Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: LUTY 2013
ZAKTUALIZOWANO: 4 WRZEŚNIA 2017

 

Kontrola GIODO w szkole

 

Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
  • Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. z 2013 r. poz. 1257).

 

Wszystkie obowiązki związane z ochroną danych osobowych są zawarte w Ustawie o ochronie danych osobowych – dalej zwanej uodo. Wspomniany akt prawny precyzuje, że każdy administrator danych (a więc każda placówka oświatowa) ma obowiązek m.in. odpowiedniego zabezpieczenia przetwarzanych danych osobowych, rejestracji zbiorów danych, opracowania specjalnej dokumentacji, upoważnienia wszystkich pracowników przetwarzających dane osobowe. Na straży wspomnianych obowiązków stoi specjalnie w tym celu powołana instytucja – Generalny Inspektor Ochrony Danych Osobowych (GIODO). Aby uczynić działania tego urzędu skutecznymi, ustawodawca wyposażył go, po pierwsze, w uprawnienia kontrolne, a po drugie – w narzędzia mające na celu egzekucję przepisów prawa (od decyzji administracyjnej nakazującej usunięcie uchybień aż po karę finansową do 50 tys. złotych).

       

Istota kontroli

               

Najprościej rzecz ujmując, kontrola jest „ogółem czynności zmierzających do porównania stanu faktycznego ze stanem postulowanym” (E. Iserzon, Prawo administracyjne, Warszawa 1968, s. 174). W tym przypadku oznaczać to będzie, że kontrola GIODO jest zbadaniem faktycznej działalności placówki oświatowej pod kątem realizacji przepisów o ochronie danych osobowych. Przepisami tymi będzie przede wszystkim Ustawa o ochronie danych osobowych oraz Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

 

Oczywiście kontrola GIODO może odbyć się tylko i wyłącznie na mocy ściśle określonych zasad. Zostały one sprecyzowane przede wszystkim we wspomnianej wcześniej Ustawie. Podstawą do przeprowadzania kontroli w szkole jest art. 12 pkt 1 uodo., stanowiący, że „do zadań Generalnego Inspektora w szczególności należy: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych”. Ponadto art. 14–19 uodo. zawierają szczegółowy opis zasad przeprowadzania kontroli. Wspomniane przepisy określają zarówno niezbędne elementy, z których muszą składać się upoważnienia inspektorów i protokoły kontroli, jak i dokładne uprawnienia inspektorów oraz opis postępowania w przypadku wykrycia nieprawidłowości. O wszystkich powyższych aspektach kontroli będzie mowa w dalszej części artykułu.

 

Opis kontroli

 

Co do zasady, kontrole GIODO są zapowiadane – inspektor odpowiedniego departamentu zawiadamia dyrektora o planowanej kontroli z co najmniej tygodniowym wyprzedzeniem. Powiadomienie może dotrzeć do szkoły w dowolnej formie: za pośrednictwem faksu, telefonu lub poczty. Zapowiadanie kontroli nie jest jednak obowiązkiem GIODO, jest to jedynie przyjęta dobra praktyka, choć trzeba przyznać, że realizowana przez urząd z konsekwencją. Na stronie internetowej GIODO znaleźć można jednak informacje, że niezapowiedziane kontrole przeprowadza tylko wówczas, gdy istnieje podejrzenie, że kontrolowany mógłby ukryć dowody, które świadczą o popełnieniu przez niego czynu zabronionego wskazanego w Ustawie.

 

Jeśli chodzi o czas trwania kontroli, to w przypadku placówek oświatowych nie jest on niestety ograniczony żadnymi przepisami i za każdym razem jest indywidualnie wyznaczany przez GIODO. Będzie on adekwatny do rodzaju i zakresu kontroli oraz wielkości kontrolowanej placówki – zupełnie inny jest czas trwania kontroli w niewielkich szkołach (ok. dwa dni robocze), zupełnie inny w zespołach szkół zrzeszających kilkuset uczniów (ok. pięć dni roboczych).

 

Kontrole mogą być przeprowadzane w godzinach 6.00–22.00. Praktyka wskazuje jednak, że odbywają się one najczęściej w godzinach 8.00–16.00, czyli w tzw. godzinach pracy. Miejscem kontroli jest zawsze siedziba kontrolowanego podmiotu. Zakres przestrzenny kontroli może jednak wykroczyć poza mury szkoły w przypadku, gdyby dane osobowe administrowane przez placówkę były też przetwarzane przez zewnętrzne podmioty. Przykładowo, jeżeli szkoła korzysta z usług zewnętrznej firmy informatycznej dostarczającej do placówki e-dziennik, GIODO może (ale nie musi) przeprowadzić również kontrolę w siedzibie dostawcy e-dziennika.

 

Inspektorzy GIODO