- Sankcje w postaci kary grzywny albo kary ograniczenia bądź pozbawienia wolności mogą być nałożone na dyrektora szkoły w przypadku nieodpowiedniego zabezpieczenia danych osobowych - mówi w wywiadzie dla DGP Dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.

Czy GIODO często interweniuje w placówkach oświatowych w sprawie nieprzestrzegania przepisów dotyczących ochrony danych osobowych?

Liczba wpływających do GIODO skarg na podmioty z sektora oświaty od kilku lat utrzymuje się na podobnym poziomie – kilkudziesięciu rocznie. Ich zakres tematyczny jest dość różnorodny, ale często zdarzają się zastrzeżenia dotyczące niewłaściwego zabezpieczenia danych osobowych, ich udostępnienia osobom nieupoważnionym czy bezprawnego upubliczniania.

Jedna z ostatnio prowadzonych przez Państwa spraw też dotyczyła udostępnienia przez dyrektora szkoły danych osobowych ucznia i jego rodziców wizytatorowi z kuratorium oświaty. Jakie konkretnie dane zostały udostępnione?

Sprawa, o którą Pan pyta była dość skomplikowana i wielowątkowa. Chodziło bowiem o przekazanie danych osobowych ucznia i jego rodziców, takich m.in., jak imiona i nazwisko, adres zamieszkania, data urodzenia dziecka, miejsce pracy jednego z rodziców czy informacja o jego leczeniu w szpitalu, wizytatorowi z kuratorium oświaty oraz Zespołowi Interdyscyplinarnemu do spraw przeciwdziałania przemocy w rodzinie. Szkoła bez podstawy prawnej udostępniła wizytatorowi także dane dotyczące ojca dziecka związane z jego przebywaniem na zwolnieniu lekarskim wydanym przez lekarza psychiatrę.

Dlaczego szkoła nie powinna tych danych przekazywać?

Szkoła - będąc administratorem danych osobowych - powinna każdorazowo dokonać oceny legalności przetwarzania danych osobowych, w tym ich udostępniania, biorąc pod uwagę przede wszystkim sektorowe przepisy prawa, a także zasady zawarte w ustawie o ochronie danych osobowych. Jej przepisy stanowią zaś, że przetwarzanie danych osobowych, a więc wykonywanie na nich jakichkolwiek operacji, jest dopuszczalne, po spełnieniu przynajmniej jednej z przesłanek wymienionych w ustawie w art. 23 ust. 1 – w przypadku tzw. danych zwykłych, oraz w art. 27 ust. 1 – w przypadku tzw. danych wrażliwych. Zatem ustawa o ochronie danych osobowych określa, kiedy można przetwarzać dane osobowe tzw. zwykłe, jak imię, nazwisko czy adres zamieszkania. Stanowi też, które dane podlegają szczególnej ochronie, co oznacza, że generalnie nie można ich przetwarzać, chyba że mamy do tego szczególne uprawnienie. Do takich zaliczamy dane nazywane sensytywnymi czy inaczej wrażliwymi, do których należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną czy związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. To ważne, bo może okazać się, że sformułowanie, że uczeń pochodzi z rodziny ormiańskiej jest niczym innym, jak daną ujawniającą jego etniczne pochodzenie, a więc daną szczególnie chronioną. Szkoły niejednokrotnie tłumaczą swoje postępowanie dobrem dziecka, zapewnieniem mu niezbędnej pomocy, jednak nie zawsze jest to wystarczające usprawiedliwienie.

Co więc konkretnie dyrektor może przekazać kuratorowi? Jakie informacje i z czym związanie?

Każdy przypadek należy analizować oddzielnie, z uwzględnieniem wszystkich okoliczności danej sprawy. To np., jakie informacje dyrektor szkoły może przekazać pracownikowi kuratorium oświaty działającemu w ramach prowadzonego nadzoru pedagogicznego, regulują przede wszystkim przepisy ustawy o systemie oświaty. Zgodnie z nimi nadzór pedagogiczny polega m.in. na obserwowaniu, analizowaniu i ocenianiu przebiegu procesów kształcenia i wychowania oraz efektów działalności dydaktycznej, wychowawczej i opiekuńczej, a także ocenianiu stanu i warunków tej działalności. Osoby wykonujące czynności z zakresu nadzoru pedagogicznego mają prawo wglądu do prowadzonej przez szkołę lub placówkę dokumentacji dotyczącej przebiegu nauczania, wychowania i opieki oraz organizacji pracy. Szkoła zatem, udostępniając dokumenty zawierające dane osobowe pracownikowi kuratorium działającemu w ramach nadzoru pedagogicznego, powinna brać pod uwagę, by były to tylko takie dane, do przetwarzania których wizytator jest uprawniony na podstawie szczególnych przepisów prawa i które są niezbędne do realizacji jego zadań.

Co powinien zrobić dyrektor szkoły, jeśli nie jest pewny, że postępuje zgodnie z przepisami?

Przede wszystkim powinien przeanalizować, czy w konkretnym przypadku spełnione są przesłanki uprawniające go do przetwarzania danych osobowych. Jeśli nie - powinien zaprzestać przetwarzania danych.

Czy jeśli dyrektor ma podejrzenie, że dziecko jest bite w domu, to nie może o tym powiadomić kuratora i przekazać mu adresu czy telefonów rodziców?

Ponieważ szkoła może działać jedynie w granicach przewidzianych przepisami prawa, to w sytuacji gdy podejrzewa, że w jakieś rodzinie dochodzi do przemocy domowej, powinna ściśle trzymać się procedur określonych w ustawie o przeciwdziałaniu przemocy w rodzinie oraz w rozporządzeniu Rady Ministrów w sprawie procedury „Niebieskiej Karty” oraz wzorów formularzy „Niebieska Karta”. Stanowią one, że szkoła sama może wszcząć stosowną procedurę związaną z założeniem Niebieskiej Karty i nie jest do tego potrzebna zgoda i wiedza osób, których sprawa dotyczy. W tym celu mają też prawo wykorzystywać nie tylko tzw. dane osobowe zwykłe, lecz również dane szczególnie chronione, w tym takie jak: dotyczące stanu zdrowia, nałogów, skazań czy orzeczeń o ukaraniu, a także innych orzeczeń wydanych w postępowaniu sądowym i administracyjnym. Szkoła nie powinna zaś np. kierować do zespołu interdyscyplinarnego do spraw przeciwdziałania przemocy w rodzinie pytań, czy w stosunku do konkretnej osoby wszczęta została procedura Niebieskiej Karty, zwłaszcza gdy wiąże się to z udostępnieniem kierowanej do placówki korespondencji zawierającej dane osobowe, jak to miało miejsce w przypadku, o który Pan pytał. Innym możliwym działaniem jest złożenie przez szkołę zawiadomienia o możliwości popełnienia przestępstwa, co znajduje umocowanie w art. 304 pr. 2 Kodeksu postępowania karnego, który stanowi, że instytucje państwowe i samorządowe, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję.

Ale przyzna pani minister, że przepisy w tym zakresie są jednak mało precyzyjne i budzą wątpliwości dyrektorów?

Rzeczywiście w placówkach oświatowych w wielu sytuacjach, w których dochodzi do przetwarzania danych osobowych, przepisy sektorowe - przede wszystkim ustawa o systemie oświaty oraz akty wykonawcze do niej - nie precyzują, w jaki sposób należy to robić. Wówczas pod uwagę trzeba brać zasady zawarte w ustawie o ochronie danych osobowych. Oznacza to, że jej znajomość jest koniecznością dla każdego, kto pracuje w oświacie.

Na co powinni jeszcze zwracać uwagę dyrektorzy placówek oświatowych?

Pracownicy sektora oświaty, którzy w celu realizacji swoich zadań muszą przetwarzać dane osobowe, mają o tyle utrudnione zadanie, że by robić to z poszanowaniem zasad ochrony danych osobowych i prywatności, muszą kierować się własnym wyczuciem. Warto, by zachowywali przy tym zdrowy rozsądek, a z rodzicami lub opiekunami prawnymi dzieci uzgadniali, np. na początku roku szkolnego, sposoby postępowania w konkretnych sytuacjach. Wszystkim, a zwłaszcza dyrektorom szkół radziłabym dobrze zapoznać się z przepisami ustawy o ochronie danych osobowych, bo świetnie znają prawo oświatowe, ale ich wiedza na temat przetwarzania danych osobowych nie zawsze jest taka duża. A ustawa obowiązuje w każdej placówce oświatowej, zarówno w małej wiejskiej szkole, jak i w tej dużej, położonej w centrum metropolii – i to niezależnie od tego, czy jest ona prowadzona przez państwo, gminę czy stowarzyszenie. W dodatku sytuacja, w której szkoła jako instytucja oświatowa nie przestrzega powszechnie obowiązujących przepisów prawa, a uczniowie o tym wiedzą, jest niepedagogiczna, wręcz demoralizująca.

Jaka maksymalna kara może spotkać dyrektora, który lekceważy przepisy o ochronie danych osobowych?

Naruszenie zasad ochrony danych osobowych skutkować może zarówno odpowiedzialnością administracyjną przed GIODO, jak i karną, o której mowa w przepisach rozdziału 8 ustawy o ochronie danych osobowych, przed organami właściwymi do ścigania przestępstw. Sankcje w postaci kary grzywny albo kary ograniczenia bądź pozbawienia wolności mogą być nałożone m.in. w przypadku nieodpowiedniego zabezpieczenia danych osobowych, które skutkuje dostępem do nich osób do tego nieuprawnionych. Jednak o ich zastosowaniu decyduje sąd.W stosunku do szkół nastawiamy się jednak na działalność edukacyjną, a nie represyjną. Dlatego w przypadkach przetwarzania przez nie danych osobowych niezgodnie z prawem, Generalny Inspektor wskazuje wymagające usunięcia uchybienia. Zresztą większość nieprawidłowości, jakie zostały ujawnione w placówkach oświatowych podczas prowadzonych przez nas postępowań czy kontroli, była usuwana na bieżąco. Wówczas uznawaliśmy, że nie ma podstaw, by wydawać decyzje administracyjne nakazujące określone działania. Najczęściej po prostu wskazujemy, jakie warunki muszą być spełnione, aby dane były przetwarzane zgodnie z prawem, doradzamy, w jaki sposób najlepiej je zabezpieczyć. W sytuacji, w której dyrektor szkoły czy przedszkola nie chce się podporządkować tym zaleceniom, Generalny Inspektor może wydać decyzję administracyjną nakazującą np. zaprzestania przetwarzania danych albo zmiany sposobu ich przetwarzania. W sytuacjach rażących, np. wycieku danych czy też świadomego udostępnienia danych na zewnątrz, mamy możliwość poinformowania prokuratury czy policji o tym, że istnieje podejrzenie popełnienia przestępstwa.

Czy wszyscy pracownicy oświaty powinni być przeszkoleni w zakresie ochrony danych osobowych?

Ustawa o ochronie danych osobowych nie przesądza wprost o istnieniu takiego obowiązku. Stanowi zaś, że wszystkie osoby mające do czynienia z danymi osobowymi powinny mieć upoważnienia do przetwarzania danych nadane przez administratora danych, którym formalnie jest placówka oświatowa, ale w jej imieniu zadania te wykonuje z reguły dyrektor. GIODO podczas kontroli sprawdza m.in. ewidencje takich upoważnień, przede wszystkim zaś, czy są one na bieżąco aktualizowane, tzn. czy są nadawane nowo zatrudnionym pracownikom, czy są modyfikowane bądź cofane w przypadku, gdy dana osoba przestaje pełnić jakąś funkcję albo w ogóle przestaje pracować w danej instytucji. GIODO od wielu lat stara się jednak edukować nauczycieli w kwestiach związanych z ochroną danych osobowych i prawem do prywatności. Służy temu m.in. ogólnopolski program edukacyjny „Twoje dane – Twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniów i nauczycieli.” prowadzony przez GIODO pod honorowym patronatem Ministra Edukacji Narodowej i Rzecznika Praw Dziecka. Jego podstawowym celem jest poszerzenie oferty edukacyjnej placówek doskonalenia zawodowego nauczycieli, szkół podstawowych, gimnazjów oraz szkół ponadgimnazjalnych o treści związane z ochroną danych osobowych i prawem do prywatności. Jednym z etapów realizacji Programu jest przeszkolenie i wyposażenie kadry pedagogicznej szkół i placówek doskonalenia nauczycieli w materiały edukacyjne, jak również przygotowanie nauczycieli do kształtowania świadomych i odpowiedzialnych postaw wśród uczniów. Rocznie do programu przystępuje ponad 200 placówek, które podejmują różne działania edukacyjne na rzecz upowszechniania wiedzy o ochronie danych osobowych i prawa do prywatności. Statystycznie rocznie Program realizuje ok. 3000 nauczycieli oraz 30 000 uczniów w całej Polsce, którzy angażują społeczność szkolną i środowisko lokalne, aby idea ochrony prywatności i danych osobowych stanowiła ważny element edukacji szkolnej i pozaszkolnej. Właśnie teraz, bo 7 czerwca 2016 r., w Warszawie odbyło się seminarium podsumowujące szóstą edycję programu.

Do jakich najczęściej nieprawidłowości dochodzi w placówkach oświatowych?

Nieprawidłowości, do jakich dochodzi w placówkach oświatowych można podzielić na dwie grupy. Do pierwszej zaliczyłabym te, które zdarzają się w podmiotach ze wszystkich sektorów, takie jak nieopracowywanie tzw. polityki prywatności, którą powinna mieć każda jednostka, oraz instrukcji zarządzania systemem informatycznym, która powinna być stworzona wówczas, gdy dane osobowe są przetwarzane przy użyciu systemów teleinformatycznych. Przy czym mówiąc o systemach teleinformatycznych, nie mam na myśli jedynie dzienników elektronicznych czy też rozbudowanych systemów zarządzania dokumentami, jakie w niektórych placówkach oświatowych są wdrażane. Chodzi również o zwykłe przetwarzanie danych na komputerach w szkole czy przedszkolu, co ma miejsce w każdej placówce oświatowej. W drugiej grupie nieprawidłowości znalazłyby się te, które są związane ze specyfiką działania szkół i przedszkoli. Część z nich wiąże się z prowadzeniem przez niektóre placówki dzienników lekcyjnych w postaci elektronicznej. Przy czym stosowane w tym zakresie rozwiązania bywają bardzo różne. Czasami na te potrzeby tworzone jest wewnętrzne oprogramowanie, które funkcjonuje tylko na terenie danej szkoły, czasami jest to oprogramowanie z zewnątrz, które zostało kupione i zainstalowane na serwerach szkolnych, a bywa też tak, że zarówno oprogramowanie, jak i serwery znajdują się poza szkołą. Ten ostatni przypadek wymaga zawarcia z firmą outsourcingową tzw. umowy powierzenia przetwarzania danych, ponieważ z reguły firma taka ma dostęp do danych osobowych zarówno nauczycieli, jak i uczniów. Nie zawsze ten obowiązek jest dopełniany.

A co robić, by ustrzec się błędów?

Pomocne może być powołanie przez placówkę oświatową administratora bezpieczeństwa informacji (ABI), który jest zobowiązany wspierać administratora danych w prawidłowym kształtowaniu polityki związanej z przetwarzaniem danych osobowych i nadzorować cały proces przetwarzania danych. Obecnie podjęcie decyzji o jego powołaniu jest dobrowolne i należy do administratora danych. Natomiast już za dwa lata, a konkretnie od 25 maja 2018 r., kiedy zaczną bezpośrednio obowiązywać przepisy unijnego rozporządzenia o ochronie danych osobowych, obowiązek ich powołania będzie dotyczył całej administracji publicznej (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości), bez względu na skalę i rodzaj przetwarzanych danych, a więc także nawet małych szkół i przedszkoli. Przy czym rozporządzenie przewiduje możliwość ustanawiania wspólnych inspektorów ochrony informacji, tak aby np. każda szkoła czy każde przedszkole w danej gminie nie musiało powoływać ich dla każdej jednostki oddzielnie. Zachęcam jednak wszystkich do wyznaczania ABI już teraz, gdyż odciążą oni administratorów danych i pomogą im sprostać ciążącym na nich obowiązkom.