ö do organ├│w pa┼ästwowych, organ├│w samorz─ůdu terytorialnego oraz┬ádo pa┼ästwowych i┬ákomunalnych jednostek organizacyjnych. Znajduje ona tak┼╝e zastosowanie, z┬ánielicznymi wyj─ůtkami, w┬áodniesieniu do:

  • podmiot├│w niepublicznych realizuj─ůcych zadania publiczne,
  • os├│b fizycznych i┬áos├│b prawnych oraz┬ájednostek organizacyjnych nieb─Öd─ůcych osobami prawnymi, je┼╝eli przetwarzaj─ů dane osobowe w┬ázwi─ůzku z┬ádzia┼éalno┼Ťci─ů zarobkow─ů , zawodow─ů lub┬ádla realizacji cel├│w statutowych

ÔÇô kt├│re maj─ů siedzib─Ö lub┬ámiejsce zamieszkania na┬áterytorium RP albo┬áw┬ápa┼ästwie trzecim, o┬áile przetwarzaj─ů dane osobowe przy wykorzystaniu ┼Ťrodk├│w technicznych znajduj─ůcych si─Ö na┬áterytorium RP. Oznacza to, ┼╝e przepisy u.o.d.o. znajduj─ů zastosowanie tak┼╝e w┬ádzia┼éalno┼Ťci szk├│┼é oraz┬ájednostek, kt├│re przetwarzaj─ů dane osobowe w┬áramach dzia┼éalno┼Ťci na┬ápolu o┼Ťwiaty (np. organ├│w prowadz─ůcych).


Dane i ich przetwarzanie

Przedmiot regulacji u.o.d.o. stanowi ochrona danych osobowych. Nie wszystkie informacje dotycz─ůce osoby stanowi─ů dane osobowe w┬ározumieniu cytowanej ustawy. Przez ÔÇ×dane osoboweÔÇŁ nale┼╝y w┬átym wypadku rozumie─ç tylko informacje dotycz─ůce zidentyfikowanej lub┬ámo┼╝liwej do zidentyfikowania osoby fizycznej. Osob─ů mo┼╝liw─ů do zidentyfikowania jest z┬ákolei osoba, kt├│rej to┼╝samo┼Ť─ç mo┼╝na okre┼Ťli─ç bezpo┼Ťrednio lub┬ápo┼Ťrednio, w┬ászczeg├│lno┼Ťci przez powo┼éanie si─Ö na┬ánumer identyfikacyjny albo┬ájeden lub┬ákilka specyficznych czynnik├│w okre┼Ťlaj─ůcych jej cechy fizyczne, fizjologiczne, umys┼éowe, ekonomiczne, kulturowe lub┬áspo┼éeczne. Danymi osobowymi b─Öd─ů zatem np. obrazy zarejestrowane przez szkolny monitoring, je┼╝eli na┬áich podstawie mo┼╝liwa jest identyfikacja osoby. Informacji nie uwa┼╝a si─Ö za umo┼╝liwiaj─ůce okre┼Ťlenie to┼╝samo┼Ťci osoby, je┼╝eli wymaga┼éoby to┬ánadmiernych koszt├│w, czasu lub┬ádzia┼éa┼ä.

Ochrona tak pojmowanych danych osobowych dotyczy procesu ich przetwarzania. Przez przetwarzanie nale┼╝y rozumie─ç szereg czynno┼Ťci, pocz─ůwszy od zbierania danych, a┬ána┬áich usuwaniu sko┼äczywszy. W u.o.d.o. zdefiniowano przetwarzanie jako jakiekolwiek operacje wykonywane na┬ádanych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost─Öpnianie i┬áusuwanie, a┬ázw┼éaszcza te, kt├│re wykonuje si─Ö w┬ásystemach informatycznych.

Ochrona danych w┬áprzypadku regulacji u.o.d.o. obejmuje ich przetwarzanie w┬ázbiorach danych ÔÇô posiadaj─ůcych struktur─Ö zestawach danych o┬ácharakterze osobowym, dost─Öpnych wed┼éug okre┼Ťlonego kryterium, niezale┼╝nie od tego, czy zestaw jest rozproszony lub┬ápodzielony funkcjonalnie. Przyk┼éadem mog─ů by─ç w┬átym wypadku kartoteki, skorowidze, ksi─Ögi i┬áwykazy. Ustawodawca przewidzia┼é tak┼╝e jeden wyj─ůtek ÔÇô przepisy u.o.d.o. stosuje si─Ö mianowicie do przetwarzania danych w┬ásystemach informatycznych, nawet je┼╝eli przetwarzanie to┬áma miejsce poza zbiorem danych.


Administrator danych

Wa┼╝n─ů rol─Ö w┬ákontek┼Ťcie ochrony danych osobowych pe┼éni administrator tych┼╝e danych. W my┼Ťl u.o.do. jest to┬áorgan, jednostka organizacyjna, podmiot lub┬áosoba decyduj─ůce o┬ácelach i┬á┼Ťrodkach przetwarzania danych osobowych. W przypadku przedszkoli, szk├│┼é i┬áinnych plac├│wek o┼Ťwiatowych to┬áw┼éa┼Ťnie same te podmioty s─ů administratorami danych osobowych.

Obowi─ůzki administratora, jako osoba kieruj─ůca dzia┼éalno┼Ťci─ů szko┼éy lub┬áplac├│wki, wykonuje jej dyrektor. Status administratora nie przys┼éuguje natomiast jednostkom obs┼éugi administracyjno-ekonomicznej szk├│┼é. GIODO rozstrzygn─ů┼é, ┼╝e jednostki takie nale┼╝y traktowa─ç jak podmioty, o┬ákt├│rych mowa w┬áart. 31 u.o.d.o., przetwarzaj─ůce dane osobowe na┬ázlecenie administratora. Stosuje si─Ö do nich zatem przepisy dotycz─ůce powierzenia przetwarzania danych osobowych.

Jak stanowi u.o.d.o., administrator danych mo┼╝e powierzy─ç przetwarzanie danych innemu podmiotowi. Mo┼╝e to┬áuczyni─ç na┬ádrodze umowy zawartej w┬áformie pisemnej. Wspomniany podmiot mo┼╝e przetwarza─ç dane wy┼é─ůcznie w┬ázakresie przewidzianym w┬áumowie. Zanim jednak w┬áog├│le do przetwarzania przeze┼ä danych dojdzie, musi on podj─ů─ç wszystkie ┼Ťrodki zabezpieczaj─ůce zbi├│r danych, o┬ákt├│rych b─Ödzie jeszcze mowa przy okazji wyszczeg├│lniania obowi─ůzk├│w administratora dotycz─ůcych zabezpieczania danych.


Zasady przetwarzania

W ustawie wyróżnia się zwykłe dane osobowe i tzw. dane wrażliwe. Do tej drugiej grupy zalicza się dane:

  • ujawniaj─ůce pochodzenie rasowe lub┬áetniczne,
  • ujawniaj─ůce pogl─ůdy polityczne, przekonania religijne lub┬áfilozoficzne,
  • ujawniaj─ůce przynale┼╝no┼Ť─ç wyznaniow─ů, partyjn─ů lub┬ázwi─ůzkow─ů,
  • o stanie zdrowia, kodzie genetycznym, na┼éogach lub┬á┼╝yciu seksualnym,
  • dotycz─ůce skaza┼ä, orzecze┼ä o┬áukaraniu i┬ámandat├│w karnych, a┬átak┼╝e innych orzecze┼ä wydanych w┬ápost─Öpowaniu s─ůdowym lub┬áadministracyjnym.

Przetwarzanie ww. danych jest zabronione, o┬áile nie wyst─ůpi─ů wskazane w┬áu.o.d.o. wyj─ůtki.

Przetwarzanie zwyk┼éych danych osobowych jest, co do zasady, dopuszczalne, ale by by┼éo ono zgodne z┬áprawem, konieczne jest wyst─ůpienie przynajmniej jednej z┬áwymienionych w┬áu.o.d.o. przes┼éanek. Przetwarzanie jest dopuszczalne, gdy:

  • osoba, kt├│rej dane dotycz─ů, wyrazi na┬áto zgod─Ö, chyba ┼╝e chodzi o┬áusuni─Öcie dotycz─ůcych jej danych (zgoda mo┼╝e obejmowa─ç tak┼╝e przetwarzanie danych w┬áprzysz┼éo┼Ťci, je┼╝eli nie zmienia si─Ö cel przetwarzania); wyj─ůtkowo mo┼╝na przetwarza─ç dane bez zgody, gdy jest ona wymagana ÔÇô je┼╝eli pozyskanie zgody jest niemo┼╝liwe, a┬áprzetwarzanie danych jest niezb─Ödne dla ochrony interes├│w osoby, kt├│rej dane dotycz─ů, mo┼╝na przetwarza─ç dane bez zgody a┼╝ do czasu, gdy uzyskanie zgody stanie si─Ö mo┼╝liwe,
  • jest to┬ákonieczne dla realizacji umowy, gdy osoba, kt├│rej dane dotycz─ů, jest jej stron─ů lub┬ágdy jest to┬ániezb─Ödne do podj─Öcia dzia┼éa┼ä przed zawarciem umowy na┬á┼╝─ůdanie osoby, kt├│rej dane dotycz─ů,
  • jest niezb─Ödne do wykonywania okre┼Ťlonych prawem dzia┼éa┼ä realizowanych dla dobra publicznego,
  • jest to┬ániezb─Ödne dla wype┼énienia prawnie usprawiedliwionych cel├│w realizowanych przez administrator├│w danych albo┬áodbiorc├│w danych, a┬áprzetwarzanie nie narusza praw i┬áwolno┼Ťci osoby, kt├│rej dane dotycz─ů.

Przetwarzanie jest dopuszczalne tak┼╝e wtedy, gdy jest ono niezb─Ödne dla zrealizowania uprawnienia lub┬áspe┼énienia obowi─ůzku wynikaj─ůcego z┬áprzepisu prawa. Powo┼éanie si─Ö na┬áprzepis m├│wi─ůcy o┬ániezb─Ödno┼Ťci przetwarzania z┬áracji uprawnienia lub┬ákonieczno┼Ťci spe┼énienia obowi─ůzku wynikaj─ůcego z┬áprzepisu prawa nie b─Ödzie jednak uzasadnione, je┼╝eli przetwarzanie dotyczy danych wykraczaj─ůcych poza przepisami okre┼Ťlony zakres.

Przykład 1

Organ prowadz─ůcy przetwarza dane nauczycieli w┬áoparciu o┬áprzepisy ustawy z┬ádnia 19.02.2004 r. o┬ásystemie informacji o┼Ťwiatowej (Dz.U. Nr┬á49, poz. 463, z┬áp├│┼║n zm.). Przetwarzaniu podlegaj─ů m.in. imiona i┬ánazwiska nauczycieli, cho─ç w┬áustawie o┬átakich danych si─Ö nie wspomina. Organ argumentuje, ┼╝e takie dane s─ů niezb─Ödne do tego, by m├│g┼é realizowa─ç ustawowe obowi─ůzki. Czy s┼éusznie?

Podmioty powo┼éuj─ůce si─Ö na┬áobowi─ůzek wynikaj─ůcy z┬áprzepis├│w prawa przetwarzaj─ů niekiedy dane osobowe w┬ázakresie szerszym, ani┼╝eli pozwalaj─ů na┬áto konkretne przepisy. Jako przyk┼éad pos┼éu┼╝y─ç mo┼╝e chocia┼╝by przetwarzanie przez j.s.t. danych osobowych nauczycieli, wychowawc├│w i┬áinnych pracownik├│w pedagogicznych w┬áoparciu o┬áprzepisy wspomnianej ustawy o┬ásystemie informacji o┼Ťwiatowej. Zgodnie z┬áart. 3 ust. 4 pkt 1 ustawy zbi├│r danych o┬áwspomnianych osobach zawiera informacje na┬átemat numeru PESEL, p┼éci, roku urodzenia, formy i┬áwymiaru zatrudnienia, stopnia awansu zawodowego, wykszta┼écenia, przygotowania pedagogicznego, a┬átak┼╝e informacje o┬áformie kszta┼écenia i┬ádoskonalenia, sprawowanych funkcjach i┬ázajmowanych stanowiskach, rodzajach prowadzonych zaj─Ö─ç albo┬áprzyczynach nieprowadzenia zaj─Ö─ç, sta┼╝u pracy, wysoko┼Ťci wynagrodzenia z┬áwyszczeg├│lnieniem jego sk┼éadnik├│w i┬áwysoko┼Ťci niekt├│rych dodatk├│w. Zdarza si─Ö, ┼╝e podobnie jak w┬ázaprezentowanym przyk┼éadzie j.s.t., powo┼éuj─ůc si─Ö na┬áww. przepis, przetwarzaj─ů tak┼╝e imiona i┬ánazwiska nauczycieli, wychowawc├│w i┬áinnych pracownik├│w pedagogicznych. Tymczasem w┬á┼Ťwietle przywo┼éanej regulacji oczywistym jest, ┼╝e nie s─ů do tego uprawnione.

Do administratora nale┼╝─ů decyzje w┬áprzedmiocie cel├│w przetwarzania i┬áu┼╝ytych do tego ┼Ťrodk├│w. Zgodnie z┬áart. 26 u.o.d.o. powinien on przede wszystkim do┼éo┼╝y─ç szczeg├│lnej staranno┼Ťci w┬ácelu ochrony interes├│w os├│b, kt├│rych dane dotycz─ů, a┬áw┬ászczeg├│lno┼Ťci jest obowi─ůzany zapewni─ç, aby dane by┼éy:

  • przetwarzane zgodnie z┬áprawem,
  • zbierane dla oznaczonych, zgodnych z┬áprawem cel├│w i┬ániepoddawane dalszemu przetwarzaniu niezgodnemu z┬átymi celami,
  • merytorycznie poprawne i┬áadekwatne w┬ástosunku do cel├│w, w┬ájakich s─ů przetwarzane,
  • przechowywane w┬ápostaci umo┼╝liwiaj─ůcej identyfikacj─Ö os├│b, kt├│rych dane dotycz─ů, nie d┼éu┼╝ej ni┼╝ jest to┬ániezb─Ödne do osi─ůgni─Öcia celu przetwarzania.

Przykład 2

Dyrektor szko┼éy zaleci┼é umieszczanie w┬ádziennikach lekcyjnych informacji o┬ámiejscach i┬ástanowiskach pracy rodzic├│w. Twierdzi, ┼╝e informacje takie mog─ů by─ç potrzebne w┬árazie konieczno┼Ťci nawi─ůzania kontaktu z┬árodzicem. Czy twierdzenie dyrektora jest s┼éuszne?

Cho─ç ka┼╝dy przypadek przetwarzania nale┼╝y ocenia─ç odr─Öbnie, w┬ápowo┼éanej sytuacji mo┼╝na z┬ádu┼╝─ů doz─ů prawdopodobie┼ästwa za┼éo┼╝y─ç, ┼╝e przetwarzanie wspomnianych danych nie jest zgodne z┬áregulacjami u.o.d.o. Nale┼╝y zauwa┼╝y─ç, ┼╝e dane powinny by─ç nade wszystko adekwatne w┬ástosunku do cel├│w, w┬ájakich s─ů przetwarzane. Osi─ůgni─Öcie celu, jakim jest skontaktowanie si─Ö z┬árodzicami, nie wymaga tymczasem znajomo┼Ťci ich miejsca zatrudnienia, a┬átym bardziej zajmowanego stanowiska. Za dopuszczalne nale┼╝y natomiast uzna─ç w┬átym kontek┼Ťcie przetwarzanie informacji dotycz─ůcych numer├│w telefon├│w uczni├│w (opiekun├│w prawnych) cho─ç pozyskiwania tego typu danych nie przewidziano w┬ástosownych aktach prawnych.
 

Szko┼éy i┬áplac├│wki ÔÇô przes┼éanki przetwarzania

Przetwarzanie danych osobowych przez szko┼éy i┬áplac├│wki odbywa si─Ö na┬áog├│┼é w┬áoparciu o┬ánast─Öpuj─ůce przes┼éanki:

  • przetwarzanie jest niezb─Ödne do realizacji uprawnienia lub┬áspe┼énienia obowi─ůzku wynikaj─ůcego z┬áprzepisu prawa,
  • osoba, kt├│re dane dotycz─ů, wyrazi┼éa zgod─Ö na┬áich przetwarzanie.

Uprawnienie lub┬áobowi─ůzek

Cho─ç problematyka ochrony danych osobowych zosta┼éa do┼Ť─ç kompleksowo uregulowana w┬áu.o.d.o., ocena zgodno┼Ťci ich przetwarzania z┬áprawem wymaga niekiedy znajomo┼Ťci przepis├│w innych akt├│w prawnych. Ma to┬ázwi─ůzek cho─çby z┬áomawian─ů ju┼╝ przes┼éank─ů dopuszczalno┼Ťci przetwarzania danych osobowych, zgodnie z┬ákt├│r─ů dopuszcza si─Ö przetwarzanie, je┼╝eli jest ono niezb─Ödne do zrealizowania uprawnienia lub┬áspe┼énienia obowi─ůzku wynikaj─ůcego z┬áprzepisu prawa.

W przypadku jednostek funkcjonuj─ůcych w┬áoparciu o┬áu.s.o. przepisy nak┼éadaj─ůce takie obowi─ůzki zawarte s─ů m.in. we wspomnianej ustawie, a┬átak┼╝e w┬ározp. MENiS z┬ádn. 19.02.2002 r. w┬ásprawie sposobu prowadzenia przez publiczne przedszkola, szko┼éy i┬áplac├│wki dokumentacji przebiegu nauczania, dzia┼éalno┼Ťci wychowawczej i┬áopieku┼äczej oraz┬árodzaj├│w tej dokumentacji (Dz.U. Nr┬á23, poz. 225, z┬áp├│┼║n. zm.), zw. dalej ÔÇ×rozporz─ůdzeniem o┬ádokumentacjiÔÇŁ.

Zgodnie z┬áprzepisami rozporz─ůdzenia plac├│wki o┼Ťwiatowe maj─ů za zadanie prowadzi─ç dokumentacj─Ö, wymagaj─ůc─ů pozyskiwania danych osobowych. Przyk┼éadowo:

  • przedszkole i┬ászko┼éa podstawowa, w┬ákt├│rej zorganizowano oddzia┼é przedszkolny prowadz─ů dla ka┼╝dego oddzia┼éu dziennik zaj─Ö─ç przedszkola; do dziennika zaj─Ö─ç wpisuje si─Ö nazwiska i┬áimiona dzieci, daty i┬ámiejsca ich urodzenia, nazwiska i┬áimiona rodzic├│w (prawnych opiekun├│w) i┬áadresy ich zamieszkania,
  • szko┼éa podstawowa prowadzi ksi─Ög─Ö ewidencji dzieci podlegaj─ůcych obowi─ůzkowi odbycia rocznego przygotowania przedszkolnego i┬áobowi─ůzkowi szkolnemu, zamieszka┼éych w┬áobwodzie szko┼éy, gimnazjum┬á z┬ákolei prowadzi ksi─Ög─Ö ewidencji dzieci i┬ám┼éodzie┼╝y b─Öd─ůcych absolwentami szko┼éy podstawowej, podlegaj─ůcych obowi─ůzkowi szkolnemu, zamieszka┼éych w┬áobwodzie gimnazjum; ksi─Öga zawiera informacje o┬áimieniu (imionach) i┬ánazwisku, dacie i┬ámiejscu urodzenia, numerze PESEL i┬áadresie zamieszkania dziecka, a┬átak┼╝e o┬áimionach i┬ánazwiskach rodzic├│w (prawnych opiekun├│w) oraz┬áadresach ich zamieszkania.

Zbli┼╝ony zakres danych osobowych obejmuj─ů tak┼╝e inne, przewidziane rozporz─ůdzeniem zbiory, tj. prowadzone przez szko┼éy ksi─Ögi uczni├│w i┬ádzienniki lekcyjne czy te┼╝ ksi─Ögi wychowank├│w i┬ádzienniki zaj─Ö─ç wychowawczych prowadzone przez specjalne o┼Ťrodki szkolno-wychowawcze, specjalne o┼Ťrodki wychowawcze oraz┬áplac├│wki zapewniaj─ůce opiek─Ö i┬áwychowanie uczniom w┬áokresie pobierania nauki poza miejscem sta┼éego zamieszkania.

Tak w┬áprzypadku tych, jak i┬áinnych ksi─ůg i┬ádziennik├│w, rozporz─ůdzenie wymienia dane osobowe, jakie powinny w┬ánich by─ç zawarte. Mo┼╝liwo┼Ť─ç pozyskiwania tych danych nie mo┼╝e by─ç przez nikogo kwestionowana ÔÇô w┬átym wypadku mamy do czynienia z┬ádopuszczalno┼Ťci─ů przetwarzania danych, jako niezb─Ödnych dla spe┼énienia obowi─ůzku wynikaj─ůcego z┬áprzepisu prawa.

Na marginesie w┼éa┼Ťciwych rozwa┼╝a┼ä nale┼╝y przypomnie─ç, ┼╝e dzienniki, o┬ákt├│rych mowa w┬ározporz─ůdzeniu o┬ádokumentacji, a┬ázatem:

  • dziennik zaj─Ö─ç przedszkola,
  • dziennik lekcyjny,
  • dziennik zaj─Ö─ç w┬á┼Ťwietlicy,
  • dziennik zaj─Ö─ç wychowawczych,
  • dziennik zaj─Ö─ç dydaktyczno-wyr├│wnawczych┬á i┬áspecjalistycznych,
  • dziennik zaj─Ö─ç rewalidacyjno-wychowawczych,
  • dziennik zaj─Ö─ç prowadzonych w┬ágodzinach ÔÇ×karcianychÔÇŁ,
  • dziennik prowadzony przez pedagoga lub┬ápsychologa zatrudnionego w┬áprzedszkolu, szkole lub┬áplac├│wce,
  • dziennik zaj─Ö─ç sta┼éych oraz┬ádziennik zaj─Ö─ç okresowych i┬áokazjonalnych ka┼╝dego ko┼éa lub, w┬áprzypadku plac├│wki kszta┼écenia praktycznego, grupy uczni├│w,

mog─ů by─ç prowadzone w┬áformie elektronicznej. Jak zauwa┼╝y┼é GIODO, prowadzenie dziennik├│w w┬átakiej formie nie narusza prawa do ochrony danych osobowych uczni├│w. W┼éa┼Ťciwie prowadzony e-dziennik nie stanowi zagro┼╝enia dla bezpiecze┼ästwa danych, mo┼╝e wr─Öcz stanowi─ç u┼éatwienie w┬áramach ich ochrony.

Zgoda na przetwarzanie

W przypadku gdy szko┼éa zamierza przetwarza─ç dane osobowe w┬ázakresie szerszym ani┼╝eli wynikaj─ůcy z┬áprzepis├│w prawa, konieczne staje si─Ö uzyskanie zgody zainteresowanej osoby na┬áprzetwarzanie tych danych. O┼Ťwiadczenie o┬ázgodzie powinno wskazywa─ç podmiot, kt├│ry ma dane przetwarza─ç, a┬átak┼╝e zakres danych i┬ácel ich przetwarzania. Zgody nie mo┼╝na domniemywa─ç w┬áoparciu o┬áo┼Ťwiadczenie woli innej tre┼Ťci, nie mo┼╝e ona by─ç tak┼╝e dorozumiana. Nale┼╝y ponadto pami─Öta─ç o┬átym, ┼╝e zgod─Ö w┬áodniesieniu do przetwarzania danych osoby niepe┼énoletniej nale┼╝y uzyska─ç od jej rodzic├│w (opiekun├│w prawnych).
 

Przetwarzanie w┬áo┼Ťwiacie ÔÇô przyk┼éadowe zagadnienia problemowe

Dane uczni├│w

Obok danych nauczycieli, dane uczni├│w podlegaj─ů przetwarzaniu w┬ájednostkach o┼Ťwiatowych w┬ánajszerszym zakresie. Skali przetwarzania danych odpowiada w┬átym wypadku skala w─ůtpliwo┼Ťci dotycz─ůcych tego procesu. Oto przyk┼éadowe problemy, jakie wyst─ůpi─ç mog─ů w┬ázwi─ůzku z┬áprzetwarzaniem danych uczni├│w:

  • dane osobowe uczni├│w mog─ů by─ç udost─Öpniane tylko w├│wczas, gdy zachodz─ů przes┼éanki przetwarzania; na┬ámocy ┬ž 5 ust. 1 rozp. MEN z┬ádn. 30.04.2007 r. w┬ásprawie warunk├│w i┬ásposobu oceniania, klasyfikowania i┬ápromowania uczni├│w i┬ás┼éuchaczy oraz┬áprzeprowadzania sprawdzian├│w i┬áegzamin├│w w┬ászko┼éach publicznych (Dz.U. Nr┬á83, poz. 562, z┬áp├│┼║n. zm.) dane dotycz─ůce ocen ucznia maj─ů w┬ázwi─ůzku z┬átym prawo pozna─ç jego rodzice (prawni opiekunowie); prawo takie nie przys┼éuguje natomiast innym ni┼╝ ucze┼ä i┬árodzice (opiekunowie prawni) osobom (np. babci), bez wzgl─Ödu na┬ástopie┼ä pokrewie┼ästwa mi─Ödzy nimi a┬áuczniem;
  • zgodnie z┬ácytowanym przepisem rodzicom (opiekunom prawnym) przys┼éuguje prawo do zapoznania si─Ö z┬áocenami ucznia; ucze┼ä nie mo┼╝e wy┼é─ůczy─ç prawa swoich rodzic├│w (prawnych opiekun├│w) do zapoznania si─Ö ze swoimi ocenami nawet po osi─ůgni─Öciu pe┼énoletnio┼Ťci, przepisy nie nadaj─ů mu bowiem takiego uprawnienia;
  • w my┼Ťl obowi─ůzuj─ůcych przepis├│w zamieszczenie na┬átablicy og┼éosze┼ä list dzieci wraz z┬áwyszczeg├│lnieniem kwot zaleg┼éych op┼éat nie mo┼╝e by─ç traktowane jako jednoznacznie naruszaj─ůce przepisy u.o.d.o.; administrator danych powinien jednak wskaza─ç przynajmniej jedn─ů przes┼éank─Ö przetwarzania, kt├│ra czyni je zgodnym z┬áwymogami u.o.d.o.

Dane nauczycieli

Nauczyciele s─ů zatrudnieni w┬ászkole, w┬ázwi─ůzku z┬áczym szko┼éa, jako pracodawca, musi przetwarza─ç ich dane osobowe. Podobnie jak w┬áprzypadku uczni├│w, kwestia uprawnie┼ä do przetwarzania rodzi okre┼Ťlone w─ůtpliwo┼Ťci, o┬áczym szerzej poni┼╝ej:

  • przekazanie przez dyrektora organowi prowadz─ůcemu danych osobowych nauczyciela w┬ázwi─ůzku z┬áprowadzonym post─Öpowaniem o┬ánadanie stopnia awansu zawodowego nie narusza przepis├│w u.o.d.o., o┬áile tylko przekazaniu podlegaj─ů dane adekwatne do celu ich p├│┼║niejszego przetwarzania; przetwarzanie danych GIODO uzna┼é w┬átym wypadku za niezb─Ödne do wykonywania okre┼Ťlonych prawem zada┼ä realizowanych dla dobra publicznego;
  • za nielegalne uzna┼é GIODO upublicznianie zarz─ůdze┼ä dyrektora szko┼éy, informuj─ůcych o┬ábraku kwalifikacji wymienionych z┬áimienia i┬ánazwiska nauczycieli; zdaniem GIODO taka praktyka mo┼╝e prowadzi─ç do udost─Öpnienia danych osobowych nauczycieli osobom nieuprawnionym;
  • ┼╝adne przepisy nie uzasadniaj─ů przekazywania organowi prowadz─ůcemu pe┼énych akt osobowych pracownik├│w zatrudnionych w┬ászko┼éach; nauczyciel jest bowiem zatrudniony w┬ászkole, a┬ákierownikiem zak┼éadu pracy jest w┬átym wypadku dyrektor i┬áto on jest administratorem danych osobowych pracownik├│w zwi─ůzanych ze stosunkiem pracy.

Dane rodzic├│w

Rodzice to┬átrzecia kategoria os├│b, kt├│rych dane podlegaj─ů cz─Östemu przetwarzaniu przez jednostki dzia┼éaj─ůce na┬ápodstawie przepis├│w u.s.o. Tak┼╝e i┬áw┬áprzypadku tych danych dochodzi do spor├│w na┬átle legalno┼Ťci ich przetwarzania:

  • GIODO uzna┼é, ┼╝e publikuj─ůc adresy zamieszkania cz┼éonk├│w rady rodzic├│w dyrektor ingeruje w┬ásfer─Ö ┼╝ycia prywatnego wspomnianych os├│b; rada rodzic├│w powinna okre┼Ťli─ç zasady kontaktowania si─Ö z┬áni─ů w┬ástosownym regulaminie;
  • dyrektor likwidowanej szko┼éy nie mo┼╝e odm├│wi─ç organowi prowadz─ůcemu udost─Öpnienia adres├│w korespondencyjnych rodzic├│w (prawnych opiekun├│w) uczni├│w, je┼╝eli organ zamierza wykorzysta─ç adresy do poinformowania ww. os├│b o┬áplanach likwidacyjnych; u.s.o. w┬áart. 59 ust. 1 nak┼éada na┬áorgan prowadz─ůcy obowi─ůzek powiadomienia rodzic├│w uczni├│w o┬áplanowanej likwidacji szko┼éy co najmniej na┬á6 miesi─Öcy przed planowanym terminem likwidacji; mo┼╝liwo┼Ť─ç przetwarzania danych osobowych rodzic├│w obejmuj─ůcych ich adresy korespondencyjne jest w┬átym wypadku niezb─Ödna dla wykonania obowi─ůzku, jaki ci─ů┼╝y na┬áorganie prowadz─ůcym w┬á┼Ťwietle obowi─ůzuj─ůcych przepis├│w ustawowych ÔÇô tym samym zachodzi jedna z┬áwymienionych w┬áart. 23 u.o.d.o. przes┼éanek uzasadniaj─ůcych przetwarzanie danych osobowych.


Zabezpieczenie danych osobowych

Na administratorze danych ci─ů┼╝y ustawowy obowi─ůzek zabezpieczenia danych osobowych. Jest on obowi─ůzany zastosowa─ç ┼Ťrodki techniczne i┬áorganizacyjne, kt├│re zapewni─ů ochron─Ö przetwarzanych danych odpowiedni─ů do zagro┼╝e┼ä oraz┬ákategorii danych obj─Ötych ochron─ů. W szczeg├│lno┼Ťci za┼Ť powinien zabezpieczy─ç dane przed ich udost─Öpnieniem osobom nieupowa┼╝nionym, zabraniem przez osob─Ö nieuprawnion─ů, przetwarzaniem z┬ánaruszeniem ustawy oraz┬ázmian─ů, utrat─ů, uszkodzeniem lub┬ázniszczeniem.

Do przetwarzania danych mog─ů zosta─ç dopuszczone wy┼é─ůcznie osoby posiadaj─ůce upowa┼╝nienie, kt├│re nada┼é administrator danych. Administrator powinien prowadzi─ç ewidencj─Ö os├│b upowa┼╝nionych do ich przetwarzania, zawieraj─ůc─ů:

  • imi─Ö i┬ánazwisko osoby upowa┼╝nionej,
  • dat─Ö nadania i┬áustania upowa┼╝nienia oraz┬ázakres upowa┼╝nienia do przetwarzania danych osobowych,
  • identyfikator, je┼╝eli dane s─ů przetwarzane w┬ásystemie informatycznym.

Administrator danych jest ponadto obowi─ůzany zapewni─ç kontrol─Ö nad tym, jakie dane osobowe, kiedy i┬áprzez kogo zosta┼éy do zbioru wprowadzone oraz┬ákomu s─ů przekazywane.

Upowa┼╝nienie do przetwarzania danych powinno zosta─ç wydane w┬áformie pisemnej. W upowa┼╝nieniu takim powinna si─Ö znale┼║─ç wzmianka o┬áokresie, na┬ájaki zostaje wydane, o┬ázakresie danych, kt├│re mog─ů podlega─ç przetwarzaniu przez okre┼Ťlon─ů osob─Ö, a┬átak┼╝e o┬ázakresie czynno┼Ťci podejmowanych przez ni─ů w┬ázwi─ůzku ze wspomnianymi danymi.

Wym├│g uzyskania upowa┼╝nienia dotyczy tylko tych os├│b, kt├│re przetwarzaj─ů dane osobowe. Administrator nie jest zatem obowi─ůzany do wydania upowa┼╝nienia osobom, kt├│re w┬ászkole lub┬áplac├│wce maj─ů jedynie dost─Öp do pomieszcze┼ä, w┬ákt├│rych dane osobowe s─ů przechowywane, ale ich nie przetwarzaj─ů. Nale┼╝y przy tym pami─Öta─ç, ┼╝e dane te musz─ů zosta─ç w┬ánale┼╝yty spos├│b zabezpieczone, tak by osoby nieupowa┼╝nione nie mia┼éy do nich dost─Öpu.


Przetwarzanie w systemach informatycznych

Przetwarzanie danych osobowych odbywa si─Ö cz─Östo w┬ásystemach informatycznych. W szko┼éach popularno┼Ť─ç takiej metody przetwarzania wzros┼éa z┬áchwil─ů, gdy dopuszczono prowadzenie dziennik├│w w┬áformie elektronicznej. Systemy, z┬ápomoc─ů kt├│rych odbywa si─Ö przetwarzanie, musz─ů spe┼énia─ç warunki, kt├│re okre┼Ťlone zosta┼éy w┬ározp. MSWiA z┬ádn. 29.04.2004 r. w┬ásprawie dokumentacji przetwarzania danych osobowych oraz┬áwarunk├│w technicznych i┬áorganizacyjnych, jakim powinny odpowiada─ç urz─ůdzenia i┬ásystemy informatyczne s┼éu┼╝─ůce do przetwarzania danych osobowych (Dz.U. Nr┬á100, poz. 1024).

W my┼Ťl rozporz─ůdzenia, na┬ádokumentacj─Ö przetwarzania danych osobowych sk┼éada si─Ö polityka bezpiecze┼ästwa i┬áinstrukcja zarz─ůdzania systemem informatycznym. Pierwsza z┬ánich okre┼Ťla m.in. budynki i┬ápomieszczenia, w┬ákt├│rych przetwarzane s─ů dane osobowe, zbiory danych, ich struktur─Ö i┬áspos├│b przep┼éywu danych pomi─Ödzy poszczeg├│lnymi systemami, a┬átak┼╝e ┼Ťrodki techniczne niezb─Ödne dla zapewnienia poufno┼Ťci, integralno┼Ťci i┬ározliczalno┼Ťci przetwarzania danych. Instrukcja natomiast zawiera w┬ászczeg├│lno┼Ťci postanowienia dotycz─ůce procedur nadawania uprawnie┼ä do przetwarzania danych, stosowanych metod i┬á┼Ťrodk├│w uwierzytelniania czy te┼╝ sposobu, miejsca i┬áokresu przechowywania elektronicznych no┼Ťnik├│w informacji zawieraj─ůcych dane osobowe oraz┬ákopii zapasowych.

Dla ka┼╝dej osoby, kt├│rej dane osobowe s─ů przetwarzane w┬ásystemie informatycznym ÔÇô z┬áwyj─ůtkiem system├│w s┼éu┼╝─ůcych do przetwarzania danych osobowych ograniczonych wy┼é─ůcznie do edycji tekstu w┬ácelu udost─Öpnienia go na┬ápi┼Ťmie ÔÇô system zawiera─ç musi odnotowanie:

  • daty pierwszego wprowadzenia danych do systemu;
  • identyfikatora u┼╝ytkownika wprowadzaj─ůcego dane osobowe do systemu, chyba ┼╝e dost─Öp do systemu informatycznego i┬áprzetwarzanych w┬ánim danych posiada wy┼é─ůcznie jedna osoba;
  • ┼║r├│d┼éa danych, w┬áprzypadku zbierania danych nie od osoby, kt├│rej one dotycz─ů;
  • informacji o┬áodbiorcach, w┬ározumieniu art. 7 pkt 6 u.o.d.o., kt├│rym dane osobowe zosta┼éy udost─Öpnione, dacie i┬ázakresie tego udost─Öpnienia, chyba ┼╝e system informatyczny u┼╝ywany jest do przetwarzania danych zawartych w┬ázbiorach jawnych.
Wa┼╝ne!
Jak wykaza┼éy kontrole przeprowadzone przez GIODO, nie zawsze wykorzystywany w┬ászkole lub┬áplac├│wce system spe┼énia wymienione powy┼╝ej wymogi. W efekcie kontroli, kt├│re mia┼éy miejsce w┬ároku 2010, stwierdzono m.in. przypadki, w┬ákt├│rych system s┼éu┼╝─ůcy do prowadzenia e-dziennika nie pozwala┼é na┬áodnotowanie informacji wymienionych w┬ápowy┼╝szym wyliczeniu.

 

Zgłoszenie zbioru danych do rejestracji

Zasadniczo administrator ma obowi─ůzek zg┼éoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyj─ůtki od tej regu┼éy przewidziano w┬áart. 43 ust. 1 u.o.d.o. Zgodnie z┬áart. 43 ust. 1 z┬áobowi─ůzku dokonania rejestracji zwolnieni s─ů m.in. administratorzy danych przetwarzanych w┬ázwi─ůzku z┬ázatrudnieniem u┬ánich, ┼Ťwiadczeniem im us┼éug na┬ápodstawie um├│w cywilnoprawnych, a┬átak┼╝e dotycz─ůcych os├│b u┬ánich zrzeszonych lub┬áucz─ůcych si─Ö. Oznacza to, ┼╝e rejestracji nie podlega wi─Ökszo┼Ť─ç zbior├│w powstaj─ůcych w┬ászko┼éach i┬áinnych plac├│wkach o┼Ťwiatowych, kt├│re to┬ázbiory obejmuj─ů dane uczni├│w i┬ánauczycieli. Obowi─ůzek rejestracji obejmie natomiast cho─çby rejestr uczni├│w zamieszka┼éych w┬áobwodzie szko┼éy, realizuj─ůcych obowi─ůzek szkolny w┬áinnej szkole, rejestr korespondencji czy rejestr upowa┼╝nie┼ä do odbioru dzieci ze ┼Ťwietlicy. Obowi─ůzek taki b─Ödzie te┼╝ udzia┼éem innych ni┼╝ szko┼éa podmiot├│w przetwarzaj─ůcych dane uczni├│w i┬ánauczycieli.

Przykład 3

Organ prowadz─ůcy, na┬ápodstawie przepis├│w u.s.o. i┬áKN, przetwarza dane dotycz─ůce uczni├│w i┬ánauczycieli. Przetwarzanie to┬áodbywa si─Ö m.in. w┬ázwi─ůzku z┬áudzielaniem pomocy materialnej uczniom (dane uczni├│w) czy te┼╝ udzielaniem pomocy zdrowotnej nauczycielom. Czy zbiory takich danych s─ů wy┼é─ůczone z┬áobowi─ůzku rejestracji?

Zbiory danych w┬áomawianym przypadku podlegaj─ů obowi─ůzkowi rejestracji. Pracodawc─ů nauczycieli jest szko┼éa, nie za┼Ť organ prowadz─ůcy, dlatego te┼╝ zbi├│r danych o┬ánauczycielach prowadzony przez organ prowadz─ůcy nie jest zwolniony z┬áobowi─ůzku rejestracji. Zwolnienie nie b─Ödzie r├│wnie┼╝ dotyczy─ç zbioru danych o┬áuczniach, gdy┼╝ takie zwolnienie przys┼éuguje tylko administratorom danych os├│b, kt├│re s─ů u┬ánich zrzeszone lub┬áte┼╝ u┬ánich si─Ö ucz─ů. Rejestracji zbioru danych swoich uczni├│w nie musi w┬ázwi─ůzku z┬átym dokonywa─ç szko┼éa, obowi─ůzek rejestracji zbioru danych tych uczni├│w istnieje natomiast, gdy administratorem jest organ prowadz─ůcy.
 

Nowy System Informacji O┼Ťwiatowej

Powy┼╝sze om├│wienie dotyczy obowi─ůzuj─ůcych ju┼╝ regulacji maj─ůcych zwi─ůzek z┬ádanymi osobowymi. Nied┼éugo, bo ju┼╝ w┬ákwietniu br., zacznie obowi─ůzywa─ç wi─Ökszo┼Ť─ç przepis├│w ustawy z┬ádn. 15.04.2011 r. o┬ásystemie informacji o┼Ťwiatowej (Dz.U. Nr┬á139, poz. 814, z┬áp├│┼║n. zm.), kt├│rej znaczenie w┬ákontek┼Ťcie danych osobowych w┬áo┼Ťwiacie jest niebagatelne.┬á Nowy, maj─ůcy funkcjonowa─ç w┬áoparciu o┬áprzepisy wspomnianej ustawy System Informacji O┼Ťwiatowej, dalej ÔÇ×SIOÔÇŁ, wprowadza bowiem wiele zmian w┬ázakresie przetwarzania danych, w┬átym tak┼╝e danych osobowych, w┬áo┼Ťwiacie.

Istot─ů g┼é├│wnej zmiany w┬áSIO jest gromadzenie w┬ábazie jednostkowych danych dotycz─ůcych uczni├│w i┬ánauczycieli, w┬átym danych osobowych. Dane dotycz─ůce uczni├│w i┬ánauczycieli podzielone zosta┼éy na┬ádwa rodzaje:

  • identyfikacyjne (PESEL, nazwisko, imi─Ö);
  • dziedzinowe (inne dane dotycz─ůce ucznia lub┬ánauczyciela, np. klasa do kt├│rej ucz─Öszcza ucze┼ä, stopie┼ä awansu zawodowego nauczyciela b─ůd┼║ te┼╝ zdobycie przeze┼ä dodatkowych uprawnie┼ä).

Dane identyfikacyjne i┬ádziedzinowe o┬áuczniach, s┼éuchaczach i┬áwychowankach b─Öd─ů gromadzone w┬ábazie danych SIO w┬ápostaci odr─Öbnych zbior├│w danych o┬áuczniach. W formie zbior├│w danych o┬ánauczycielach gromadzone b─Öd─ů z┬ákolei dane identyfikacyjne i┬ádziedzinowe dotycz─ůce nauczycieli, wychowawc├│w i┬áinnych pracownik├│w pedagogicznych.

Zar├│wno ten zbi├│r, jak i┬áwcze┼Ťniej wspomniany identyfikowane b─Öd─ů w┬ábazie danych SIO przez PESEL oraz┬áimi─Ö i┬ánazwisko (inne rozwi─ůzania przewidziano w┬áprzypadku obcokrajowc├│w). Tym samym dojdzie do odst─ůpienia od zasady gromadzenia w┬áSIO danych zbiorczych (opisuj─ůcych dzia┼éalno┼Ť─ç szk├│┼é i┬áplac├│wek) na┬árzecz gromadzenia danych jednostkowych (co dotyczy tak┼╝e uczni├│w i┬ánauczycieli).

Najwi─Öcej emocji budzi zakres danych, kt├│re b─Öd─ů podlega┼éy przetwarzaniu w┬áSIO. W nowym Systemie znajd─ů si─Ö m.in. informacje nt. korzystania z┬ápomocy materialnej, promocji do kolejnej klasy czy orzecze┼ä i┬áopinii wydanych w┬áporadni psychologiczno-pedagogicznej. Na zagro┼╝enia zwi─ůzane z┬áprzetwarzaniem danych w┬átak szerokim zakresie zwraca┼é uwag─Ö GIODO, kt├│ry nie ukrywa┼é swoich w─ůtpliwo┼Ťci zwi─ůzanych z┬áprzetwarzaniem danych intymnych w┬ázintegrowanych megabazach. Przedstawiciele resortu uspokajaj─ů, ┼╝e do danych wra┼╝liwych b─Ödzie mia┼é dost─Öp jedynie administrator (np. dyrektor szko┼éy) i┬ánie b─Ödzie si─Ö mo┼╝na z┬ánimi zapozna─ç na┬ápoziomie centralnym. Na ile uzasadnione by┼éy obawy GIODO, przekonamy si─Ö dopiero z┬áchwil─ů inauguracji nowego SIO.

Tomasz Biegański

Wszystkie prawa zastrze┼╝one ┬ę GCP Instytut Doskonalenia Wiedzy Prawno - Ekonomicznej 2013

Top Desktop version