Dołącz do czytelników
Brak wyników

Temat numeru

12 czerwca 2018

NR 67 (Listopad 2016)

Ochrona danych osobowych w praktyce szkolnej. Kluczowe aspekty problematyki

265

Nauczyciele stanowią grupę zawodową, która w swojej codziennej pracy ma bezpośredni kontakt z ludźmi i to zarówno w bezpośrednim otoczeniu szkoły (uczniowie), jak i w otoczeniu dalszym (rodzice uczniów). Do prawidłowego realizowania zadań zawodowych niezbędna jest styczność z danymi podmiotów, z którymi nauczyciel pracuje lub wchodzi w bezpośrednie relacje, w tym z danymi o charakterze stricte osobowym. Niestety, wiedza nauczycieli na temat postępowania z danymi chronionymi jest wyjątkowo uboga, co niejednokrotnie prowadzi do różnego rodzaju nieprawidłowości. 

Dostęp do danych może oznaczać, że podlegają one różnym procesom przetwarzania oraz są wykorzystywane do różnych celów, nie mówiąc już o tym, że są przekazywane czy udostępniane innym podmiotom. Postępowanie z danymi osobowymi podlega ścisłym regułom prawnym − dane osobowe podlegają ochronie prawnej. Kluczową rolę w zakresie prawnej regulacji ochrony danych osobowych w Polsce odgrywa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w skrócie u.o.d.o. (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Ustawa ta określa m.in., w jakich sytuacjach i jakie dane osobowe mogą podlegać przetwarzaniu. Precyzuje również wymogi stawiane osobom będącym administratorami tych danych, a także określa prawne konsekwencje naruszenia postanowień w niej zawartych. Zgodnie z zapisami art. 3 u.o.d.o. odpowiednie regulacje ustawowe stosuje się do takich podmiotów, jak: organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne. Znajdują one także zastosowanie, z nielicznymi wyjątkami, w odniesieniu do: podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Z zapisu art. 3 u.o.d.o. wynika jednoznacznie, że przepisy ustawy znajdują zastosowanie także w działalności szkół oraz jednostek, które przetwarzają dane osobowe w ramach działalności na polu oświaty (np. organy prowadzące).

Aby dobrze interpretować zapisy ustawowe, należy właściwie posługiwać się określonymi pojęciami. Oto niektóre z nich: 

  • Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym (np. kartoteki, skorowidze, księgi i wykazy).
  • Przetwarzanie danych – wszelkie operacje wykonywane na danych osobowych (np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych).
  • System informatyczny – zespół urządzeń, programów, procedur i narzędzi zastosowanych w celu przetwarzania danych.
  • Zabezpieczanie danych w systemie informatycznym – wdrożenie i eksploatacja środków technicznych zapewniających ochronę danych.
  • Usuwanie danych – trwałe zniszczenie danych osobowych, uniemożliwiające identyfikację osoby.
  • Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba określająca cel i środki przetwarzania danych osobowych.
  • Odbiorca danych – każdy, komu udostępnia się dane osobowe.

Czym są zatem dane osobowe? 
Dane osobowe − to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio lub pośrednio osoby fizycznej, szczególnie:

  • numery PESEL, NIP, paszportu, dowodu osobistego,
  • cech fizyczne,
  • cechy fizjologiczne: grupa krwi, kod genetyczny,
  • cech ekonomiczne: status majątkowy, lista zaległości finansowych,
  • cechy umysłowe, kulturowe, społeczne: poglądy, wyznanie, przynależność.

Danymi osobowymi są zatem np. obrazy zarejestrowane przez szkolny monitoring, jeżeli na ich podstawie możliwa jest identyfikacja konkretnej osoby. Natomiast informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Ochrona tak pojmowanych danych osobowych dotyczy procesu ich przetwarzania. Przez samo przetwarzanie należy rozumieć szereg podejmowanych czynności, począwszy od zbierania danych, a na ich usuwaniu skończywszy. Poza danymi osobowymi, ochronie podlegają również tzw. dane wrażliwe. Są nimi informacje: 

  • ujawniające pochodzenie rasowe lub etniczne,
  • ujawniające poglądy polityczne,
  • ujawniające przekonania religijne lub filozoficzne,
  • ujawniające przynależność wyznaniową, związkową lub partyjną,
  • o stanie zdrowia, kodzie genetycznym,
  • o nałogach lub życiu seksualnym,
  • o preferencjach seksualnych,
  • dotyczące skazań, orzeczeń o ukaraniu i mandaach karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Kwestia administratora danych osobowych niejednokrotnie jest niewłaściwie rozumiana. Zgodnie z zapisami u.o.d.o. jest to organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. W przypadku przedszkoli, szkół i innych placówek oświatowych to właśnie same te podmioty są administratorami danych osobowych. Dyrektor szkoły, jako osoba kierująca działalnością szkoły lub placówki, wykonuje obowiązki administratora danych osobowych. Status administratora nie przysługuje natomiast takim jednostkom, jak występujące w wielu miejscowościach zakłady obsługi administracyjno-ekonomicznej szkół. Tego typu jednostki należy traktować jak podmioty, o których mowa w art. 31 u.o.d.o., czyli przetwarzające dane osobowe właśnie na zlecenie właściwego administratora. Stosuje się do nich zatem przepisy dotyczące powierzenia przetwarzania danych osobowych. Administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi, na drodze umowy zawartej w formie pisemnej. Wspomniany podmiot może przetwarzać dane wyłącznie w zakresie przewidzianym w umowie. Zanim jednak w ogóle dojdzie do przetwarzania danych przez ten podmiot, musi on podjąć wszystkie środki zabezpieczające określony zbiór danych, bowiem każdy właściciel danych (jest nimi osoba, której dane dotyczą) ma prawo do ochrony danych osobowych zawartych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych oraz systemach informatycznych (art. 1 i 2 u.o.d.o.). Właśnie dlatego ich przetwarzanie, czyli wykorzystywanie do różnych celów, musi odbywać się na ściśle określonych warunkach. Przetwarzanie zwykłych danych osobowych jest co do zasady dopuszczalne, ale by było ono zgodne z prawem, konieczne jest wystąpienie przynajmniej jednej z wymienionych w u.o.d.o. przesłanek:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (zgoda może obejmować także przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania);
  • wyjątkowo można przetwarzać dane bez zgody, gdy jest ona wymagana – jeżeli pozyskanie zgody jest niemożliwe, a przetwarzanie danych jest niezbędne dla ochrony interesów osoby, której dane dotyczą; można przetwarzać dane bez zgody aż do czasu, gdy uzyskanie zgody stanie się możliwe;
  • jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonywania określonych prawem działań realizowanych dla dobra publicznego;
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przetwarzanie jest dopuszczalne także wtedy, gdy jest ono niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Powołanie się na przepis mówiący o niezbędności przetwarzania z racji uprawnienia lub konieczności spełnienia obowiązku wynikającego z przepisu prawa nie będzie jednak uzasadnione, jeżeli przetwarzanie dotyczy danych wykraczających poza zakres określony przepisami prawa. Zatem to do administratora należą decyzje w przedmiocie celów przetwarzania i użytych do tego środków. Zgodnie z art. 26 u.o.d.o. administrator powinien przede wszystkim dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane były:

  • przetwarzane zgodnie z prawem,
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  • przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Przetwarzanie danych osobowych przez szkoły i placówki odbywa się na ogół w oparciu o następujące przesłanki: przetwarzanie jest niezbędne do realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie. 

Prawidłowa ocena zgodności przetwarzania danych z prawem wymaga niekiedy znajomości przepisów innych aktów prawnych. Przepisy takie zawarte są m.in. w ustawie o systemie oświaty, a także w rozporządzeniu MENiS z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.); ostatnia istotna zmiana została wprowadzona  rozporządzeniem Ministra Edukacji Narodowej  z dnia 24 sierpnia 2015 r. (Dz. U. z 28 sierpnia 2015 r., poz. 1250). Zgodnie z przepisami ww. rozporządzenia placówki oświatowe mają za zadanie prowadzić dokumentację wymagającą pozyskiwania danych osobowych, przykładowo:

  • przedszkole i szkoła podstawowa, w której zorganizowano oddział przedszkolny, prowadzą dla każdego oddziału dziennik zajęć przedszkola, do którego wpisuje się nazwiska i imiona dzieci, daty i miejsca ich urodzenia, nazwiska i imiona rodziców (prawnych opiekunów) i adresy ich zamieszkania;
  • szkoła podstawowa prowadzi księgę ewidencji dzieci podlegających obowiązkowi odbycia rocznego przygotowania przedszkolnego i obowiązkowi szkolnemu, zamieszkałych w obwodzie szkoły, gimnazjum natomiast prowadzi księgę ewidencji dzieci i młodzieży będących absolwentami szkoły podstawowej, podlegających obowiązkowi szkolnemu, zamieszkałych w obwodzie gimnazjum; księga zawiera informacje o imieniu (imionach) i nazwisku, dacie i miejscu urodzenia, numerze PESEL i adresie zamieszkania dziecka, a także o imionach i nazwiskach rodziców (prawnych opiekunów) oraz adresach ich zamieszkania.

Zbliżony do powyższego zakres danych osobowych obejmują także inne przewidziane rozporządzeniem zbiory, tj.: prowadzone przez szkoły księgi uczniów; dzienniki lekcyjne; księgi wychowanków; dzienniki zajęć wychowawczych prowadzone przez specjalne ośrodki szkolno-wychowawcze, specjalne ośrodki wychowawcze oraz placówki zapewniające opiekę i wychowanie uczniom w okresie pobierania nauki poza miejscem stałego zamieszkania; dzienniki innych zajęć. Możliwość pozyskiwania tego typu danych nie może być przez nikogo kwestionowana. W tym wypadku mamy do czynienia z dopuszczalnością przetwarzania danych jako niezbędnych dla spełnienia obowiązku wynikającego z przepisu prawa. 

Natomiast w przypadku gdy szkoła zamierza przetwarzać dane osobowe w zakresie szerszym niż wynikający z przepisów prawa, konieczne staje się uzyskanie zgody zainteresowanej osoby na przetwarzanie tych danych. Oświadczenie o zgodzie powinno wskazywać: podmiot, który ma dane przetwarzać, a także zakres danych oraz cel ich przetwarzania. Zgody nie można domniemywać w oparciu o oświadczenie woli innej treści, a także nie może ona być dorozumiana. Należy ponadto pamiętać o tym, że zgodę w odniesieniu do przetwarzania danych osoby niepełnoletniej należy uzyskać od jej rodziców (opiekunów prawnych). Uzyskanie zgody jest potrzebne np. na publikowanie na stronie internetowej, w placówce (np. na tablicy ogłoszeń, w gazetce szkolnej itp.) i w mediach informacji o uczniach lub ich wizerunku oraz na udostępnianie danych osobowych zewnętrznym firmom lub organizacjom (np. w związku z zawarciem umowy ubezpieczenia, organizacją zajęć dodatkowych, wyjazdów i wycieczek), fundacjom, stowarzyszeniom i innym organizacjom działającym na rzecz dzieci...

To wydanie dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Szkoły"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy