Administrowanie danymi w szkole
uprzejmie informuję, iż Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu kontroli w jednej z firm oferujących szkołom oprogramowanie do prowadzenia dzienników lekcyjnych i dzienników zajęć w formie elektronicznej, wyraził obawę, że nie wszystkie szkoły i placówki prowadzą dzienniki, o których mowa w rozporządzeniu Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkole, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.) zgodnie z obowiązującymi przepisami prawa.
Warszawa, 3 września 2010 r.
KO.WKS - WA.071-5/10
Państwo
Dyrektorzy publicznych przedszkoli szkół/placówek
województwa mazowieckiego
dotyczy: administrowania danymi w szkole
Szanowni Państwo,
uprzejmie informuję, iż Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu kontroli w jednej z firm oferujących szkołom oprogramowanie do prowadzenia dzienników lekcyjnych i dzienników zajęć w formie elektronicznej, wyraził obawę, że nie wszystkie szkoły i placówki prowadzą dzienniki, o których mowa w rozporządzeniu Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkole, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.) zgodnie z obowiązującymi przepisami prawa.
Generalny Inspektor Ochrony Danych Osobowych zwraca uwagę na fakt, że dziennik elektroniczny stanowi zbiór danych, w tym danych osobowych o uczniach, a dyrektorzy szkół, w których wybrano taką formę dokumentowania zajęć lekcyjnych, są – zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – administratorami tych zbiorów.
Powyższa ustawa nakłada na administratorów danych m.in. wymóg szczególnej staranności przy przetwarzaniu danych osobowych, a także obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy).
W myśl artykułu 39 ustawy o ochronie danych osobowych, administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych oraz (art. 40) zgłasza zbiór do rejestracji Generalnemu Inspektorowi Danych Osobowych.
Wiele szkół, prowadzących dzienniki za pomocą systemu informatycznego, dane osobowe uczniów i ich przedstawicieli ustawowych, umieszcza na serwerach firm obsługujących system e-dziennika. Dostęp do danych osobowych w nich zawartych jest możliwy wyłącznie przez Internet za pomocą połączeń szyfrowych.
Zgodnie z treścią art. 31 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie oraz jest obowiązany podjąć środki zabezpieczające zbiór danych i spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. (Dz. U. Nr 100, poz. 1024). W zakresie przestrzegania tych przepisów odpowiedzialność ponosi dyrektor szkoły (oraz podmiot, któremu w drodze umowy powierzono przetwarzanie danych osobowych).
Jeżeli szkoły i placówki oświatowe powierzyły firmom przetwarzanie danych bez zawarcia umów w formie pisemnej, należy uznać, że został naruszony art. 31 ust.1 ustawy o ochronie danych osobowych.
Jednocześnie pragnę zwrócić Państwa uwagę, że prywatna firma dostarczająca szkole określoną usługę, nie może przejmować kompetencji dyrektora szkoły tj. swobodnie zarządzać elektronicznym dziennikiem lekcyjnym i udostępniać (bądź nie udostępniać) rodzicom uczniów, możliwość logowania się do tego dziennika. W myśl § 23 rozporządzenia Ministra Edukacji Narodowej i Sportu, w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.), dyrektor szkoły ponosi odpowiedzialność za właściwe prowadzenie i przechowywanie dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz za wydanie przez szkołę dokumentów zgodnych z posiadana dokumentacją.
Decyzja o tym, czy rodzice uczniów będą mogli logować się do systemu dziennika elektronicznego i jaki zakres danych będzie im udostępniony, należy do kompetencji dyrektora szkoły. Decyzja ta powinna w równym stopniu obejmować wszystkich rodziców i określać jednakowe warunki korzystania z e-dziennika. Pobieranie opłat od rodziców uczniów za dostęp do dziennika elektronicznego jest nieuprawnione. Zgodnie z art. 54 ust. 8 ustawy o systemie oświaty (Dz. U. z 2004 r. Nr 256, poz. 2572 z późn. zm.), w celu wspierania działalności statutowej szkoły lub placówki rada rodziców może gromadzić fundusze z dowolnych składek rodziców oraz innych źródeł. Ustawa o systemie oświaty nie przewiduje innej formy pobierania opłat od rodziców uczniów szkół publicznych.
Także przenoszenie danych osobowych, znajdujących się w dzienniku elektronicznym, (z na ogół dobrze zabezpieczonych serwerów dostawcy) na komputery osobiste użytkowników, nie powinno mieć miejsca, gdyż nie gwarantuje zabezpieczenia danych przed dostępem osób nieuprawnionych i naraża na możliwość ich zniszczenia lub utraty.
W związku z powyższym, uprzejmie proszę Państwa Dyrektorów o zwrócenie szczególnej uwagi na zagadnienia dotyczące ochrony danych osobowych, a także dołożenie wszelkiej staranności, w celu dostosowania się do obowiązujących przepisów prawa.
Z poważaniem
Mazowiecki Kurator Oświaty
/-/
Karol Semik