Ochrona danych osobowych ucznia w kontekście powszechnie dostępnych na stronach internetowych szkół planów zajęć edukacyjno – wychowawczych

kancelariaGP Dodaj komentarz

Niejednokrotnie zdarza się, iż na stronach internetowych szkół możliwy jest dostęp do planów zajęć świadczonych przez daną placówkę w ramach usługi kształcenia, jak również możliwa jest weryfikacja, po wyborze imienia i nazwiska, jaki konkretnie uczeń uczęszcza na dane lekcje.

Powyższe upublicznianie danych wiąże się z zagadnieniem przetwarzania danych osobowych, jak również ich legalnością.

W pierwszej kolejności wyjaśnić należy, iż danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tj. osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 1 i 2 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883 z poźn. zm.) dalej „UoODO‟). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 UoODO). Drugą grupą danych osobowych są wrażliwe (sensytywne) dane osobowe, do których należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Przetwarzanie danych osobowych może mieć miejsce wyłącznie na zasadach określonych UoODO. UoODO stosuje się zasadniczo do przetwarzania danych osobowych w systemach informatycznych, a także w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

Zgodnie z art. 23 UoODO przetwarzanie „zwykłych danych” jest dopuszczalne tylko wtedy, gdy:

  • następuje za zgodą osoby zainteresowanej;
  • oparte jest na uprawnieniu lub obowiązku wynikającym z przepisów prawa;
  • jest niezbędne do realizacji umowy, której stroną jest osoba, której dane dotyczą lub jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • jest niezbędne do wypełnienia prawnie usprawiedliwionych celów przez administratorów danych lub odbiorców danych (np. marketing bezpośredni własnych produktów lub usług albo dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej), przy czym w tym przypadku dodatkowym warunkiem jest to, aby nie naruszano praw i wolności osoby, której dane dotyczą.

Z kolei w myśl art. 27 UoODO przetwarzanie danych wrażliwych jest co do zasady zabronione. Wyjątki w tym zakresie zostały określone w art. 27 ust. 2 UoODO i należy do nich m.in. uzyskanie zgody na przetwarzanie danych sensytywnych przez osobę, której danej dotyczą.

W sytuacji powszechnego dostępu do planów lekcji w połączeniu z danymi osobowymi uczniów upublicznionymi na stronie internetowej szkoły, należy stwierdzić, że w każdym przypadku to do administratora danych osobowych – tj. organu reprezentującego daną szkołę – należeć będzie ocena, czy spełnione zostały przesłanki wskazane w art. 23 UoODO, w szczególności, czy może to prowadzić do identyfikacji uczniów, a w związku z tym, czy nie będzie stanowić zagrożenia dla ich bezpieczeństwa. Zgodnie bowiem z art. 26 UoODO, „administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

  • przetwarzane zgodnie z prawem;
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania”.

Zgodnie z art. 36 UoDO administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych obowiązany jest prowadzić dokumentację opisującą sposób przetwarzania i środki ochrony danych osobowych.

W związku z powyższym w przypadku niespełnienia przesłanek z art. 23 UoODO trudno znaleźć uzasadnienie dla powszechnego dostępu do planu lekcji, jak również danych ucznia, które umożliwiają jego identyfikację. Zupełnie inną sytuacją byłby dostęp do przedmiotowego planu przewidziany wyłącznie dla osób zalogowanych (ucznia, opiekuna) lub sytuacja w której zostałaby wyrażona zgoda. Ponieważ w takich sytuacjach zasadniczo mamy do czynienia z osobami przed ukończeniem 18 roku życia, a więc nie posiadającymi pełnej zdolności do czynności prawnych, w ich imieniu decyzję o upublicznieniu danych osobowych poprzez publikację na stronie internetowej szkoły mogą wyrazić opiekunowie prawni.

Na marginesie naruszenie przepisów o ochronie danych osobowych może wiązać się dla podmiotu, który dopuścił się tego naruszenia z odpowiedzialnością na gruncie karnym, administracyjnym i cywilnym. Przepisy karne zgromadzone są w art. 49-54 a UoODO. Karami grzywny, ograniczenia, a nawet pozbawienia wolności obwarowane jest (i) przetwarzanie danych, których przetwarzanie jest prawnie niedopuszczalne, (ii) udostępnianie danych osobowych osobom nieupoważnionym, (iii) naruszenie obowiązku zabezpieczenia danych osobowych, (iv) niezgłoszenie bazy danych do rejestracji, (v) niedopełnienie obowiązku informacyjnego wobec osoby, której dane są przetwarzane oraz (vi) udaremnianie lub utrudnianie czynności kontrolnych.

Podmiot przetwarzający dane osobowe wbrew przepisom Ustawy naraża się także na szereg dolegliwości o charakterze administracyjnym. GIODO może bowiem wobec tego podmiotu wydać decyzję administracyjną nakazującą m.in. usunięcie uchybień, zastosowanie odpowiednich środków zabezpieczenia danych osobowych, a nawet usunięcie danych osobowych (art. 18 UoODO).

Odpowiedzialność cywilnoprawna uregulowana jest poza UoODO, m.in. przepisami Kodeksu cywilnego w zakresie naruszenia dóbr osobistych.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Gravatar
Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Anuluj

Połączenie z %s