Post on 28-Feb-2019
Ochro
na d
anych o
sobow
ych w
jednostk
ach o
św
iaty
cena 129 zł
Ochrona danych
osobowych w jednostkach
oświaty
Adam Balicki
Adam
Balicki
Dostęp do informacji publicznej
SIO a ochrona danych osobowych
Obowiązki dyrektora jako administratora
danych osobowych
Zasady przetwarzania danych osobowych
Zabezpieczenie systemów IT
OC
HR
ON
A D
AN
YC
H O
SO
BO
WYC
H
ISBN 978-83-255-5668-6
Ochrona danych osobowych w jednostkach oświaty
Ochrona danych osobowych w oświacie stanowi bardzo ważną i trudną
problematykę. Potwierdzają to kontrole GIODO, które wykazały, że w wielu
szkołach i placówkach oświatowych dochodziło do łamania przepisów
dotyczących ochrony danych osobowych. Z tego powodu ich znajomość
jest niezbędna dla prawidłowej pracy każdej jednostki oświatowej. Znajo-
mością taką powinni wykazywać się nie tylko dyrektorzy, pełniący funkcje
administratorów danych osobowych w swoich jednostkach, ale również
wszyscy nauczyciele, którzy w codziennej pracy mają do czynienia z takimi
danymi oraz pracownicy organów prowadzących szkoły. Ponadto przepisy
prawa nakładają na każdego dyrektora szkoły i placówki opracowanie i wdro -
żenie odpowiedniej dokumentacji dotyczącej ochrony danych osobowych.
Niniejsza publikacja wyczerpująco omawia takie zagadnienia jak:
n regulacje prawne dotyczące ochrony danych osobowych obowiązujące
jednostki oświatowe,
n rodzaje przetwarzanych danych osobowych,
n wzory dokumentacji szkolnej związanej z ochroną danych osobowych,
n rodzaje zbiorów danych osobowych w szkołach,
n zasady dopuszczalności przetwarzania danych osobowych,
n obowiązki dyrektora szkoły jako administratora danych osobowych,
n przetwarzanie danych osobowych w systemach IT,
n kontrole GIODO w szkołach,
n ochrona danych osobowych w zakresie przekazywania informacji do SIO,
n dostęp do informacji publicznej w jednostkach oświaty.
dr Adam Balicki – prawnik, historyk, archiwista, absolwent Wydziału Prawa,
Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego
Jana Pawła II w Lublinie oraz Wydziału Nauk Humanistycznych tejże uczelni.
Ukończył kurs kwalifikacyjny z zakresu organizacji i zarządzania oświatą.
Adiunkt w Katedrze Prawa Cywilnego i Postępowania Cywilnego na Wydziale
Zamiejscowym Nauk Prawnych i Ekonomicznych KUL w Tomaszowie Lubel-
skim oraz nauczyciel dyplomowany w Zespole Szkół Zawodowych i Ogólno -
kształcących w Biłgoraju. Autor kilkudziesięciu publikacji naukowych, ko men -
tarzy i poradników z zakresu prawa oświatowego, cywilnego oraz historii.
Wykładowca na kursach kwalifikacyjnych z zakresu organizacji i zarządza-
nia oświatą oraz licznych szkoleniach i warsztatach dla nauczycieli i kadry
kierowniczej oświaty dotyczących prawa oświatowego i prawa w oświacie
(w tym w zakresie ochrony danych osobowych w szkole).
Ochrona danych osobowychw jednostkach oświaty
zdrapka24:zdrapka10.qxd 13-09-11 13:05 Page 1
Wydawnictwo C. H. Beck, Beck Info Biznesul. Bonifraterska 17; 00-203 Warszawa
tel.: (22) 311 22 22; faks (22) 33 77 601
e-mail: bibredakcja@beck.pl
www.beckinfobiznes.pl
Zakup książki daje dostęp (po wpisaniu kodu ze zdrapki) do pakietu podstawowego portalu www.ekspertbeck.pl przez 1 miesiąc gratis.UWAGA! Naruszenie pola ze zdrapką jest równoznacznez zakupieniem produktu!
OchrDanOÊw
Ochrona danych osobowychw jednostkach oświaty
zdrapka24:zdrapka10.qxd 13-09-11 13:06 Page 2
Adam Balicki
Ochrona danych osobowych w jednostkach oświaty
Wydawnictwo C.H. Beck Warszawa 2013
Ochrona danych osobowych w jednostkach oświaty
1. wydanie
Stan prawny: wrzesień 2013
Autor:Adam Balicki
Redaktor prowadzący: Marcin Majchrzak
Korekta: Anna Kolasa
© Wydawnictwo C.H. Beck 2013
Wszelkie prawa zastrzeżone. Opinie zawarte w niniejszej publikacji wyrażają osobisty punkt widzenia Autorów.
Wydawnictwo C.H. Beck nie ponosi odpowiedzialności za zawarte w niej informacje.
Wydawnictwo C.H. Beck Sp. z o.o.ul. Bonifraterska 17, 00-203 Warszawa
tel.: 22 31 12 222faks: 22 33 77 601
www.beck.plwww.beckinfobiznes.pl
Skład i łamanie: PanDawerDruk: Totem, Inowrocław
ISBN 978-83-255-5668-6ISBN e-book 978-83-255-5669-3
IIIIII
Spis treściWykaz autorów ........................................................................................................................................................... VWykaz skrótów ............................................................................................................................................................ VIIWprowadzenie ............................................................................................................................................................ IX 1. Regulacje prawne dotyczące ochrony danych osobowych ........................................................... 1
1.1. Podstawowe akty prawne regulujące ochronę danych osobowych w szkole i placówce oświatowej ................................................................................................................................................... 1
1.2. Podstawowe pojęcia związane z ochroną danych osobowych ................................................ 3 2. Rodzaje danych osobowych przetwarzanych przez szkołę ........................................................... 11
2.1. Rodzaje danych osobowych przetwarzanych przez szkołę i placówkę oświatową ........... 11 2.2. Dane osobowe wrażliwe ......................................................................................................................... 11 2.3. Dane osobowe zwykłe ............................................................................................................................. 13 2.4. Dane osobowe uczniów .......................................................................................................................... 14 2.5. Dane osobowe nauczycieli i pracowników szkoły ......................................................................... 23
3. Dokumentacja szkolna związana z przetwarzaniem danych osobowych .............................. 29 3.1. Rodzaje dokumentacji związanej z przetwarzaniem danych osobowych w szkole .......... 29 3.2. Polityka Bezpieczeństwa Informacji .................................................................................................... 29 3.3. Instrukcja zarządzania systemem informatycznym ....................................................................... 45 3.4. Rejestr osób upoważnionych do przetwarzania danych osobowych .................................... 54 3.5. Inna dokumentacja związana z ochroną danych osobowych w szkole ................................. 56
4. Rodzaje zbiorów danych osobowych w szkołach i placówkach oświatowych ..................... 75 4.1. Przykładowe zbiory danych osobowych w szkołach .................................................................... 75 4.2. Postępowanie ze zbiorami danych osobowych w szkole ........................................................... 77 4.3. Rejestracja zbiorów danych osobowych ........................................................................................... 78
5. Dopuszczalność przetwarzania danych osobowych w szkole ..................................................... 85 5.1. Dopuszczalność przetwarzania danych osobowych .................................................................... 85 5.2. Zgoda osoby na przetwarzanie danych osobowych .................................................................... 87 5.3. Prawa osoby, której dane osobowe są przetwarzane ................................................................... 90
6. Obowiązki dyrektora szkoły jako administratora danych osobowych .................................... 93 6.1. Obowiązki dyrektora szkoły związane z przetwarzaniem danych osobowych ................... 93 6.2. Odpowiedzialność dyrektora jako administratora danych osobowych w szkole
i placówce oświatowej ............................................................................................................................. 95 6.3. Administrator Bezpieczeństwa Informacji – zasady powoływania, obowiązki ................... 97
7. Zabezpieczenie systemów IT w kontekście ochrony danych osobowych .............................. 101 7.1. Zagrożenia przy przetwarzaniu danych osobowych w systemach IT ..................................... 101 7.2. Podstawowe terminy związane z przetwarzaniem danych osobowych w systemach
informatycznych ......................................................................................................................................... 103 7.3. Poziomy bezpieczeństwa i rodzaje zabezpieczeń ......................................................................... 105 7.4. Dziennik elektroniczny a ochrona danych osobowych ............................................................... 108
IV
Spis treści
8. Generalny Inspektor Ochrony Danych Osobowych .......................................................................... 111 8.1. Zadania Głównego Inspektora Ochrony Danych Osobowych .................................................. 111 8.2. Kontrole GIODO w szkołach i placówkach oświatowych ............................................................ 113 8.3. Decyzje GIODO dotyczące szkół i placówek oświatowych ......................................................... 115 8.4. Interpretacje GIODO na temat stosowania przepisów o ochronie danych osobowych
w szkołach i placówkach oświatowych .............................................................................................. 131 9. System Informacji Oświatowej a ochrona danych osobowych .................................................... 143
9.1. Wprowadzenie ............................................................................................................................................ 143 9.2. Zakres danych gromadzonych w Rejestrze Szkół i Placówek Oświatowych ........................ 146 9.3. Rejestr Szkół i Placówek Oświatowych ............................................................................................... 151 9.4. Przekazywanie danych do bazy danych SIO .................................................................................... 152 9.5. Dostęp do bazy danych Systemu Informacji Oświatowej ........................................................... 157 9.6. Nadzór nad bezpieczeństwem przekazywania i pozyskiwania danych z bazy SIO ........... 161 9.7. Przechowywanie danych w bazach SIO ............................................................................................ 164
10. Problematyka dostępu do informacji publicznej w jednostkach oświaty ............................. 16710.1. System informacji publicznej ................................................................................................................ 16710.2. Nowelizacja przepisów z 2011 r. ........................................................................................................... 17110.3. Ograniczenia prawa dostępu do informacji publicznej ............................................................... 17110.4. Stosowanie ustawy o dostępie do informacji publicznej w szkole .......................................... 174
10.4.1. Rodzaje informacji publicznych udostępnianych w szkole .......................................... 17510.4.2. Obowiązki dyrektora szkoły ...................................................................................................... 17810.4.3. Postępowanie w sprawie wywołanej wnioskiem o udostępnieniem informacji
publicznej ....................................................................................................................................... 17910.4.3.1. Odwołanie od decyzji ............................................................................................... 18210.4.3.2. Opłaty ............................................................................................................................. 183
10.5. Odpowiedzialność karna ........................................................................................................................ 18310.6. Biuletyn Informacji Publicznej ............................................................................................................... 18410.7. Wzory dokumentów z zakresu dostępu do informacji publicznej ........................................... 184
11. Przepisy prawne .................................................................................................................................................. 19311.1. Ustawa z 29.8.1997 r. o ochronie danych osobowych .................................................................. 19311.2. Rozporządzenie MSWiA z 11.12.2008 r. ............................................................................................. 22011.3. Rozporządzenie MSWiA z 29.4.2004 r. ................................................................................................ 228
V
Wykaz autorów
dr Adam Balicki – prawnik, historyk, archiwista, absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II w Lublinie oraz Wydziału Nauk Humanistycznych tejże uczelni. Ukończył kurs kwa-lifikacyjny z zakresu organizacji i zarządzania oświatą. Egzaminator Okręgowej Ko-misji Egzaminacyjnej w Krakowie w zakresie egzaminu maturalnego z historii i wie-dzy o społeczeństwie oraz egzaminu zawodowego w zawodzie technik administracji i technik ochrony fizycznej osób i mienia. Adiunkt w Katedrze Prawa Cywilnego i Postępowania Cywilnego na Wydziale Zamiejscowym Nauk Prawnych i Ekono-micznych KUL w Tomaszowie Lubelskim oraz nauczyciel dyplomowany w Zespole Szkół Zawodowych i Ogólnokształcących w Biłgoraju. Autor kilkudziesięciu publi-kacji naukowych, komentarzy i poradników z zakresu prawa oświatowego, cywilne-go oraz historii. Wykładowca na kursach kwalifikacyjnych z zakresu organizacji i zarządzania oświatą oraz licznych szkoleniach i warsztatach dla nauczycieli i kadry kierowniczej oświaty dotyczących prawa oświatowego i prawa w oświacie (w tym w zakresie ochrony danych osobowych w szkole). Autor rozdziałów 1–9.3, a także 9.5–10 książki „Ochrona danych osobowych w jednostkach oświaty”.
Michał Łyszczarz – współautor komentarza do ustawy o systemie oświaty, autor szeregu publikacji z zakresu prawa oświatowego, obecnie zatrudniony w Wydziale Nadzoru Prawnego Śląskiego Urzędu Wojewódzkiego. Autor podrozdziału 9.4 książki „Ochrona danych osobowych w jednostkach oświaty”.
Karolina Woźniczko – absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, radca prawny, członek Okręgowej Izby Radców Prawnych w War-szawie. Pracownik Ministerstwa Pracy i Polityki Społecznej. W kręgu jej szczegól-nych zainteresowań znajduje się prawo pracy i prawo oświatowe. Autorka licznych opracowań i artykułów na temat prawa pracy, indywidualnego jak i zbiorowego, a także prawa oświatowego. Autor rozdziału 10 książki „Ochrona danych osobowych w jednostkach oświaty”.
VII
Wykaz skrótówart. ............................................. artykuł
Dz.U. ......................................... Dziennik Ustaw
GIODO .................................... Generalny Inspektor Ochrony Danych Osobowych
InPubU .................................... ustawa z 6.9.2001 r. o dostępie do informacji publicz-nej (Dz.U. Nr 112, poz. 1198 ze zm.)
JST ............................................ jednostka samorządu terytorialnego
KC ............................................. ustawa z 23.4.1964 r. – Kodeks cywilny (Dz.U. Nr 16, poz. 93 ze zm.)
KK ............................................. ustwa z 6.6.1997 r. – Kodeks karny (Dz.U. Nr 88, poz. 553 ze zm.)
KPA .......................................... ustawa z 14.6.1960 r. – Kodeks postępowania admi-nistracyjnego (t.j. Dz.U. z 2013 r., poz. 267)
KP ............................................. ustawa z 26.6.1974 r. – Kodeks pracy (t.j. Dz.U. z 1998 r. Nr 21, poz. 94 ze zm.)
OchrDanU ............................... ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm.)
pkt ............................................. punkt
SIO ............................................ System Informacji Oświatowej
SN ............................................. Sąd Najwyższy
SysOśwU .................................. ustawa z 7.9.1991 r. o systemie oświaty (t.j. Dz.U. z 2004 r. Nr 2004 r. Nr 256, poz. 2572 ze zm.)
NSA .......................................... Naczelny Sąd Administracyjny
WSA ......................................... wojewódzki sąd administracyjny
ze zm. ........................................ ze zmianami
IX
Wprowadzenie
Ochrona danych osobowych w szkołach i placówkach oświatowych stanowi niezwy-kle ważną problematykę. Ze względu na specyfikę pracy szkoły przetwarzane są w niej dane osobowe uczniów, nauczycieli, jak również rodziców. Przetwarzanie to odbywa się w sposób tradycyjny, a także za pomocą systemów informatycznych. Wymusza to na dyrektorze szkoły, jako administratorze danych osobowych w kiero-wanej przez niego placówce, zastosowanie właściwych zabezpieczeń, tak technicz-nych, jak i organizacyjnych. Kontrole Głównego Inspektora Ochrony Danych Oso-bowych w szkołach i placówkach oświatowych wskazują, że przepisy dotyczące ochrony danych osobowych, niejednokrotnie nie były przestrzegane, co wiązało się z poważnymi konsekwencjami wobec kierujących tymi placówkami dyrektorów. Sprawy ochrony danych osobowych w szkołach są często przedmiotem decyzji i wy-stąpień Głównego Inspektora Danych Osobowych. Świadczy to o tym, że znajomość przepisów ustawy o ochronie danych osobowych, jak również wydanych na jej pod-stawie aktów wykonawczych w szkołach i placówkach oświatowych nie jest po-wszechna. Jest to zrozumiałe, gdyż w gąszczu ciągle zmieniających się przepisów prawa oświatowego zagadnienia te mogą zostać przeoczone.
Znajomość zasad ochrony danych osobowych wymusza również wprowadzenie no-wego Systemu Informacji Oświatowej. Specyfika przetwarzanych przy tej okazji da-nych osobowych wymaga zachowania szczególnej ostrożności i właściwych proce-dur. Dlatego problematyka ta została w sposób obszerny omówiona w niniejszej publikacji.
Ponadto przepisy prawa nakładają na każdego dyrektora szkoły i placówki opracowa-nie i wdrożenie odpowiedniej dokumentacji dotyczącej ochrony danych osobowych.
Należy również zwrócić uwagę, że mimo tego, że administratorem danych osobo-wych w szkole jest jej dyrektor, i to on ponosi największą odpowiedzialność w przy-padku nieprzestrzegania przepisów dotyczących ochrony danych osobowych, to również każdy nauczyciel w codziennej pracy ma do czynienia z takimi danymi i powinien wiedzieć, w jaki sposób z nimi postępować.
X
Wprowadzenie
Niniejsza publikacja prezentuje omówienie najważniejszych przepisów dotyczących ochrony danych osobowych z uwzględnieniem specyfiki pracy szkoły. Ponadto znaj-dują się w niej wzory niezbędnej dokumentacji, jak również decyzje oraz wystąpienia Głównego Inspektora Ochrony Danych Osobowych dotyczące szkół i placówek oświatowych. W publikacji wskazane zostały przesłanki dopuszczalności przetwa-rzania danych osobowych w szkołach, rodzaje tych danych, wraz ze wskazaniem w jaki sposób należy z nimi postępować. Omówiona została również problematyka rejestracji baz danych osobowych w GIODO.
Adam Balicki
1
1. Regulacje prawne dotyczące ochrony danych osobowych
1.1. Podstawowe akty prawne regulujące ochronę danych osobowych w szkole i placówce oświatowejPodstawowym aktem prawnym regulujących ochronę danych osobowych jest usta-wa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm., dalej OchrDanU). Przywołana ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są prze-twarzane lub mogą być przetwarzane w zbiorze danych. Przepisy ustawy stosuje się do przetwarzania danych osobowych w:1) kartotekach,2) skorowidzach,3) księgach,4) wykazach,5) zbiorach ewidencyjnych (różnego rodzaju),6) systemach informatycznych, także w przypadku przetwarzania danych poza
zbiorem.
OchrDanU znajduje zastosowanie w przypadku organów państwowych, organów samorządu terytorialnego oraz państwowych i komunalnych jednostek organiza-cyjnych.
Zgodnie z decyzją Głównego Inspektora Ochrony Danych Osobowych (dalej GIODO) z 1999 r. jednostki komunalne wykonujące w imieniu gminy zadania, które mają na celu zaspokajanie potrzeb społeczności lokalnej, stają się administratorami
2
1. Regulacje prawne dotyczące ochrony danych osobowych
danych osobowych zgodnie z OchrDanU. Takimi podmiotami są szkoły i inne jed-nostki działające w systemie oświaty.
Przepis art. 3a OchrDanU wyłącza stosowanie przepisów ustawy w stosunku do:1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub
domowych,2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,
wykorzystujących środki techniczne znajdujące się na terytorium Polski wyłącz-nie do przekazywania danych.
Również w przypadku, gdy przepisy odrębnych ustaw, które odnoszą się do przetwa-rzania danych, przewidują dalej idącą ochronę niż wynika to z OchrDanU zastoso-wanie będą miały właśnie te przepisy.
OchrDanU ma ograniczone zastosowanie w przypadku zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub związanych z edukacją w szkołach wyższych. Dane takie, po ich wykorzystaniu, są niezwłocznie usuwane lub poddawane anonimizacji. W praktyce szkolnej będą to wszelkie listy wpłat uczestników wycieczek itp., prowadzone przez wychowawcę klasy poza obowiązkową dokumentacją szkolną. W stosunku do takich zbiorów da-nych stosuje się przepisy ustawy dotyczące ich zabezpieczania.
Obok przepisów OchrDanU omawianą problematykę regulują akty wykonawcze do tej ustawy:1) rozporządzenie Prezydenta Rzeczypospolitej Polskiej z 10.10.2011 r. w sprawie
nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2011 r. Nr 225, poz. 1350),
2) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspekto-rowi Ochrony Danych Osobowych (Dz.U. z 2008 r. Nr 229, poz. 1536),
3) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków tech-nicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024),
4) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 22.4.2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2004 r. Nr 94, poz. 923).
Rozporządzenie MSWiA z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych określa
3
1.2. Podstawowe pojęcia związane z ochroną danych osobowych
wzór zgłoszenia zbioru danych do rejestracji GIODO, który stanowi załącznik do rozporządzenia.
Natomiast rozporządzenie MSWiA z 29.4.2004 r. w sprawie dokumentacji przetwa-rzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określa:1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania
danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii da-nych objętych ochroną,
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobo-wych,
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bez-pieczeństwa ich przetwarzania.
Przepisy tego rozporządzenia nakładają na szkoły i placówki oświatowe obowiązek opracowania dwóch dokumentów:1) polityki bezpieczeństwa danych osobowych,2) instrukcji zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych.
1.2. Podstawowe pojęcia związane z ochroną danych osobowychOchrDanU definiuje najważniejsze pojęcia związane z ochroną danych osobo-wych. Definicje te muszą być stosowane w zakresie ochrony danych osobowych. Zgodnie z przywołaną regulacją za dane osobowe uważa się wszystkie informacje dotyczące:1) zidentyfikowanej osoby,2) osoby możliwej do zidentyfikowania.
Osobą fizyczną jest każdy człowiek. Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamość może być określona bezpośrednio lub pośrednio. Identyfi-kacja taka może nastąpić poprzez:1) powołanie się na numer identyfikacyjny,2) jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjolo-
giczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
4
1. Regulacje prawne dotyczące ochrony danych osobowych
Cechy te muszą być specyficzne dla danej osoby i muszą jednoznacznie na nią wskazywać.
Informacja nie będzie uważana za umożliwiającą określenie tożsamości osoby w przypadku, gdyby wymagało to nadmiernych:1) kosztów,2) czasu,3) działań.
Pojęcie zbioru danych zdefiniowane zostało w przepisie art. 7 pkt 1 OchrDanU. Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zgodnie z przywołaną definicją zbiorem danych będzie każdy posiadający strukturę zestaw danych o ta-kich cechach jak:1) charakter osobowy,2) dostępność według określonych kryteriów, bez względu na to, czy jest rozproszo-
ny czy podzielony funkcjonalnie.
Ponadto zestaw danych, aby został uznany za zbiór danych, musi spełniać kumula-tywnie takie warunki jak:1) zawierać dane osobowe,2) posiadać określoną strukturę,3) zapewniać dostęp do danych osobowych według określonych kryteriów1.
Dane osobowe w zbiorze danych mogą być utrwalone w różny sposób:1) obrazem,2) słowem,3) dźwiękiem2.
Ze zbiorem danych mamy do czynienia również w sytuacji, gdy znajdują się tam dane tylko jednej osoby, np. ucznia. Ażeby uznać określony zbiór danych za zbiór danych osobowych w rozumieniu OchrDanU, w skład zbioru danych musi wchodzić więcej niż jedna informacja. Cechą, która odróżnia zbiór danych osobowych od in-nych zbiorów, będzie istnienie jednej lub kilku cech pozwalających na odnalezienie w zbiorze szukanej informacji bez potrzeby przeglądania całego zestawu3.
Cechą zbioru danych osobowych jest jego dostępność. Dlatego jeżeli dotarcie do poszukiwanych danych w zbiorze będzie możliwe, ale jednocześnie znacznie utrud-
1 M. Sakowska, Pojęcie „zbiór danych” na gruncie ustawy o ochronie danych osobowych, Państwo i Prawo 2003, z. 2, s. 57.2 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 391.3 A. Mednis, Ustawa ..., s. 106.
5
1.2. Podstawowe pojęcia związane z ochroną danych osobowych
nione, nie będziemy mieli do czynienia ze zbiorem danych osobowych, zgodnie z OchrDanU.
GIODO w sprawozdaniu za 2000 r. uznał, że zapis obrazu zarejestrowanego przez kamery służące do monitoringu miasta nie stanowi zbioru danych osobowych. Ana-logicznie można stwierdzić, że podobne zapisy obrazu przez monitoring szkolny również nie będą spełniały warunku dostępności z punktu widzenia przepisów OchrDanU.
Za przetwarzanie danych osobowych, zgodnie z przepisami OchrDanU, uważa się wszelkie operacje, które wykonywane są na danych osobowych. W szczególności możemy zaliczyć do nich:1) zbieranie danych osobowych,2) utrwalanie danych osobowych,3) przechowywanie danych osobowych,4) opracowywanie danych osobowych,5) zmienianie danych osobowych,6) udostępnianie danych osobowych,7) usuwanie danych osobowych.
Za przetwarzanie danych osobowych uważa się w szczególności te operacje, których dokonuje się w systemach informatycznych.
Przy ocenie, czy dana czynność może być zakwalifikowana jako zbieranie danych osobowych, należy ocenić, w jakim celu dana osoba wchodzi w posiadanie określo-nych danych osobowych. W przypadku, gdy celem jest wyłącznie zapoznanie się z informacjami, bez zamiaru ich dalszego przetwarzania, takich czynności nie będzie można zaliczyć jako przetwarzanie danych osobowych. Jeżeli jednak następuje dal-sze przetwarzanie zebranych danych należy przyjąć, że doszło do przetwarzania da-nych osobowych4.
Nie jest również konieczne, aby osoba, która dane zbiera, znała ich treść. Wystarcza-jące jest, aby weszła w ich posiadanie z zamiarem ich dalszego przetwarzania. Wów-czas również mamy do czynienia z przetwarzaniem danych osobowych5.
System informatyczny na gruncie OchrDanU został zdefiniowany jako zespół współpracujących ze sobą:1) urządzeń,2) programów,
4 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 115.5 Tamże, s. 115–116.
6
1. Regulacje prawne dotyczące ochrony danych osobowych
3) procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych osobowych.
Szczególne miejsce przy przetwarzaniu danych osobowych odgrywa zabezpiecze-nie danych w systemie informatycznym. Jako takie zabezpieczenie przepisy Ochr-DanU wskazują wdrożenie i eksploatację stosownych środków technicznych i or-ganizacyjnych zapewniających ochronę danych przed ich nieusprawiedliwionym przetwarzaniem.
Przy przetwarzaniu danych osobowych ważną czynnością jest ich usuwanie. Przez usuwanie danych osobowych rozumie się:1) zniszczenie danych osobowych,2) modyfikację danych osobowych w ten sposób, że nie będzie możliwe ustalenie
tożsamości osoby, której dotyczą.
Pierwsza z wymienionych czynności polegać będzie na definitywnym i bezpowrotnym usunięciu danych osobowych lub fizycznym zniszczeniu nośnika, na którym dane były przechowywane. Czynności te mają doprowadzić do niemożliwości odtworzenia da-nych. Drugi sposób usuwania danych osobowych to ich anonimizacja. Anonimizacja danych polega na dokonaniu takich operacji na danych osobowych, w wyniku których nie będzie możliwe rozpoznanie osoby, której dane dotyczą. Najczęściej odbywa się ona poprzez usunięcie części danych. W odróżnieniu od usunięcia danych lub znisz-czenia ich nośników anonimizacja skutkuje możliwością dalszego dokonywania ope-racji na ich części. Nie będą one jednak umożliwiały zidentyfikowania tożsamości konkretnej osoby6.
Zgodnie z przepisami OchrDanU za przetwarzanie danych osobowych w danej jednostce odpowiedzialny jest administrator danych. Administratorem danych osobowych jest:1) organ,2) jednostka organizacyjna,3) podmiot,4) osoba – decydująca o celach i środkach przetwarzania danych osobowych.
Administrator danych osobowych łączy w sobie dwa uprawnienia:1) decyduje o celach przetwarzania danych osobowych,2) decyduje o środkach przetwarzania danych osobowych.
W szkole administratorem danych osobowych jest zawsze jej dyrektor. Sprawuje on władztwo oraz kontrolę nad przetwarzanymi danymi osobowymi. Dyrektor będzie również administratorem danych osobowych w sytuacji, gdy szkoła lub
6 Tamże, s. 123.
7
1.2. Podstawowe pojęcia związane z ochroną danych osobowych
placówka oświatowa powierzy prowadzenie dziennika elektronicznego zewnętrz-nemu podmiotowi w drodze umowy. Nawet w sytuacji, gdy na mocy tejże umowy, dyrektor szkoły nie będzie miał fizycznej styczności z danymi osobowymi od etapu ich zebrania, aż do ich usunięcia, to i tak będzie mu przysługiwał status wspomnia-nego administratora danych osobowych – o ile będzie decydował o celach i środ-kach przetwarzania danych. Podmiot, któremu powierzono przetwarzanie danych w drodze umowy:1) może przetwarzać dane wyłącznie w zakresie i celu określonym w umowie,2) jest zobowiązany podjąć środki zabezpieczające zbiór danych oraz spełnić wy-
magania określone przepisami prawa.
Zgodnie z postanowieniem Sądu Najwyższego z 11.12.2001 r. (sygn. akt II KKN 438/00) rozróżnione zostało pojęcie administratora danych osobowych od admini-strującego danymi osobowymi. Zgodnie z przywołanym postanowieniem, za admi-nistratora danych osobowych można uznać taki podmiot, który decyduje o środkach i celach przetwarzania danych osobowych. Administrującym danymi osobowymi jest natomiast taki podmiot, który zarządza, zawiaduje danymi lub zbiorem danych osobowych.
Z powyższego wynika, że administratorem danych osobowych w szkole będzie za-wsze jej dyrektor, gdyż:1) podejmuje on samodzielnie decyzje dotyczące celów i środków użytych do prze-
twarzania danych osobowych,2) jest odpowiedzialny za bezpieczeństwo danych osobowych,3) ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobo-
wych.
Statusu administratora danych osobowych w szkołach i placówkach oświatowych nie posiadają jednostki obsługi ekonomiczno-administracyjnej szkół i placówek. Jednostki te przetwarzają dane osobowe na zlecenie administratora danych. Spoczy-wają więc na nich tylko obowiązki nałożone na podmioty, którym administrator powierzył w drodze umowy przetwarzanie danych osobowych.
Przetwarzanie danych osobowych musi być oparte na określonych przesłankach. Są nimi uprawnienia lub obowiązki wynikające z przepisów prawa lub zgoda oso-by, której dane są przetwarzane. Z tymi dwoma przesłankami będziemy mieli do czynienia w przypadku przetwarzania danych osobowych przez szkoły i placówki oświatowe.
Zgodnie z definicją zgody osoby, której dane dotyczą, zawartą w OchrDanU, za taką zgodę rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda taka nie może być domnie-