Szkoła pozostaje administratorem danych, nawet gdy uczniowski dziennik prowadzi zewnętrzna firma

Samorządy mogą powierzać firmom prywatnym wykonanie niektórych z ciążących na nich zadań. Jednak na ogół wiąże się to z udostępnianiem danych osobowych. Jak należy to robić?

Urzędnicy samorządowi powinni zdawać sobie sprawę z tego, że często mają do czynienia z tajemnicami chronionymi ustawami szczególnymi, innymi niż ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 102, poz. 926 z późn. zm.) . Wtedy podlegają ściśle określonemu w tych przepisach reżimowi, który istotnie ogranicza możliwości outsourcowania, czyli przekazywania danych zewnętrznym wobec samorządu podmiotom. Natomiast na gruncie ustawy o ochronie danych osobowych nie ma specjalnych ograniczeń dla stosowania tej praktyki. Jeżeli administratorem danych osobowych pozostaje gmina lub inna jednostka, która gminie podlega (np. dyrektor przedszkola czy szkoły), a zewnętrzny podmiot jest procesorem, czyli jedynie przetwarza dane osobowe, to taka sytuacja wymaga uprzedniego sporządzenia prawidłowej umowy o powierzeniu przetwarzania danych osobowych, zgodnej z dyspozycjami art. 31 ustawy o ochronie danych osobowych. Takie postępowanie nie jest bardzo trudne. Przy tym zawsze można liczyć na pomoc Biura GIODO. Ponadto jest wyczerpująco opisane w literaturze, więc nie powinno rodzić problemów. W praktyce - wystarczy do niej sięgnąć lub skorzystać z informacji zamieszczonych na stronie internetowej GIODO. Problemy zaczynają się wtedy, gdy jakieś działania publiczne będące zadaniami samorządu są wykonywane przez podmiot zewnętrzny i to ów podmiot staje się faktycznym administratorem danych osobowych.

Kiedy konkretnie dochodzi do takiej sytuacji?

Jednymi z jednostek samorządowych, które często mają do czynienia z taką sytuacją, są szkoły. Wśród nich znana jest i coraz częściej stosowana praktyka posługiwania się elektronicznym dziennikiem ucznia. Gdy jest on prowadzony na serwerze znajdującym się pod kontrolą szkoły i przy użyciu oprogramowania, które jest jej własnością, to problemu nie ma. Jeśli oprogramowanie należy do szkoły, a dziennik znajduje się na serwerze firmy hostingowej, to też nie ma problemu, pod warunkiem że podstawą jej współpracy z hosterem jest starannie przygotowana umowa. Często jednak zarówno oprogramowanie, jak i serwer nie są własnością szkoły, lecz podmiotu zewnętrznego. W takiej sytuacji trzeba uważać, by szkoła, która decyduje o celu i sposobie przetwarzania danych zapisanych w e-dzienniku, nie utraciła przymiotu administratora. Powinna przy tym zadbać, by przekazywane na zewnątrz dane były przechowywane w wyodrębnionym zbiorze i by istniała możliwość bieżącego jego kontrolowania. Takie same obowiązki spoczywają na wszystkich gminach, powiatach czy województwach, które przekazują zewnętrznemu podmiotowi choćby część uprawnień do powierzonych im danych osobowych.

Czy dane zgromadzone na potrzeby wyborów, np. listy wyborcze, można wykorzystywać do innych celów?

Z zasady nie. Jeśli nie jest to przewidziane przez kodeks wyborczy czy przez inne ustawy, które mają zastosowanie do takiej sytuacji, to nie należy tego robić. Przepisy karne dołączone do kodeksu wyborczego skutecznie odstraszają od popełniania tego rodzaju wykroczeń. Częściej dochodzi do sytuacji odwrotnej, w której do działań związanych z wyborami wykorzystuje się zbiory danych osobowych stworzone w zupełnie innym celu. Np. lekarz startujący w wyborach samorządowych wykorzystuje dane pacjentów do agitacji wyborczej, nauczycielka w tym samym celu sięga po listy rodziców uczniów czy kandydat na prezydenta miasta i jednocześnie urzędujący prezydent wykorzystuje informacje z karty miejskiej na potrzeby marketingu wyborczego. Takie zachowania mogą być podstawą do wyciągnięcia surowych konsekwencji karnych. Jednak dla osób pragnących uczestniczyć w życiu publicznym i polityce najgorszym efektem jest nie tyle proces karny i ewentualny wyrok sądowy, ile poinformowanie opinii publicznej o tego rodzaju nadużyciu. Potencjalni wyborcy otrzymują sygnał, że określony kandydat już na starcie nie dba o interesy swoich wyborców, i to interesy prawnie chronione. To może być znacznie większa kara niż wszelkie konsekwencje wyciągnięte w postępowaniu karnym.

W przypadku kandydata na prezydenta miasta, którego sztab wyborczy wykorzystał dane z karty miejskiej, najbardziej poszkodowaną osobą był - moim zdaniem - ów prezydent. Postępowanie prowadzone w tej sprawie dowiodło, że nie był on świadomy procederu, który uruchomił jeden z członków jego sztabu politycznego. Jednak całe odium afery spadło właśnie na prezydenta. Wyborcy byli zawiedzeni, że urzędnicy miejscy wykorzystują dane zgromadzone w urzędzie do wspierania jego akcji wyborczej.

O czym samorząd powinien informować osoby, których dane zbiera?

O podstawach prawnych zbierania danych. Problem z instytucjami publicznymi polega na tym, że mają ustawowy nakaz zbierania określonych danych, a mimo to do akcji ich zbierania dołączają klauzulę zgody na przetwarzanie danych osobowych. W ten sposób niepotrzebnie sugerują, że udostępnienie danych zależy od uzyskania zgody obywatela. Może to wprowadzić w błąd, wywołując przekonanie o możliwości wyboru, którego de facto obywatele tu nie mają. Instytucje powinny też poinformować, dla jakiego celu zbierają dane i gdzie je umieszczą - np. w publicznie dostępnym rejestrze. Mają również obowiązek umożliwić poprawianie gromadzonych danych w sytuacji, gdy okaże się, że są one nieprawidłowe.

Na jaką ocenę zasługuje praktyka udostępniania w charakterze informacji publicznej zmodyfikowanych dokumentów, w których dane osobowe są zaczernione?

Eliminowanie danych osobowych, które uznajemy za ingerujące w prywatność, przez ich zaczernianie, jest dość popularną praktyką. Nie budzi ona zastrzeżeń prawnych. Warto jednak posługiwać się tą metodą w sposób przemyślany, bo w wielu przypadkach zaczernienie danych nie spełnia swojego zadania, np. gdy z kontekstu bardzo łatwo domyśleć się, co jest pod zaczernieniem. Znane są też przypadki tak nieudolnego zaczerniania danych, że zainteresowane ich poznaniem osoby podczas przeglądania dokumentów w trybie online najeżdżały na zaczernienie myszką, odsuwały je na bok i bez trudu zapoznawały się z tym, co pod nim się kryło.

Czym powinien kierować się urzędnik w sytuacji, w której ma trzy różne dyspozycje ustawowe. Ustawa z 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. z 2001 r. nr 112, poz. 1198 z późn.zm.) nakazuje publikację, ustawa o ochronie danych osobowych nakazuje strzeżenie prywatności, a jeszcze inna dyspozycja wynika z ustaw szczególnych, np. z ustawy z 21 listopada 2008 r. o pracownikach samorządowych (Dz.U. z 2008 r. nr 223, poź. 1458 z późn. zm.)?

Zgodnie z podstawową zasadą kolizyjną w interpretacji prawa normy ustawowe o większym stopniu szczegółowości należy stosować przed normami ogólnymi (lex specialis derogat legi generali). Dlatego najmniej wątpliwości budzi sytuacja, w której urzędnik ma do czynienia ze wskazaniami ustaw szczególnych (lex specialis). Np. z takich ustaw wynika obowiązek złożenia przez część urzędników oświadczeń majątkowych. Porównuje się je z normami ogólnymi wynikającymi z ustawy o ochronie danych osobowych (legi generali). Przepisy szczególne dość precyzyjnie opisują, w jaki sposób i w jakim zakresie należy określony obowiązek wykonać. Nie ma tu wątpliwości. Gorzej jest w sytuacji, gdy informacja, która może być uznana za informację publiczną, stanowi tajemnicę prawnie chronioną. Wtedy jest niepewność, czy można ją opublikować. Tajemnic prawnie chronionych według różnych oszacowań jest od 40 do 100. Z częścią z nich urzędnicy samorządowi spotykają się na co dzień. Przykładem są dokumenty zawierające informacje objęte tajemnicą lekarską. Powstaje pytanie, czy dokumenty zawierające tego rodzaju dane, mogą być udostępniane jako informacja publiczna. W takiej sytuacji potrzebna jest nie tylko gruntowna znajomość przepisów, ale i rozwaga. Urzędnik ma bowiem do czynienia z dwoma jakby konkurującymi interesami i powinien postępować w sposób, który nie narazi go na podejrzenie, że zachowuje się w sposób stronniczy, dając priorytet któremuś z tych interesów. Z pewnością jednak każda sytuacja wymaga indywidualnego podejścia.

W jaki sposób można wtórnie wykorzystywać informacje publiczne?

W 2011 r. w nowelizacji ustawy o dostępie do informacji publicznej (Dz.U. z 2011 r., nr 204, poz. 1195) ustawodawca przyjął bardzo liberalne podejście do ponownego przetwarzania informacji publicznej. Obecnie każdy obywatel Polski powinien zdawać sobie sprawę z tego, że informacja włączona w informację publiczną może zostać przetworzona ponownie, poza wyjątkami wyraźnie określonymi w ustawie albo poza innymi sytuacjami, wyraźnie zastrzeżonymi w przepisach. Generalnie przyjęto założenie, że całość informacji umieszczonych w Biuletynie Informacji Publicznej może być wykorzystana ponownie dla osiągnięcia innego celu niż ten, dla którego została ona zebrana. Z punktu widzenia ochrony prywatności taka regulacja może prowadzić do powstania poważnych problemów. Dlaczego? Bo oznacza, że informacja, która została zebrana zgodnie z art. 7 Konstytucji RP, mówiącym o tym, że organ może działać tylko na podstawie prawa i w granicach prawa, jest przekazana podmiotom działającym na dokładnie odwrotnej zasadzie. Powtórne wykorzystanie danych może bowiem zostać użyte do osiągnięcia każdego celu, o ile nie jest on zakazany przez prawo. Trzeba jednak pamiętać, że podmiot, który ponownie przetwarza informację publiczną, w tym także tę zawierającą dane osobowe, jest zobowiązany do przestrzegania standardów ich ochrony, np. standardu informacyjnego. Oznacza to, że każda z osób, której dane pojawiają się w informacji publicznej, powinna być poinformowana o powtórnym przetwarzaniu jej danych i o celu, dla osiągnięcia którego ten proces jest przeprowadzany.

Jak prawo do powtórnego przetwarzania informacji publicznej funkcjonuje w praktyce?

Nie ma w Polsce organu, który zajmowałby się badaniem praktyki stosowania tych regulacji. Zeszłoroczna nowela ustawy o dostępie do informacji publicznej nie nałożyła na GIODO żadnych dodatkowych obowiązków i nie dała uprawnień w tym względzie. Warto natomiast zwrócić uwagę na to, że ogłoszony w grudniu 2011 r. dokument Komisji Europejskiej (tzw. Open Data Package) zawiera przepisy o zmianie dyrektywy o ponownym wykorzystaniu informacji pochodzących z sektora publicznego. Postuluje też stworzenie, w każdym z krajów Unii Europejskiej, specjalnego organu, który zajmowałby się kwestią oceny potrzeb, możliwości i zakresu ponownego przetwarzania informacji publicznych. Można się spodziewać, że konsekwencją opublikowania wspomnianego dokumentu KE będzie wznowienie w Polsce debaty publicznej na temat powołania takiego organu. Zwłaszcza gdyby praktyka ponownego przetwarzania informacji publicznej zaczęła zyskiwać coraz szerszy wymiar, a tak może się stać. Zwłaszcza że już obecnie GIODO jest uczestnikiem procesu sądowego wytoczonego podmiotowi, który pod rządami jeszcze nieznowelizowanej ustawy o dostępie do informacji publicznej wtórnie wykorzystywał informacje publiczne i nie wypełnił ciążącego na nim obowiązku informacyjnego.

Jakie dane osób, którym umorzono zaległości podatkowe, można podawać do publicznej wiadomości?

W tej kwestii GIODO zwrócił się do ministra finansów z wystąpieniem. Podniósł w nim, że wprawdzie art. 37 ust. 1 pkt 2 lit. f ustawy z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. z 2009 r. nr 157 poz. 1240 z poźn. zm.) stanowi podstawę prawną podawania do publicznej wiadomości wykazu osób, którym w zakresie podatków lub opłat udzielono ulg, odroczeń, umorzeń lub rozłożono spłatę na raty w kwocie przewyższającej łącznie 500 zł, wraz ze wskazaniem wysokości umorzonych kwot i przyczyn umorzenia, to nie stanowi on wprost, jakie dane osobowe mogą być upublicznione. 5 stycznia br. otrzymaliśmy z ministerstwa pismo z odpowiedzią. Minister finansów zapewnia w nim, że ta kwestia zostanie przez niego szczegółowo rozważona i w swoim czasie rozstrzygnięta.

@RY1@i02/2012/089/i02.2012.089.088000300.802.jpg@RY2@

Wojciech Górski

Dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

Lekarz startujący w wyborach samorządowych nie może wykorzystać do agitacji danych pacjentów, a nauczycielowi nie wolno tego zrobić z danymi rodziców uczniów

Jeżeli samorządy mają ustawowy nakaz zbierania danych, to powinny jedynie o nim poinformować i wskazać, w jakim celu je zbierają oraz gdzie umieszczą. Mają też obowiązek umożliwić poprawianie danych, gdy się okaże, że są one nieprawidłowe

Rozmawiał Krzysztof Polak