Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY NA 19 PAŹDZIERNIKA 2021
Archiwizacja przez podmioty zewnętrzne
Opracował: Michał Łyszczarz, prawnik, główny specjalista w Wydziale Oświaty w Urzędzie Miasta w Dąbrowie Górniczej, współautor komentarza do Ustawy o systemie oświaty oraz szeregu publikacji z zakresu prawa oświatowego
Podstawa prawna:
• Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (t.j. Dz.U. z 2020 r. poz. 164 ze zm.),
• Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz.U. z 2021 r. poz. 576),
• Rozporządzenie Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej do-kumentacji (Dz.U. z 2017 r. poz. 1646 ze zm.),
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobo-wych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119 poz. 1).
Archiwizacja dokumentów – obowiązki
W przedszkolu powstaje ogromna ilość dokumentacji, zarówno kadrowej, jak i związanej z organizacją procesu nauczania. Zgodnie z art. 6 ust. 1 Ustawy z dnia 14 lipca 1983 r. o na-rodowym zasobie archiwalnym i archiwach organy państwowe oraz państwowe jednostki or-ganizacyjne, organy jednostek samorządu terytorialnego oraz samorządowe jednostki organi-zacyjne zobowiązane są zapewnić odpowiednią ewidencję, przechowywanie oraz ochronę przed uszkodzeniem, zniszczeniem bądź utratą:
• powstającej w nich dokumentacji, w sposób odzwierciedlający przebieg załatwiania i rozstrzygania spraw,
• nadsyłanej i składanej do nich dokumentacji.
Samorządową jednostką organizacyjną w rozumieniu tej regulacji jest również samorządowe przedszkole, co oznacza, że do zadań jego dyrektora należy zapewnienie odpowiednich ewi-dencji, przechowywania oraz ochrony dokumentacji. Stosownie do art. 6 ust. 2 Ustawy kie-rownicy jednostek organizacyjnych, a zatem również dyrektorzy przedszkoli, w porozumieniu z Naczelnym Dyrektorem Archiwów Państwowych, określają:
• instrukcję kancelaryjną określającą szczegółowe zasady i tryb wykonywania czynności kancelaryjnych,
• sposób klasyfikowania i kwalifikowania dokumentacji w formie jednolitego rzeczo-wego wykazu akt (JRWA), który określa klasy, według których w placówce grupuje się jednolicie, w systemie dziesiętnym dokumentację oraz ustala dla dokumentacji kwalifikację archiwalną; JRWA stanowi podstawę oznaczania, rejestracji i grupowania dokumentacji w organie lub jednostce organizacyjnej w chwili wszczynania spraw oraz może być uzupełniony przez kwalifikator dokumentacji, który określa kwalifikację archiwalną jednorodnego rodzaju lub typu dokumentacji,
• instrukcję w sprawie organizacji i zakresu działania archiwum zakładowego lub składnicy akt.
Instrukcja kancelaryjna i JRWA, obowiązujące w danej placówce, tworzone są przez jej dy-rektora. Z tych regulacji wynikają kategorie archiwalne poszczególnych typów dokumentów. Symbolem A oznacza się dokumentację stanowiącą materiały archiwalne, natomiast symbolem B – dokumentację niearchiwalną, zgodnie z następującymi oznaczeniami:
• symbolem B z dodaniem cyfr arabskich (np. B2, B3, B5, B10, B20, B25, B50) ozna-cza się kategorię archiwalną dokumentacji o tzw. czasowym znaczeniu praktycznym, która po upływie obowiązującego okresu przechowywania podlega brakowaniu,
• symbolem BE z dodaniem cyfr arabskich (np. BE5, BE10, BE50 itp.) oznacza się ka-tegorię archiwalną dokumentacji, która po upływie określonego dla tej dokumentacji okresu przechowywania podlega sprawdzeniu pod kątem m.in. jej dalszej przydatności – może wówczas uzyskać inną kategorię archiwalną,
• symbolem Bc oznacza się kategorię archiwalną akt manipulacyjnych, posiadających krótkotrwałe znaczenie praktyczne – akta te mogą być przekazane na makulaturę po całkowitym ich wykorzystaniu.
Sama archiwizacja dokumentacji polega w pierwszej kolejności na jej przejrzeniu pod kątem bieżącej przydatności, a następnie na sprawdzeniu kompletności akt spraw, uzupełnieniu ich o brakujące przesyłki lub pisma oraz sprawdzeniu, czy odnotowano zakończenie sprawy. Tak wyodrębnione do archiwizacji dokumenty powinny zostać uporządkowane. Przez uporząd-kowanie rozumie się:
• ułożenie akt w teczkach sprawami, a w obrębie spraw chronologicznie, według spisu spraw, przy czym pismo rozpoczynające sprawę powinno być na wierzchu,
• wyłączenie identycznych kopii tych samych przesyłek lub pism,
• usunięcie z dokumentacji części metalowych i plastikowych, np. spinaczy, zszywek, wąsów, koszulek,
• umieszczenie dokumentacji w wiązanych teczkach aktowych z tektury, a w przypadku akt osobowych – w kopertach,
• ponumerowanie stron materiałów archiwalnych ołówkiem przez naniesienie numeru strony w prawym górnym rogu,
• opisanie teczek aktowych.
W przypadku pozostałej dokumentacji niearchiwalnej:
• odłożenie do teczek aktowych spisów spraw,
• umieszczenie dokumentacji w teczkach aktowych wiązanych, a następnie w pudłach,
• opisanie teczek aktowych zgodnie z zapisami instrukcji kancelaryjnej,
• ułożenie teczek aktowych w kolejności wynikającej z wykazu akt.
Istotne jest, że uporządkowane akta przekazuje się na podstawie spisów zdawczo-odbiorczych, których wzór zawiera załącznik do obowiązującej w przedszkolu instrukcji kancelaryjnej.
Ze względu na ilość powstającej w przedszkolu dokumentacji prawidłowe wykonanie proce-dur archiwizacyjnych jest czasochłonne. Jest to jednak tylko jeden aspekt problemu, jaki po-wstaje podczas archiwizacji. Przedszkola nie dysponują kadrą wyspecjalizowaną pod kątem czynności archiwizacyjnych. Ich przeprowadzanie oznacza zawsze konieczność odciągnięcia personelu od zwykłych czynności, a co za tym idzie – destabilizację pracy jednostki. Stanowi to powód coraz częstszego wynajmowania wyspecjalizowanych firm do przeprowadzania archiwizacji w przedszkolu.
Archiwizacja a dane osobowe
Tym, na co należy zwrócić szczególną uwagę przy korzystaniu z usług firmy zewnętrznej, jest bezpieczeństwo danych osobowych znajdujących się w dokumentach podlegających archiwi-zacji. Dzienniki zajęć przedszkola, zgodnie z wymogiem § 2 Rozporządzenia MEN z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i pla-cówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz ro-dzajów tej dokumentacji, zawierają nazwiska i imiona dzieci, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania dziecka, adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają. Są to niewątpliwie dane osobowe, które muszą być odpowied-nio zabezpieczone. Ponadto w przedszkolach powstaje dokumentacja pracownicza, zawiera-jąca dane nauczycieli i pracowników niepedagogicznych, czy dokumentacja związana z pro-wadzeniem wczesnego wspomagania rozwoju dziecka i pracą zespołów WWR, organizacją kształcenia specjalnego dla dzieci ze specjalnymi potrzebami edukacyjnymi itd. W tym wy-padku mamy już do czynienia z danymi szczególnej kategorii, czyli danymi wrażliwymi, które podlegają szczególnej ochronie.
Wskazana dokumentacja podlega oczywiście archiwizacji zgodnie z przyjętym w przedszkolu JRWA. Podkreślić należy, że nie ma zakazu skorzystania z usług firmy zewnętrznej, która wykona taką archiwizację na potrzeby danej jednostki. W takim przypadku pojawia się jednak ryzyko związane z tym, że firma zewnętrzna uzyskuje w ten sposób dostęp do wszystkich wskazanych wyżej danych, w tym danych szczególnej kategorii. Tymczasem sam fakt prowa-dzenia archiwizacji na zewnątrz nie zwalnia dyrektora z odpowiedzialności za bezpieczeństwo i ochronę danych osobowych. Z jednej strony więc dyrektor oszczędza czas swoich pra-cowników, z drugiej jednak ryzykuje wyciekiem danych osobowych.
Naruszenie ochrony danych – czynności administratora
Ryzyko wycieku danych można oczywiście minimalizować, postępując w odpowiedni sposób. Pierwszy krok powinien dotyczyć analizy ryzyka, tj. ustalenia, czy wynajęcie profesjonalnej firmy archiwizacyjnej jest niezbędne. Jeśli tak, to dyrektor powinien przeanalizować ewentu-alne konsekwencje wycieku. Motyw 85 preambuły do RODO zawiera w tej sprawie pewne wyjaśnienie:
(...) przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w ter-minie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.
Należy zauważyć, że w prawie Unii Europejskiej obowiązek zawiadamiania o naruszeniach ochrony danych został wprowadzony w 2009 r. na mocy nowelizacji dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. W prawie polskim przepisy odnoszące się do zawiadamiania o naruszeniu ochrony danych zostały wprowadzone do Ustawy z dnia 16 lipca 2004 r. Prawo telekomuni-kacyjne w listopadzie 2012 r. i weszły w życie w marcu 2013 r. Problematyka zawiadamiania o naruszeniu jest przedmiotem regulacji w art. 174a–174d Ustawy. Przepisy te nakładają ob-owiązek zawiadamiania organu nadzorczego oraz abonenta lub użytkownika końcowego bę-dącego osobą fizyczną o naruszeniu danych osobowych.
Z kolei przepisy RODO rozszerzają zakres podmiotowy obowiązku zawiadamiania o naru-szeniu ochrony danych, obejmując nim nie tylko administratorów z sektora telekomunikacyj-nego, ale również wszystkich administratorów danych osobowych, w tym przedszkola i dzia-łającego w imieniu przedszkola dyrektora. Należy nadmienić, że pojęcie „naruszenie ochrony danych osobowych” zostało zdefiniowane w art. 4 pkt 12 RODO i oznacza: naruszenie bez-pieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Skutkiem naruszenia bezpieczeństwa, które uznawane jest za naruszenie danych osobowych, mogą być np. nieuprawnione:
• zniszczenie danych,
• utrata danych,
• zmodyfikowanie danych,
• ujawnienie danych.
Konsekwencje naruszenia ochrony danych zostały natomiast przewidziane w art. 33 RODO. Zgodnie z regulacją ust. 1 w przypadku naruszenia administrator bez zbędnej zwłoki (w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia) zgłasza je organowi nadzorczemu (UODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego orga-nowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Istotne w tym przepisie jest to, że przewiduje on wyjątek od obowiązku zgłoszenia naruszenia ochrony danych, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naru-szenia praw lub wolności osób fizycznych. Oceny spełnienia tej przesłanki dokonuje admini-strator, czyli dyrektor przedszkola, który decyduje o ewentualnym zgłoszeniu.
Z art. 34 RODO wynika, że jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o takim naruszeniu osobę, której dane dotyczą. W tej regulacji również pojawia się wyjątek. Obowiązku zawiadomienia nie ma, jeżeli:
• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szcze-gólności środki takie jak: szyfrowanie, uniemożliwiające odczyt osobom nieupraw-nionym,
• administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokie-go ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
• wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku wydany zo-staje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą które-go osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Umowa powierzenia przetwarzania danych
Aby powierzenie archiwizacji dokumentów zawierających dane osobowe było w odpowiedni sposób zabezpieczone, należy zawrzeć z firmą archiwizacyjną umowę powierzenia przetwa-rzania danych. Różnica pomiędzy powierzeniem przetwarzania danych a ich udostępnieniem polega na tym, że w przypadku powierzenia podmiot przekazujący dane, czyli przedszkole, nadal decyduje zarówno o sposobie, jak i celach przetwarzania danych. Należy wówczas za-wrzeć umowę powierzenia przetwarzania na podstawie art. 28 RODO. Według ust. 3 tej regu-lacji umowa powinna określać:
• przedmiot i czas trwania przetwarzania, czyli to, jakie czynności i przez jaki czas będą wykonywane w ramach umowy, z których jednocześnie będzie wynikał obowiązek przetwarzania danych; w tym wypadku przedmiotem będzie przeprowadzenie czynno-ści archiwizacji przedszkolnej dokumentacji, natomiast czas trwania tych czynności powinien zostać ustalony z firmą, która ma archiwizację przeprowadzić,
• charakter i cel przetwarzania, np. przetwarzanie w celu oddania dokumentacji do ar-chiwum państwowego i brakowania dokumentacji niearchiwalnej,
• rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora.
Umowa powinna uwzględniać też szczególne wymogi przedszkola. Z uwagi na rodzaj danych zawartych w przedszkolnej dokumentacji zasadne jest np. wyraźne określenie w umowie, że archiwizacja odbędzie się wyłącznie na terenie przedszkola i żadne dokumenty do czasu wy-konania na nich wszystkich archiwizacyjnych czynności nie będą mogły przedszkola opuścić. Jest to celowe działanie, ponieważ dokumentacja archiwalna powinna być w istocie wysyłana z siedziby przedszkola tylko w jedno miejsce – do archiwum.
Zawarcie umowy powierzenia przetwarzania zawierającej wskazane elementy nie zwalnia dyrektora z odpowiedzialności za ochronę danych osobowych, ale też wskazuje wyraźnie, że dyrektor dochował wszelkiej staranności, aby dane te zabezpieczyć.
