Niniejsza publikacja wyczerpująco omawia takie zagadnienia jak: regulacje prawne dotyczące ochrony danych osobowych obowiązujące jednostki oświatowe, n rodzaje przetwarzanych danych osobowych, n wzory dokumentacji szkolnej związanej z ochroną danych osobowych, n rodzaje zbiorów danych osobowych w szkołach, n zasady dopuszczalności przetwarzania danych osobowych, n obowiązki dyrektora szkoły jako administratora danych osobowych, n przetwarzanie danych osobowych w systemach IT, n kontrole GIODO w szkołach, n ochrona danych osobowych w zakresie przekazywania informacji do SIO, n dostęp do informacji publicznej w jednostkach oświaty. n dr Adam Balicki prawnik, historyk, archiwista, absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II w Lublinie oraz Wydziału Nauk Humanistycznych tejże uczelni. Ukończył kurs kwalifikacyjny z zakresu organizacji i zarządzania oświatą. Adiunkt w Katedrze Prawa Cywilnego i Postępowania Cywilnego na Wydziale Zamiejscowym Nauk Prawnych i Ekonomicznych KUL w Tomaszowie Lubelskim oraz nauczyciel dyplomowany w Zespole Szkół Zawodowych i Ogólnokształcących w Biłgoraju. Autor kilkudziesięciu publikacji naukowych, komentarzy i poradników z zakresu prawa oświatowego, cywilnego oraz historii. Wykładowca na kursach kwalifikacyjnych z zakresu organizacji i zarządzania oświatą oraz licznych szkoleniach i warsztatach dla nauczycieli i kadry kierowniczej oświaty dotyczących prawa oświatowego i prawa w oświacie (w tym w zakresie ochrony danych osobowych w szkole). ISBN 978-83-255-5668-6 cena 129 zł OCHRONA DANYCH OSOBOWYCH Ochrona danych osobowych w jednostkach oświaty Ochrona danych osobowych w oświacie stanowi bardzo ważną i trudną problematykę. Potwierdzają to kontrole GIODO, które wykazały, że w wielu szkołach i placówkach oświatowych dochodziło do łamania przepisów dotyczących ochrony danych osobowych. Z tego powodu ich znajomość jest niezbędna dla prawidłowej pracy każdej jednostki oświatowej. Znajomością taką powinni wykazywać się nie tylko dyrektorzy, pełniący funkcje administratorów danych osobowych w swoich jednostkach, ale również wszyscy nauczyciele, którzy w codziennej pracy mają do czynienia z takimi danymi oraz pracownicy organów prowadzących szkoły. Ponadto przepisy prawa nakładają na każdego dyrektora szkoły i placówki opracowanie i wdrożenie odpowiedniej dokumentacji dotyczącej ochrony danych osobowych. Adam Balicki Ochrona danych osobowych w jednostkach oświaty Adam Balicki Ochrona danych osobowych w jednostkach oświaty Zasady przetwarzania danych osobowych Obowiązki dyrektora jako administratora danych osobowych Zabezpieczenie systemów IT SIO a ochrona danych osobowych Dostęp do informacji publicznej
Ochrona danych osobowych w jednostkach oświaty
Ochrona danych osobowych w jednostkach oświaty Zakup książki daje dostęp (po wpisaniu kodu ze zdrapki) do pakietu podstawowego portalu www.ekspertbeck.pl przez 1 miesiąc gratis. UWAGA! Naruszenie pola ze zdrapką jest równoznaczne z zakupieniem produktu! OchrDanOÊw Wydawnictwo C. H. Beck, Beck Info Biznes ul. Bonifraterska 17; 00-203 Warszawa tel.: (22) 311 22 22; faks (22) 33 77 601 e-mail: bibredakcja@beck.pl www.beckinfobiznes.pl
Adam Balicki Ochrona danych osobowych w jednostkach oświaty Wydawnictwo C.H. Beck Warszawa 2013
Ochrona danych osobowych w jednostkach oświaty 1. wydanie Stan prawny: wrzesień 2013 Autor: Adam Balicki Redaktor prowadzący: Marcin Majchrzak Korekta: Anna Kolasa Wydawnictwo C.H. Beck 2013 Wszelkie prawa zastrzeżone. Opinie zawarte w niniejszej publikacji wyrażają osobisty punkt widzenia Autorów. Wydawnictwo C.H. Beck nie ponosi odpowiedzialności za zawarte w niej informacje. Wydawnictwo C.H. Beck Sp. z o.o. ul. Bonifraterska 17, 00-203 Warszawa tel.: 22 31 12 222 faks: 22 33 77 601 www.beck.pl www.beckinfobiznes.pl Skład i łamanie: PanDawer Druk: Totem, Inowrocław ISBN 978-83-255-5668-6 ISBN e-book 978-83-255-5669-3
Spis treści Wykaz autorów... V Wykaz skrótów... VII Wprowadzenie... IX 1. Regulacje prawne dotyczące ochrony danych osobowych... 1 1.1. Podstawowe akty prawne regulujące ochronę danych osobowych w szkole i placówce oświatowej... 1 1.2. Podstawowe pojęcia związane z ochroną danych osobowych... 3 2. Rodzaje danych osobowych przetwarzanych przez szkołę... 11 2.1. Rodzaje danych osobowych przetwarzanych przez szkołę i placówkę oświatową... 11 2.2. Dane osobowe wrażliwe... 11 2.3. Dane osobowe zwykłe... 13 2.4. Dane osobowe uczniów... 14 2.5. Dane osobowe nauczycieli i pracowników szkoły... 23 3. Dokumentacja szkolna związana z przetwarzaniem danych osobowych... 29 3.1. Rodzaje dokumentacji związanej z przetwarzaniem danych osobowych w szkole... 29 3.2. Polityka Bezpieczeństwa Informacji... 29 3.3. Instrukcja zarządzania systemem informatycznym... 45 3.4. Rejestr osób upoważnionych do przetwarzania danych osobowych... 54 3.5. Inna dokumentacja związana z ochroną danych osobowych w szkole... 56 4. Rodzaje zbiorów danych osobowych w szkołach i placówkach oświatowych... 75 4.1. Przykładowe zbiory danych osobowych w szkołach... 75 4.2. Postępowanie ze zbiorami danych osobowych w szkole... 77 4.3. Rejestracja zbiorów danych osobowych... 78 5. Dopuszczalność przetwarzania danych osobowych w szkole... 85 5.1. Dopuszczalność przetwarzania danych osobowych... 85 5.2. Zgoda osoby na przetwarzanie danych osobowych... 87 5.3. Prawa osoby, której dane osobowe są przetwarzane... 90 6. Obowiązki dyrektora szkoły jako administratora danych osobowych... 93 6.1. Obowiązki dyrektora szkoły związane z przetwarzaniem danych osobowych... 93 6.2. Odpowiedzialność dyrektora jako administratora danych osobowych w szkole i placówce oświatowej... 95 6.3. Administrator Bezpieczeństwa Informacji zasady powoływania, obowiązki... 97 7. Zabezpieczenie systemów IT w kontekście ochrony danych osobowych... 101 7.1. Zagrożenia przy przetwarzaniu danych osobowych w systemach IT... 101 7.2. Podstawowe terminy związane z przetwarzaniem danych osobowych w systemach informatycznych... 103 7.3. Poziomy bezpieczeństwa i rodzaje zabezpieczeń... 105 7.4. Dziennik elektroniczny a ochrona danych osobowych... 108 III
Spis treści 8. Generalny Inspektor Ochrony Danych Osobowych... 111 8.1. Zadania Głównego Inspektora Ochrony Danych Osobowych... 111 8.2. Kontrole GIODO w szkołach i placówkach oświatowych... 113 8.3. Decyzje GIODO dotyczące szkół i placówek oświatowych... 115 8.4. Interpretacje GIODO na temat stosowania przepisów o ochronie danych osobowych w szkołach i placówkach oświatowych... 131 9. System Informacji Oświatowej a ochrona danych osobowych... 143 9.1. Wprowadzenie... 143 9.2. Zakres danych gromadzonych w Rejestrze Szkół i Placówek Oświatowych... 146 9.3. Rejestr Szkół i Placówek Oświatowych... 151 9.4. Przekazywanie danych do bazy danych SIO... 152 9.5. Dostęp do bazy danych Systemu Informacji Oświatowej... 157 9.6. Nadzór nad bezpieczeństwem przekazywania i pozyskiwania danych z bazy SIO... 161 9.7. Przechowywanie danych w bazach SIO... 164 10. Problematyka dostępu do informacji publicznej w jednostkach oświaty... 167 10.1. System informacji publicznej... 167 10.2. Nowelizacja przepisów z 2011 r.... 171 10.3. Ograniczenia prawa dostępu do informacji publicznej... 171 10.4. Stosowanie ustawy o dostępie do informacji publicznej w szkole... 174 10.4.1. Rodzaje informacji publicznych udostępnianych w szkole... 175 10.4.2. Obowiązki dyrektora szkoły... 178 10.4.3. Postępowanie w sprawie wywołanej wnioskiem o udostępnieniem informacji publicznej... 179 10.4.3.1. Odwołanie od decyzji... 182 10.4.3.2. Opłaty... 183 10.5. Odpowiedzialność karna... 183 10.6. Biuletyn Informacji Publicznej... 184 10.7. Wzory dokumentów z zakresu dostępu do informacji publicznej... 184 11. Przepisy prawne... 193 11.1. Ustawa z 29.8.1997 r. o ochronie danych osobowych... 193 11.2. Rozporządzenie MSWiA z 11.12.2008 r.... 220 11.3. Rozporządzenie MSWiA z 29.4.2004 r.... 228 IV
Wykaz autorów dr Adam Balicki prawnik, historyk, archiwista, absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II w Lublinie oraz Wydziału Nauk Humanistycznych tejże uczelni. Ukończył kurs kwalifikacyjny z zakresu organizacji i zarządzania oświatą. Egzaminator Okręgowej Komisji Egzaminacyjnej w Krakowie w zakresie egzaminu maturalnego z historii i wiedzy o społeczeństwie oraz egzaminu zawodowego w zawodzie technik administracji i technik ochrony fizycznej osób i mienia. Adiunkt w Katedrze Prawa Cywilnego i Postępowania Cywilnego na Wydziale Zamiejscowym Nauk Prawnych i Ekonomicznych KUL w Tomaszowie Lubelskim oraz nauczyciel dyplomowany w Zespole Szkół Zawodowych i Ogólnokształcących w Biłgoraju. Autor kilkudziesięciu publikacji naukowych, komentarzy i poradników z zakresu prawa oświatowego, cywilnego oraz historii. Wykładowca na kursach kwalifikacyjnych z zakresu organizacji i zarządzania oświatą oraz licznych szkoleniach i warsztatach dla nauczycieli i kadry kierowniczej oświaty dotyczących prawa oświatowego i prawa w oświacie (w tym w zakresie ochrony danych osobowych w szkole). Autor rozdziałów 1 9.3, a także 9.5 10 książki Ochrona danych osobowych w jednostkach oświaty. Michał Łyszczarz współautor komentarza do ustawy o systemie oświaty, autor szeregu publikacji z zakresu prawa oświatowego, obecnie zatrudniony w Wydziale Nadzoru Prawnego Śląskiego Urzędu Wojewódzkiego. Autor podrozdziału 9.4 książki Ochrona danych osobowych w jednostkach oświaty. Karolina Woźniczko absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, radca prawny, członek Okręgowej Izby Radców Prawnych w Warszawie. Pracownik Ministerstwa Pracy i Polityki Społecznej. W kręgu jej szczególnych zainteresowań znajduje się prawo pracy i prawo oświatowe. Autorka licznych opracowań i artykułów na temat prawa pracy, indywidualnego jak i zbiorowego, a także prawa oświatowego. Autor rozdziału 10 książki Ochrona danych osobowych w jednostkach oświaty. V
Wykaz skrótów art.... artykuł Dz.U.... Dziennik Ustaw GIODO... Generalny Inspektor Ochrony Danych Osobowych InPubU... ustawa z 6.9.2001 r. o dostępie do informacji publicznej (Dz.U. Nr 112, poz. 1198 ze zm.) JST... jednostka samorządu terytorialnego KC... ustawa z 23.4.1964 r. Kodeks cywilny (Dz.U. Nr 16, poz. 93 ze zm.) KK... ustwa z 6.6.1997 r. Kodeks karny (Dz.U. Nr 88, poz. 553 ze zm.) KPA... ustawa z 14.6.1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. z 2013 r., poz. 267) KP... ustawa z 26.6.1974 r. Kodeks pracy (t.j. Dz.U. z 1998 r. Nr 21, poz. 94 ze zm.) OchrDanU... ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm.) pkt... punkt SIO... System Informacji Oświatowej SN... Sąd Najwyższy SysOśwU... ustawa z 7.9.1991 r. o systemie oświaty (t.j. Dz.U. z 2004 r. Nr 2004 r. Nr 256, poz. 2572 ze zm.) NSA... Naczelny Sąd Administracyjny WSA... wojewódzki sąd administracyjny ze zm.... ze zmianami VII
Wprowadzenie Ochrona danych osobowych w szkołach i placówkach oświatowych stanowi niezwykle ważną problematykę. Ze względu na specyfikę pracy szkoły przetwarzane są w niej dane osobowe uczniów, nauczycieli, jak również rodziców. Przetwarzanie to odbywa się w sposób tradycyjny, a także za pomocą systemów informatycznych. Wymusza to na dyrektorze szkoły, jako administratorze danych osobowych w kierowanej przez niego placówce, zastosowanie właściwych zabezpieczeń, tak technicznych, jak i organizacyjnych. Kontrole Głównego Inspektora Ochrony Danych Osobowych w szkołach i placówkach oświatowych wskazują, że przepisy dotyczące ochrony danych osobowych, niejednokrotnie nie były przestrzegane, co wiązało się z poważnymi konsekwencjami wobec kierujących tymi placówkami dyrektorów. Sprawy ochrony danych osobowych w szkołach są często przedmiotem decyzji i wystąpień Głównego Inspektora Danych Osobowych. Świadczy to o tym, że znajomość przepisów ustawy o ochronie danych osobowych, jak również wydanych na jej podstawie aktów wykonawczych w szkołach i placówkach oświatowych nie jest powszechna. Jest to zrozumiałe, gdyż w gąszczu ciągle zmieniających się przepisów prawa oświatowego zagadnienia te mogą zostać przeoczone. Znajomość zasad ochrony danych osobowych wymusza również wprowadzenie nowego Systemu Informacji Oświatowej. Specyfika przetwarzanych przy tej okazji danych osobowych wymaga zachowania szczególnej ostrożności i właściwych procedur. Dlatego problematyka ta została w sposób obszerny omówiona w niniejszej publikacji. Ponadto przepisy prawa nakładają na każdego dyrektora szkoły i placówki opracowanie i wdrożenie odpowiedniej dokumentacji dotyczącej ochrony danych osobowych. Należy również zwrócić uwagę, że mimo tego, że administratorem danych osobowych w szkole jest jej dyrektor, i to on ponosi największą odpowiedzialność w przypadku nieprzestrzegania przepisów dotyczących ochrony danych osobowych, to również każdy nauczyciel w codziennej pracy ma do czynienia z takimi danymi i powinien wiedzieć, w jaki sposób z nimi postępować. IX
Wprowadzenie Niniejsza publikacja prezentuje omówienie najważniejszych przepisów dotyczących ochrony danych osobowych z uwzględnieniem specyfiki pracy szkoły. Ponadto znajdują się w niej wzory niezbędnej dokumentacji, jak również decyzje oraz wystąpienia Głównego Inspektora Ochrony Danych Osobowych dotyczące szkół i placówek oświatowych. W publikacji wskazane zostały przesłanki dopuszczalności przetwarzania danych osobowych w szkołach, rodzaje tych danych, wraz ze wskazaniem w jaki sposób należy z nimi postępować. Omówiona została również problematyka rejestracji baz danych osobowych w GIODO. Adam Balicki X
1. Regulacje prawne dotyczące ochrony danych osobowych 1.1. Podstawowe akty prawne regulujące ochronę danych osobowych w szkole i placówce oświatowej Podstawowym aktem prawnym regulujących ochronę danych osobowych jest ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm., dalej OchrDanU). Przywołana ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są przetwarzane lub mogą być przetwarzane w zbiorze danych. Przepisy ustawy stosuje się do przetwarzania danych osobowych w: 1) kartotekach, 2) skorowidzach, 3) księgach, 4) wykazach, 5) zbiorach ewidencyjnych (różnego rodzaju), 6) systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem. OchrDanU znajduje zastosowanie w przypadku organów państwowych, organów samorządu terytorialnego oraz państwowych i komunalnych jednostek organizacyjnych. Zgodnie z decyzją Głównego Inspektora Ochrony Danych Osobowych (dalej GIODO) z 1999 r. jednostki komunalne wykonujące w imieniu gminy zadania, które mają na celu zaspokajanie potrzeb społeczności lokalnej, stają się administratorami 1
1. Regulacje prawne dotyczące ochrony danych osobowych danych osobowych zgodnie z OchrDanU. Takimi podmiotami są szkoły i inne jednostki działające w systemie oświaty. Przepis art. 3a OchrDanU wyłącza stosowanie przepisów ustawy w stosunku do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Polski wyłącznie do przekazywania danych. Również w przypadku, gdy przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę niż wynika to z OchrDanU zastosowanie będą miały właśnie te przepisy. OchrDanU ma ograniczone zastosowanie w przypadku zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub związanych z edukacją w szkołach wyższych. Dane takie, po ich wykorzystaniu, są niezwłocznie usuwane lub poddawane anonimizacji. W praktyce szkolnej będą to wszelkie listy wpłat uczestników wycieczek itp., prowadzone przez wychowawcę klasy poza obowiązkową dokumentacją szkolną. W stosunku do takich zbiorów danych stosuje się przepisy ustawy dotyczące ich zabezpieczania. Obok przepisów OchrDanU omawianą problematykę regulują akty wykonawcze do tej ustawy: 1) rozporządzenie Prezydenta Rzeczypospolitej Polskiej z 10.10.2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2011 r. Nr 225, poz. 1350), 2) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. z 2008 r. Nr 229, poz. 1536), 3) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), 4) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 22.4.2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2004 r. Nr 94, poz. 923). Rozporządzenie MSWiA z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych określa 2
1.2. Podstawowe pojęcia związane z ochroną danych osobowych wzór zgłoszenia zbioru danych do rejestracji GIODO, który stanowi załącznik do rozporządzenia. Natomiast rozporządzenie MSWiA z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określa: 1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, 2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa ich przetwarzania. Przepisy tego rozporządzenia nakładają na szkoły i placówki oświatowe obowiązek opracowania dwóch dokumentów: 1) polityki bezpieczeństwa danych osobowych, 2) instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 1.2. Podstawowe pojęcia związane z ochroną danych osobowych OchrDanU definiuje najważniejsze pojęcia związane z ochroną danych osobowych. Definicje te muszą być stosowane w zakresie ochrony danych osobowych. Zgodnie z przywołaną regulacją za dane osobowe uważa się wszystkie informacje dotyczące: 1) zidentyfikowanej osoby, 2) osoby możliwej do zidentyfikowania. Osobą fizyczną jest każdy człowiek. Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamość może być określona bezpośrednio lub pośrednio. Identyfikacja taka może nastąpić poprzez: 1) powołanie się na numer identyfikacyjny, 2) jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3
1. Regulacje prawne dotyczące ochrony danych osobowych Cechy te muszą być specyficzne dla danej osoby i muszą jednoznacznie na nią wskazywać. Informacja nie będzie uważana za umożliwiającą określenie tożsamości osoby w przypadku, gdyby wymagało to nadmiernych: 1) kosztów, 2) czasu, 3) działań. Pojęcie zbioru danych zdefiniowane zostało w przepisie art. 7 pkt 1 OchrDanU. Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zgodnie z przywołaną definicją zbiorem danych będzie każdy posiadający strukturę zestaw danych o takich cechach jak: 1) charakter osobowy, 2) dostępność według określonych kryteriów, bez względu na to, czy jest rozproszony czy podzielony funkcjonalnie. Ponadto zestaw danych, aby został uznany za zbiór danych, musi spełniać kumulatywnie takie warunki jak: 1) zawierać dane osobowe, 2) posiadać określoną strukturę, 3) zapewniać dostęp do danych osobowych według określonych kryteriów 1. Dane osobowe w zbiorze danych mogą być utrwalone w różny sposób: 1) obrazem, 2) słowem, 3) dźwiękiem 2. Ze zbiorem danych mamy do czynienia również w sytuacji, gdy znajdują się tam dane tylko jednej osoby, np. ucznia. Ażeby uznać określony zbiór danych za zbiór danych osobowych w rozumieniu OchrDanU, w skład zbioru danych musi wchodzić więcej niż jedna informacja. Cechą, która odróżnia zbiór danych osobowych od innych zbiorów, będzie istnienie jednej lub kilku cech pozwalających na odnalezienie w zbiorze szukanej informacji bez potrzeby przeglądania całego zestawu 3. Cechą zbioru danych osobowych jest jego dostępność. Dlatego jeżeli dotarcie do poszukiwanych danych w zbiorze będzie możliwe, ale jednocześnie znacznie utrud- 1 M. Sakowska, Pojęcie zbiór danych na gruncie ustawy o ochronie danych osobowych, Państwo i Prawo 2003, z. 2, s. 57. 2 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 391. 3 A. Mednis, Ustawa..., s. 106. 4
1.2. Podstawowe pojęcia związane z ochroną danych osobowych nione, nie będziemy mieli do czynienia ze zbiorem danych osobowych, zgodnie z OchrDanU. GIODO w sprawozdaniu za 2000 r. uznał, że zapis obrazu zarejestrowanego przez kamery służące do monitoringu miasta nie stanowi zbioru danych osobowych. Analogicznie można stwierdzić, że podobne zapisy obrazu przez monitoring szkolny również nie będą spełniały warunku dostępności z punktu widzenia przepisów OchrDanU. Za przetwarzanie danych osobowych, zgodnie z przepisami OchrDanU, uważa się wszelkie operacje, które wykonywane są na danych osobowych. W szczególności możemy zaliczyć do nich: 1) zbieranie danych osobowych, 2) utrwalanie danych osobowych, 3) przechowywanie danych osobowych, 4) opracowywanie danych osobowych, 5) zmienianie danych osobowych, 6) udostępnianie danych osobowych, 7) usuwanie danych osobowych. Za przetwarzanie danych osobowych uważa się w szczególności te operacje, których dokonuje się w systemach informatycznych. Przy ocenie, czy dana czynność może być zakwalifikowana jako zbieranie danych osobowych, należy ocenić, w jakim celu dana osoba wchodzi w posiadanie określonych danych osobowych. W przypadku, gdy celem jest wyłącznie zapoznanie się z informacjami, bez zamiaru ich dalszego przetwarzania, takich czynności nie będzie można zaliczyć jako przetwarzanie danych osobowych. Jeżeli jednak następuje dalsze przetwarzanie zebranych danych należy przyjąć, że doszło do przetwarzania danych osobowych 4. Nie jest również konieczne, aby osoba, która dane zbiera, znała ich treść. Wystarczające jest, aby weszła w ich posiadanie z zamiarem ich dalszego przetwarzania. Wówczas również mamy do czynienia z przetwarzaniem danych osobowych 5. System informatyczny na gruncie OchrDanU został zdefiniowany jako zespół współpracujących ze sobą: 1) urządzeń, 2) programów, 4 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 115. 5 Tamże, s. 115 116. 5
1. Regulacje prawne dotyczące ochrony danych osobowych 3) procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych osobowych. Szczególne miejsce przy przetwarzaniu danych osobowych odgrywa zabezpieczenie danych w systemie informatycznym. Jako takie zabezpieczenie przepisy Ochr- DanU wskazują wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieusprawiedliwionym przetwarzaniem. Przy przetwarzaniu danych osobowych ważną czynnością jest ich usuwanie. Przez usuwanie danych osobowych rozumie się: 1) zniszczenie danych osobowych, 2) modyfikację danych osobowych w ten sposób, że nie będzie możliwe ustalenie tożsamości osoby, której dotyczą. Pierwsza z wymienionych czynności polegać będzie na definitywnym i bezpowrotnym usunięciu danych osobowych lub fizycznym zniszczeniu nośnika, na którym dane były przechowywane. Czynności te mają doprowadzić do niemożliwości odtworzenia danych. Drugi sposób usuwania danych osobowych to ich anonimizacja. Anonimizacja danych polega na dokonaniu takich operacji na danych osobowych, w wyniku których nie będzie możliwe rozpoznanie osoby, której dane dotyczą. Najczęściej odbywa się ona poprzez usunięcie części danych. W odróżnieniu od usunięcia danych lub zniszczenia ich nośników anonimizacja skutkuje możliwością dalszego dokonywania operacji na ich części. Nie będą one jednak umożliwiały zidentyfikowania tożsamości konkretnej osoby 6. Zgodnie z przepisami OchrDanU za przetwarzanie danych osobowych w danej jednostce odpowiedzialny jest administrator danych. Administratorem danych osobowych jest: 1) organ, 2) jednostka organizacyjna, 3) podmiot, 4) osoba decydująca o celach i środkach przetwarzania danych osobowych. Administrator danych osobowych łączy w sobie dwa uprawnienia: 1) decyduje o celach przetwarzania danych osobowych, 2) decyduje o środkach przetwarzania danych osobowych. W szkole administratorem danych osobowych jest zawsze jej dyrektor. Sprawuje on władztwo oraz kontrolę nad przetwarzanymi danymi osobowymi. Dyrektor będzie również administratorem danych osobowych w sytuacji, gdy szkoła lub 6 Tamże, s. 123. 6
1.2. Podstawowe pojęcia związane z ochroną danych osobowych placówka oświatowa powierzy prowadzenie dziennika elektronicznego zewnętrznemu podmiotowi w drodze umowy. Nawet w sytuacji, gdy na mocy tejże umowy, dyrektor szkoły nie będzie miał fizycznej styczności z danymi osobowymi od etapu ich zebrania, aż do ich usunięcia, to i tak będzie mu przysługiwał status wspomnianego administratora danych osobowych o ile będzie decydował o celach i środkach przetwarzania danych. Podmiot, któremu powierzono przetwarzanie danych w drodze umowy: 1) może przetwarzać dane wyłącznie w zakresie i celu określonym w umowie, 2) jest zobowiązany podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone przepisami prawa. Zgodnie z postanowieniem Sądu Najwyższego z 11.12.2001 r. (sygn. akt II KKN 438/00) rozróżnione zostało pojęcie administratora danych osobowych od administrującego danymi osobowymi. Zgodnie z przywołanym postanowieniem, za administratora danych osobowych można uznać taki podmiot, który decyduje o środkach i celach przetwarzania danych osobowych. Administrującym danymi osobowymi jest natomiast taki podmiot, który zarządza, zawiaduje danymi lub zbiorem danych osobowych. Z powyższego wynika, że administratorem danych osobowych w szkole będzie zawsze jej dyrektor, gdyż: 1) podejmuje on samodzielnie decyzje dotyczące celów i środków użytych do przetwarzania danych osobowych, 2) jest odpowiedzialny za bezpieczeństwo danych osobowych, 3) ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Statusu administratora danych osobowych w szkołach i placówkach oświatowych nie posiadają jednostki obsługi ekonomiczno-administracyjnej szkół i placówek. Jednostki te przetwarzają dane osobowe na zlecenie administratora danych. Spoczywają więc na nich tylko obowiązki nałożone na podmioty, którym administrator powierzył w drodze umowy przetwarzanie danych osobowych. Przetwarzanie danych osobowych musi być oparte na określonych przesłankach. Są nimi uprawnienia lub obowiązki wynikające z przepisów prawa lub zgoda osoby, której dane są przetwarzane. Z tymi dwoma przesłankami będziemy mieli do czynienia w przypadku przetwarzania danych osobowych przez szkoły i placówki oświatowe. Zgodnie z definicją zgody osoby, której dane dotyczą, zawartą w OchrDanU, za taką zgodę rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda taka nie może być domnie- 7