Ostrożnie z tworzeniem zbiorów danych uczniów zawierających dane osobowe

DECYZJA Odpowiedź GIODO z 5 marca 2012 r., DOLiS-035-3659/11/KS,

● (...) Kurator oświaty, w imieniu wojewody, wykonuje zadania i kompetencje w zakresie oświaty określone w ustawie i przepisach odrębnych na obszarze województwa, a w szczególności wykonuje zadania organu wyższego stopnia w rozumieniu Kodeksu postępowania administracyjnego w stosunku do dyrektorów szkół - w sprawach z zakresu obowiązku szkolnego i obowiązku nauki oraz w sprawach skreślenia uczniów z listy uczniów (art. 31 ust. 1 pkt 5b ustawy o systemie oświaty). Nadzorowi pedagogicznemu podlega przestrzeganie zasad oceniania, klasyfikowania i promowania uczniów oraz przeprowadzania egzaminów, a także przestrzeganie przepisów dotyczących obowiązku szkolnego oraz obowiązku nauki (art. 33 ust. 2 pkt 3) (...)

● (...) Udostępnienie tych danych określonym podmiotom, w tym organom ścigania, nie może prowadzić do naruszenia zasad ochrony danych osobowych, a zatem może to być udostępnienie tylko w zakresie niezbędnym dla realizacji określonych ustawowo celów przez te podmioty, np. w związku z prowadzeniem konkretnego postępowania przez Policję (...)

● (...) Zasady gromadzenia danych przez Policję są przedmiotem regulacji odrębnych w stosunku do ustawy o ochronie danych osobowych. (...) m.in. ustawy z 6 kwietnia 1990 r. o Policji (t.j.: Dz.U. 2007 r. nr 43, poz. 277, ze zm.), a w szczególność art. 14, 15 i 20 ww. ustawy o Policji. Udostępnianie funkcjonariuszom Policji informacji, mogących stanowić dane osobowe, powinno wynikać jednoznacznie z przepisów prawa oraz odnosić się ściśle do konkretnej sytuacji i dotyczyć konkretnych osób. I tak np. udostępnienie danych osobowych dla celu prowadzonego np. przez Policję postępowania, może nastąpić jedynie, o ile jest niezbędne dla takiego postępowania, a zatem ściśle związane z przedmiotem postępowania i tylko w takim zakresie jakiego dotyczy postępowanie. (...)

● (...) Podmiot występujący o udostępnienie określonych informacji powinien w sposób prawidłowy wskazać podstawę prawną upoważniającą go do uzyskania danych. W sytuacjach, gdy skierowane do administratora danych żądanie udzielenia danych osobowych budzi wątpliwości pod względem podstaw prawnych, dobrym rozwiązaniem może być zwrócenie się do tego podmiotu/organu z prośbą o wyjaśnienie wątpliwości. (...)

● (...) O udostępnieniu danych osobowych każdorazowo decyduje podmiot, do którego skierowano wniosek (...) po dokonaniu oceny, czy wskazana podstawa rzeczywiście uprawnia wnioskodawcę do pozyskania danych. (...) Zarówno podmiot żądający udostępnienia danych osobowych - zwłaszcza jeśli jego działania są ściśle wyznaczone normami kompetencyjnymi - jak i udostępniający te dane muszą mieć ku temu stosowną podstawę prawną. Administrator danych, dokonując tej czynności na danych osobowych, powinien być w stanie udowodnić, że udostępnia dane podmiotowi do tego uprawnionemu. Pytanie o możliwość realizacji tego udostępnienia drogą elektroniczną jest kwestią formy udostępnienia i ma znaczenie o tyle drugorzędne, że aby mówić o jego dopuszczalności, to musi ono być realizowane wyłącznie wobec podmiotu uprawnionego. (...)

● (...) Administrator danych powinien dopełniać obowiązku dołożenia szczególnej staranności (...), poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 1-4 ustawy). (...)

● (...) Niezmiernie istotne jest, aby administrator danych (...) zapewniał kontrolę na tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. (...)

● (...) Bez znaczenia jest sposób przekazywania danych osobowych - obowiązek wynikający z art. 38 ustawy dotyczy zarówno przekazywania danych osobowych w drodze teletransmisji, jak i w każdy inny sposób. Treść tego przepisu nie ogranicza ustanowionego nim obowiązku kontroli tylko do sytuacji udostępniania danych odbiorcy danych w rozumieniu art. 7 pkt 6 ustawy. Dlatego należy przyjąć, że jego zakresem zastosowania objęte jest także przekazywanie danych osobowych osoby, której dane dotyczą, osobie upoważnionej do przetwarzania danych, przedstawicielowi, o którym mowa w art. 31a ustawy, przetwarzającemu w rozumieniu art. 31 ustawy i organom państwowym lub samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. (...) Przepis pozostawia administratorowi danych swobodę wyboru środków koniecznych do spełnienia obowiązku zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

@RY1@i02/2012/202/i02.2012.202.08800090a.802.jpg@RY2@

Oprac. Małgorzata Piasecka-Sobkiewicz