W szkole publicznej wprowadzamy e-dziennik. Wdrażaniem i wprowadzaniem danych osobowych uczniów do systemu zajmie się jednoosobowa firma zewnętrzna, która ma podpisaną ze szkołą umowę o świadczenie usług informatycznych, serwisowanie sprzętu itd.
Czy rodzice uczniów powinni wyrazić zgodę na przetwarzanie przez tę firmę danych osobowych, czy też wystarczy zgłosić do GIODO stosowną informację, a upoważnienie do przetwarzania danych dla tej firmy może wystawić dyrektor szkoły?
Zgodnie z postanowieniami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o., wskazać należy dwie podstawy przekazywania danych osobowych przez administratora podmiotom zewnętrznym (tu: poza szkołę). Podstawy te są następujące:
1) udostępnienie danych osobowych – nastąpić może w przypadkach wskazanych w art. 23 i 27 ust. 2 w związku z art. 1 ust. 2 u.o.d.o. W tym przypadku przekazanie danych następuje na podstawie przepisów prawa – odnośne przepisy prawa wskazują cel i konkretny zakres udostępnianych danych. Udostępnienie danych osobowych powoduje, że odbiorcy tych danych (zob. art. 7 pkt 6 u.o.d.o.) również stają się administratorami otrzymanych danych;
2) powierzenie przetwarzania danych innemu podmiotowi – w tym przypadku administrator danych osobowych – nie przetwarza sam danych osobowych, ale zawiera z innym podmiotem umowę, w której zleca temu podmiotowi przetwarzanie danych osobowych – w określonym celu i zakresie, które precyzować powinna stosowna umowa (art. 31 u.o.d.o.). W omawianym przypadku podmiot, któremu zlecone zostało przetwarzanie danych, nie uzyskuje statusu administratora danych, a jest jedynie podmiotem przetwarzającym dane, co ma wpływ na zakres jego obowiązków i odpowiedzialności. Administrator danych pozostaje cały czas ten sam (tu: szkoła).
Nie każdy zbiór danych osobowych trzeba rejestrować - są już nowe przepisy>>
Mając na uwadze powyższe, przetwarzanie danych przez firmę zewnętrzną, realizującą zadanie polegające na wprowadzeniu w szkole dziennika elektronicznego nastąpić powinno na podstawie umowy o powierzeniu przetwarzania danych osobowych. Umowa ta powinna określać zakres danych powierzonych do przetwarzania oraz precyzować cel przetwarzania danych przez wykonawcę umowy.
Powierzenie przez administratora danych osobowych przetwarzania tych danych innemu podmiotowi nie wymaga zgody osób, których dane te dotyczą. A zatem zawarcie z firmą zewnętrzną umowy, dotyczącej powierzenia tej firmie przetwarzania danych osobowych w związku z wprowadzaniem w szkole e-dziennika, nie wymaga uzyskania na to zgody rodziców uczniów.
Z art. 37 u.o.d.o. wynika, iż stosowne upoważnienie posiadać powinna każda osoba przetwarzająca u danego administratora dane osobowe, a więc nie tylko pracownicy zatrudnieni u administratora, ale również osoby wykonujące czynności w ramach stosunku prawnego innego niż stosunek pracy (np. wykonujące umowy cywilnoprawne). Zaznaczyć jednak trzeba, iż upoważnienie nadawane jest osobom przetwarzającym dane u administratora.
Upoważnień nie nadaje natomiast osobom, które przetwarzają dane osobowe na podstawie umowy zawartej w oparciu o art. 31 u.o.d.o. Jednakże podmiot, który przetwarza dane na podstawie umowy powierzenia, powinien upoważnić podległe mu osoby do przetwarzania tych danych.
Powołanie ABI nie jest obowiązkowe, ale może ułatwić pracę>>
Więcej na profinfo.pl>>