Jak szkoła powinna radzić sobie z przetwarzaniem danych osobowych, jakie informacje można zbierać i w jakim celu, a także jak dbać o bezpieczeństwo zgromadzonych informacji to tematy poruszane podczas II Zjazdu Akademii Zarządzania Dyrektora Szkoły. Odbył się on w marcu w Warszawie. Zagadnienia te przybliżył uczestnikom Piotr Drobek z Biura Głównego Inspektora Danych Osobowych.
Prezentacja obejmowała podstawy prawne i pojęcia związane z pojęciem ochrony danych osobowych w szkołach, obowiązki wiążące się z ich przetwarzaniem oraz wyniki kontroli GIODO przeprowadzonej w placówkach oświatowych w 2008 r.
Podstawowym aktem prawnym regulującym kwestię gromadzenia i przetwarzania danych osobowych jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Towarzyszą jej trzy rozporządzenia ministra spraw wewnętrznych i administracji: w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych oraz w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura GIODO.
Co i kiedy przetwarzamy?
Pojęciem “dane osobowe” określamy wszelkie informacje dotyczące osób fizycznych, zidentyfikowanych lub możliwych do zidentyfikowania (art. 6 ust. 1), czyli takich, których tożsamość można określić bezpośrednio lub pośrednio, poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2).
Wiele wątpliwości budzi pojęcie przetwarzania danych. Rozumiemy przez nie wszelkie operacje dokonywane na danych osobowych, zarówno te o charakterze statycznym (przechowywanie danych) jak i dynamicznym (pozyskiwanie, udostępnianie, zmienianie, usuwanie itd.). Szkoła ma do czynienia z danymi osobowymi uczniów i rodziców, a także nauczycieli i pozostałych pracowników szkoły. Za ich bezpieczeństwo odpowiedzialny jest administrator danych, którym jest dyrektor szkoły. On też decyduje o celach i środkach przetwarzania danych. Z przetwarzaniem danych osobowych w szkole związana jest odpowiedzialność administracyjno-prawna, karna, dyscyplinarna i cywilna.
Do obowiązków administratorów danych należy:
- wykazanie legalności przetwarzanych danych zwykłych (art. 23 ustawy) i szczególnie chronionych (art. 27);
- obowiązek informacyjny (art. 24 i 25). Wszystkie osoby, których dane są zbierane, muszą być o tym poinformowane już w momencie zbierania;
- zachowanie zasad: adekwatności, celowości, ograniczenia czasowego przetwarzania i merytorycznej poprawności danych osobowych – art. 26.
- respektowanie praw osób, których dane dotyczą – art. 32 i 33;
- zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych – art. 36-39 ;
- zgłoszenie zbioru danych do zarejestrowania Generalnemu Inspektorowi Danych Osobowych – art. 40 .
Istnieje pięć przesłanek do przetwarzania danych zwykłych: zgoda, realizacja obowiązków wynikających z przepisów prawa, realizacja umowy, działanie dla dobra publicznego i realizacja prawnie usprawiedliwionego celu administratora danych.
Aby przechowywanie i przetwarzanie danych było legalne, wystarczy, w przypadku danych zwykłych (art. 23) zgoda osoby, której dane dotyczą (chyba, że chodzi o usunięcie dotyczących jej danych). Zgoda ta może odnosić się także do przetwarzania danych w przyszłości, o ile cel przetwarzania nie ulegnie zmianie. Niedozwolone jest natomiast domniemywanie lub dorozumiewanie zgody na podstawie oświadczenia woli o innej treści. W przypadku osób niepełnoletnich zgoda na przetwarzanie ich danych musi być udzielona przez opiekunów.
W przypadku pracy szkół najważniejszą przesłanką do przetwarzania danych będą przepisy prawa. Są to kolejno: ustawa z dnia 19 lutego 2004 r. o systemie informacji oświatowej, ustawa z dnia 7 września 1991 . o systemie oświaty, rozporządzenie MENiS z 19 lutego 2002 r. w sprawie dokumentacji prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji itd.
Jeśli chodzi o realizację umowy, to w szkole ta przesłanka nie ma wielkiego znaczenia. W praktyce częściej spotykamy się z kolejnymi, tj. niezbędność wypełniania określonych prawem zadań realizowanych dla dobra publicznego i niezbędność wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców
- W przypadku przesłanek przetwarzania danych pojawiają się pytania, jak należy się zachować, czy operacja przetwarzania danych jest zgodna z prawem? – mówi Piotr Drobek i wyjaśnia. - O tym, jakie dane przetwarzamy, przede wszystkim decydują przepisy prawa. Ponad obecnie obowiązujące przepisy nie można zbierać informacji np. o nauczycielach. Dotyczy to też pracowników niebędących nauczycielami, choćby w sytuacji, gdy szkoła zbiera informacje o karalności pomimo, że kodeks pracy na to nie zezwala. Jak natomiast wygląda sprawa udostępniania danych o uczniach na stronach internetowych? Czy szkoła powinna mieć zgodę rodziców? Do GIODO dotarło wiele skarg, lepiej zatem, aby szkoła zaopatrzyła się w taką zgodę.
Jak zabezpieczyć dane?
Jak wygląda sytuacja z bezpieczeństwem danych? Każdy dyrektor szkoły musi zadbać o środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Dyrektor musi dysponować dwoma podstawowymi dokumentami: polityką bezpieczeństwa informacji oraz instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Mogą one mieć postać jednego dokumentu, musi on jednak zawierać elementy, które zostały określone w rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W szkole należy koniecznie powołać administratora bezpieczeństwa danych. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które posiadają upoważnienie nadane przez administratora danych. Konieczna jest kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru, komu są przekazywane, musi być też prowadzona ewidencja osób upoważnionych do przesyłania danych. Jest wreszcie obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania. System informatyczny musi być zabezpieczony przed oprogramowaniem umożliwiającym uzyskanie nieuprawnionego dostępu oraz utratą zasilania. Należy też tworzyć kopie zapasowe zbiorów danych i programów służących do ich przetwarzania. Konieczne są też procedury postępowania z nośnikami danych.
Nie jest najlepiej...
Na zakończenie Piotr Drobek przedstawił wyniki kontroli przeprowadzonej w 2008 r w 24 szkołach. Do najczęstszych uchybień należały: braki dotyczące dokumentacji przetwarzania danych osobowych (brak polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, a także ewidencji osób upoważnionych do przetwarzania danych osobowych), braki dotyczące funkcjonalności systemów informatycznych (brak funkcjonalności odnotowywania, zabezpieczenia przed utratą danych, spowodowaną awarią zasilania lub zakłóceniami w sieci zasilania, kopii zapasowych, mechanizmu kontroli dostępu do systemu, niewystarczające hasła), braki w zabezpieczeniu dokumentacji papierowej i umożliwianie dostępu do danych osobom nieupoważnionym.
Inne uchybienia dotyczyły akt osobowych pracowników szkół (art. 22.1 Kodeksu Pracy) oraz uwierzytelniania dostępu do systemu, funkcjonalności zapewniającej odnotowywanie (§ 7 ust. 1 pkt 1 i 2 oraz ust. 3 rozporządzenia MSWiA) oraz korzystania z systemów informatycznych, które nie spełniały wymogów §7 rozporządzenia.
