Dane uczniów i nauczycieli przetworzą tylko upoważnieni
Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, które decydują o celach i środkach przetwarzania danych osobowych. Natomiast podmioty publiczne mogą decydować o celu przetwarzania danych w ramach zadań, jakie wykonują. Aby więc GIODO mógł rozstrzygnąć, któremu podmiotowi działającemu w sektorze publicznym przysługuje status administratora danych, musi dokonać analizy przepisów, na podstawie których ten podmiot działa. Natomiast zweryfikować poczynione ustalenia GIODO może tylko w toku prowadzonego postępowania administracyjnego
● (...) Aby wskazać administratora danych lokalnej bazy danych SIO (System Informacji Oświatowej - red.), a przy tym również podmiot obowiązany do wypełniania wszelkich wymogów nałożonych na niego przepisami o ochronie danych osobowych, należy przeanalizować normy zawarte w ustawie z 15 kwietnia 2011 r. o systemie informacji oświatowej (Dz.U. z 2011 r. nr 139, poz. 814), które weszły w życie 30 kwietnia 2012 r. Analizę powinny przeprowadzić podmioty uczestniczące w przygotowaniu i realizacji określonych działań. Natomiast Generalny Inspektor Ochrony Danych Osobowych może tylko zweryfikować poczynione ustalenia w toku prowadzonego postępowania administracyjnego, np. dotyczącego realizowania obowiązku rejestracji konkretnego zbioru danych osobowych, bądź w toku czynności kontrolnych.
● (...) Przepisy ustawy o systemie informacji oświatowej w art. 6 ust. 1 wskazują, iż administratorem bazy danych SIO jest minister właściwy do spraw oświaty i wychowania, administratorem lokalnej bazy danych SIO jest natomiast kierownik podmiotu prowadzącego lokalną bazę danych SIO.
Zgodnie z treścią art. 40 ustawy o ochronie danych osobowych to administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że zachodzi jedna z przesłanek określonych w art. 43 ust. 1 ustawy zwalniających go z tego obowiązku. Wyjątków tych nie można interpretować rozszerzająco. W każdym przypadku przetwarzania danych osobowych to ich administrator powinien dokonać oceny. Należy zwrócić uwagę, że zwolnienie zbioru z rejestracji jest możliwe tylko wówczas, gdy opisana w art. 43 ust. 1 ustawy przesłanka dotyczy wszystkich danych zawartych w tym zbiorze. Jeśli więc w ramach tworzonych zbiorów przetwarzane są, choćby incydentalnie, dane inne niż te wymienione w art. 43 ust. 1 ustawy bądź w innym celu niż wskazany w tym przepisie, to zbiór podlega wówczas obowiązkowi zgłoszenia do rejestracji. I tak, np. z obowiązku rejestracji zbioru danych, stosownie do art. 43 ust. 1 pkt 4 ustawy, zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, także dotyczących osób u nich zrzeszonych lub uczących się (pkt 4). A zatem tylko takie zbiory danych oświatowych będą zwolnione z rejestracji, pozostałe zaś takiej rejestracji będą podlegać (...)
● (...) Należy rozstrzygnąć, czy przy pozyskiwaniu do baz danych SIO danych osobowych uczniów oraz nauczycieli będzie miała zastosowanie przesłanka legalności przetwarzania danych osobowych określona w art. 23 ust. 1 pkt 2 powołanej na wstępie ustawy, tzn. czy przetwarzanie danych ww. osób jest niezbędne do realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W tym kontekście istotne znaczenie mają przepisy ustawy o systemie informacji oświatowej (...)
● (...) Podstawę prawną do przetwarzania danych osobowych zarówno uczniów, jak i nauczycieli w lokalnych bazach danych SIO stanowią przepisy tego aktu prawnego (por. art. 57 i odpowiednio 58). Niemniej jednak, przesłanka ta uprawnia do przetwarzania danych osobowych uczniów i nauczycieli w ściśle określonym celu i zakresie wskazanym w tych normach prawnych.
Zgoda na pozyskiwanie i przetwarzanie danych, o której mowa w przypadku uczniów w art. 57 ust. 3 i w stosunku do danych nauczyciela w art. 60 ust. 1 ustawy o systemie informacji oświatowej, dotyczy jedynie sytuacji pozyskiwania danych do lokalnej bazy danych SIO, przez ich udostępnienie, za pośrednictwem centralnej bazy danych SIO. (...)
● (...) Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Nie oznacza to, że administrator danych nie może upoważnić innej osoby do nadawania w swoim imieniu upoważnień, o których mowa w wyżej wspomnianym artykule. Administrator danych ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania (art. 39 ust. 1 ustawy). Upoważnienie do dostępu do baz danych SIO jest niezależnym i oddzielnym od upoważnienia do przetwarzania danych osobowych uprawnieniem wynikającym z innych podstaw prawnych, a także może się okazać, iż nadawane będzie przez inne podmioty. W ustawie o systemie informacji oświatowej wprost wskazane są podmioty, które nadają upoważnienia do dostępu do baz danych SIO (art. 68 i następne). W przypadku upoważnień do przetwarzania danych osobowych, o których mowa w art. 37 ustawy o ochronie danych osobowych, nadaje je administrator danych osobowych.
@RY1@i02/2012/148/i02.2012.148.08800030b.802.jpg@RY2@
oprac. Małgorzata Piasecka-Sobkiewicz
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu