Dołącz do czytelników
Brak wyników

Temat numeru

12 czerwca 2018

NR 67 (Listopad 2016)

Ochrona danych osobowych w praktyce szkolnej. Kluczowe aspekty problematyki

0 64

Nauczyciele stanowią grupę zawodową, która w swojej codziennej pracy ma bezpośredni kontakt z ludźmi i to zarówno w bezpośrednim otoczeniu szkoły (uczniowie), jak i w otoczeniu dalszym (rodzice uczniów). Do prawidłowego realizowania zadań zawodowych niezbędna jest styczność z danymi podmiotów, z którymi nauczyciel pracuje lub wchodzi w bezpośrednie relacje, w tym z danymi o charakterze stricte osobowym. Niestety, wiedza nauczycieli na temat postępowania z danymi chronionymi jest wyjątkowo uboga, co niejednokrotnie prowadzi do różnego rodzaju nieprawidłowości. 

Dostęp do danych może oznaczać, że podlegają one różnym procesom przetwarzania oraz są wykorzystywane do różnych celów, nie mówiąc już o tym, że są przekazywane czy udostępniane innym podmiotom. Postępowanie z danymi osobowymi podlega ścisłym regułom prawnym − dane osobowe podlegają ochronie prawnej. Kluczową rolę w zakresie prawnej regulacji ochrony danych osobowych w Polsce odgrywa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w skrócie u.o.d.o. (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Ustawa ta określa m.in., w jakich sytuacjach i jakie dane osobowe mogą podlegać przetwarzaniu. Precyzuje również wymogi stawiane osobom będącym administratorami tych danych, a także określa prawne konsekwencje naruszenia postanowień w niej zawartych. Zgodnie z zapisami art. 3 u.o.d.o. odpowiednie regulacje ustawowe stosuje się do takich podmiotów, jak: organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne. Znajdują one także zastosowanie, z nielicznymi wyjątkami, w odniesieniu do: podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Z zapisu art. 3 u.o.d.o. wynika jednoznacznie, że przepisy ustawy znajdują zastosowanie także w działalności szkół oraz jednostek, które przetwarzają dane osobowe w ramach działalności na polu oświaty (np. organy prowadzące).

Aby dobrze interpretować zapisy ustawowe, należy właściwie posługiwać się określonymi pojęciami. Oto niektóre z nich: 

  • Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym (np. kartoteki, skorowidze, księgi i wykazy).
  • Przetwarzanie danych – wszelkie operacje wykonywane na danych osobowych (np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych).
  • System informatyczny – zespół urządzeń, programów, procedur i narzędzi zastosowanych w celu przetwarzania danych.
  • Zabezpieczanie danych w systemie informatycznym – wdrożenie i eksploatacja środków technicznych zapewniających ochronę danych.
  • Usuwanie danych – trwałe zniszczenie danych osobowych, uniemożliwiające identyfikację osoby.
  • Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba określająca cel i środki przetwarzania danych osobowych.
  • Odbiorca danych – każdy, komu udostępnia się dane osobowe.

Czym są zatem dane osobowe? 
Dane osobowe − to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio lub pośrednio osoby fizycznej, szczególnie:

  • numery PESEL, NIP, paszportu, dowodu osobistego,
  • cech fizyczne,
  • cechy fizjologiczne: grupa krwi, kod genetyczny,
  • cech ekonomiczne: status majątkowy, lista zaległości finansowych,
  • cechy umysłowe, kulturowe, społeczne: poglądy, wyznanie, przynależność.

Danymi osobowymi są zatem np. obrazy zarejestrowane przez szkolny monitoring, jeżeli na ich podstawie możliwa jest identyfikacja konkretnej osoby. Natomiast informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Ochrona tak pojmowanych danych osobowych dotyczy procesu ich przetwarzania. Przez samo przetwarzanie należy rozumieć szereg podejmowanych czynności, począwszy od zbierania danych, a na ich usuwaniu skończywszy. Poza danymi osobowymi, ochronie podlegają również tzw. dane wrażliwe. Są nimi informacje: 

  • ujawniające pochodzenie rasowe lub etniczne,
  • ujawniające poglądy polityczne,
  • ujawniające przekonania religijne lub filozoficzne,
  • ujawniające przynależność wyznaniową, związkową lub partyjną,
  • o stanie zdrowia, kodzie genetycznym,
  • o nałogach lub życiu seksualnym,
  • o preferencjach seksualnych,
  • dotyczące skazań, orzeczeń o ukaraniu i mandaach karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Kwestia administratora danych osobowych niejednokrotnie jest niewłaściwie rozumiana. Zgodnie z zapisami u.o.d.o. jest to organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. W przypadku przedszkoli, szkół i innych placówek oświatowych to właśnie same te podmioty są administratorami danych osobowych. Dyrektor szkoły, jako osoba kierująca działalnością szkoły lub placówki, wykonuje obowiązki administratora danych osobowych. Status administratora nie przysługuje natomiast takim jednostkom, jak występujące w wielu miejscowościach zakłady obsługi administracyjno-ekonomicznej szkół. Tego typu jednostki należy traktować jak podmioty, o których mowa w art. 31 u.o.d.o., czyli przetwarzające dane osobowe właśnie na zlecenie właściwego administratora. Stosuje się do nich zatem przepisy dotyczące powierzenia przetwarzania danych osobowych. Administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi, na drodze umowy zawartej w formie pisemnej. Wspomniany podmiot może przetwarzać dane wyłącznie w zakresie przewidzianym w umowie. Zanim jednak w ogóle dojdzie do przetwarzania danych przez ten podmiot, musi on podjąć wszystkie środki zabezpieczające określony zbiór danych, bowiem każdy właściciel danych (jest nimi osoba, której dane dotyczą) ma prawo do ochrony danych osobowych zawartych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych oraz systemach informatycznych (art. 1 i 2 u.o.d.o.). Właśnie dlatego ich przetwarzanie, czyli wykorzystywanie do różnych celów, musi odbywać się na ściśle określonych warunkach. Przetwarzanie zwykłych danych osobowych jest co do zasady dopuszczalne, ale by było ono zgodne z prawem, konieczne jest wystąpienie przynajmniej jednej z wymienionych w u.o.d.o. przesłanek:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (zgoda może obejmować także przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania);
  • wyjątkowo można przetwarzać dane bez zgody, gdy jest ona wymagana – jeżeli pozyskanie zgody jest niemożliwe, a przetwarzanie danych jest niezbędne dla ochrony interesów osoby, której dane dotyczą; można przetwarzać dane bez zgody aż do czasu, gdy uzyskanie zgody stanie się możliwe;
  • jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonywania określonych prawem działań realizowanych dla dobra publicznego;
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przetwarzanie jest dopuszczalne także wtedy, gdy jest ono niezbędne dla zrealizowania uprawnienia lub spełnie...

To wydanie dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Szkoły"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy