GIODO: Dane w Kościele pozostaną

KAI: W jaki sposób przepisy ustawy o ochronie danych osobowych stosują się do szkolnictwa, w tym katolickiego?

- Szkoły oraz uczelnie wyższe podporządkowane są takim samym zasadom ochrony danych osobowych jak inne instytucje w naszym kraju. Szkoły katolickie wyróżnia to, że z racji tego, iż są prowadzone przez Kościół, w ich działalności zastosowanie mają takie same wyjątki od ogólnych zasad przetwarzania danych osobowych, jak w przypadku przetwarzania przez Kościół danych swoich członków. Generalny Inspektor w stosunku do kościołów i związków wyznaniowych ma zaś ograniczone kompetencje. Nie może tam np. przeprowadzać kontroli.

KAI: Jakie dane osobowe szkoły mogą gromadzić?

- Szkoły gromadzą bardzo dużo danych, które są niezbędne do realizacji procesu nauczania. Mają takie prawo na mocy przepisów szczególnych regulujących funkcjonowanie placówek oświatowych, m.in. ustawy o systemie oświaty. Przetwarzają różne dane: od podstawowych, takich jak imię, nazwisko, adres zamieszkania, dane rodziców, po bardziej szczegółowe, np. dotyczące wyników w nauce. Chodzi jednak także o tzw. dane wrażliwe, czyli np. o stanie zdrowia lub o nieobecnościach spowodowanych chorobą. Niekiedy na ich wykorzystywanie zezwalają przepisy prawa, a czasami będzie do tego potrzebna zgoda rodziców. Szkoła to także pracodawca, który przetwarza dane nauczycieli i innych zatrudnianych osób. W tym przypadku zastosowanie mają przede wszystkim przepisy Kodeksu pracy.

KAI: Coraz więcej informacji osobowych publikowanych jest przez szkoły w zewnętrznie dostępnych bazach danych lub nawet Internecie. Jakie zagrożenia się z tym wiążą?

- Internet jest medium służącym do przekazywania informacji. Jeżeli wykorzystujemy go do przekazania konkretnej informacji konkretnej osobie i tylko ona ma do tych danych dostęp, to nie ma tu zagrożenia ochrony prywatności. Tak jest np. w systemach umożliwiających wgląd do informacji o postępach w nauce. Natomiast publikowanie takich danych w publicznych miejscach, np. na stronach internetowych szkoły, może być sprzeczne z ustawą o ochronie danych osobowych i naruszać dobra osobiste ucznia.

Przykładem są elektroniczne dzienniki, w których zawarte są dane o wynikach w nauce. Są one obsługiwane przez firmy zewnętrzne, ale dostęp do tych danych uzyskują przede wszystkim nauczyciele i rodzice. Jest to dopuszczalne. Podpisując jednak umowę z firmą dostarczającą oprogramowanie umożliwiające publikowanie i gromadzenie takich danych, szkoła powinna dopilnować, by ta umowa spełniała wszystkie wymogi zawarte w przepisach branżowych oraz w ustawie o ochronie danych osobowych, a zwłaszcza w jej art. 31 regulującym kwestię powierzenia przetwarzania danych.

Z kolei zdarza się, że na stronach internetowych szkoły publikowane są dane o zdarzeniach mających miejsce w szkole, np. wyniki zawodów sportowych. Informowanie o sukcesach zazwyczaj nie przysparza problemów. Co innego, gdy prezentowane są wszystkie dane, także np. dzieci, które ze względu na niepełnosprawność uzyskały słabe wyniki. Taka sytuacja zagraża dobremu imieniu dziecka. Należy wówczas zachować czujność w publikowaniu takich danych.

KAI: Dwa lata temu Generalny Inspektor Ochrony Danych Osobowych i Episkopat Polski podpisały porozumienie w zakresie ochrony danych. Czego ono dotyczy?

- Przygotowano wówczas w swego rodzaju poradnik na temat przetwarzania danych osobowych na potrzeby Kościoła katolickiego. Dokument opracowały wspólnie Biuro GIODO i Sekretariat Konferencji Episkopatu Polski. Można się z nim zapoznać na stronie internetowej GIODO (www.giodo.gov.pl). W pierwszej części dokumentu wyjaśniono ogólne zasady ochrony danych osobowych i prawa do prywatności i wskazano, że podobne zapisy istnieją w Kodeksie Prawa Kanonicznego. Druga część to pytania i odpowiedzi na temat ochrony danych osobowych.

Dokument nie ma mocy aktu prawnego, nie jest też rodzajem umowy między Państwem a Kościołem, gdyż GIODO nie ma uprawnień do zawierania takich umów. Jest to zbiór dobrych praktyk w zakresie przetwarzania danych osobowych przez Kościół katolicki.