Jeśli nie chcesz mojej zguby, o komputer nie proś luby
Na prośbę autora usunąłem opublikowany właśnie artykuł, gdyż - jak się okazało - Rzeczpospolita zdecydowałą się go opublikować właśnie tego samego dnia, nie informując autora wcześniej o tym, że tekst został przyjęty do druku i kiedy będzie opublikowany. Cóż. Wychodząc na przeciw prośbie autora pozostaje zrobić meta tekst. W każdym razie chodzi o zapewnienie obsługi administracyjnoprawnej i warunków techniczno-materialnych pracy obwodowych komisji wyborczych.
Tekst Witolda Rygiela (w nieco skróconej wersji) został opublikowany w Rzeczpospolitej pt. Administrator odpowiada za bezpieczeństwo.
W nadesłanej do mnie wersji można było przeczytać: "Burmistrz miasta W., ustawowo zobowiązany do zapewnienia obsługi administracyjnej i warunków techniczno-materialnych pracy obwodowych komisji wyborczych, zorganizował spotkanie z dyrektorami lokalnych "jednostek sprawujących trwały zarząd nieruchomości państwowych i komunalnych" poświęcone problematyce udostępnienia pomieszczeń na siedziby lokali wyborczych. W czasie spotkania zwrócono się do dyrektorów szkół i przedszkoli miasta W. z apelem o udostępnienie członkom komisji wyborczych komputerów należących do poszczególnych jednostek oświatowych".
W Rzeczpospolitej podsumowanie: "Zanim jednak dyrektorzy jednostek oświatowych zdecydują się na powierzenie sprzętu dla potrzeb zbliżających się wyborów, powinni wnikliwie ocenić, czy nie będzie to kolidowało z przepisami ustawy z 29 sierpnia 1977 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm. - dalej: uodo) i rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024). Administrator danych osobowych (ADO) - tutaj: szkoła lub przedszkole - na podstawie art. 36 ust. 1 uodo "jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem""
Witold Rygiel wymienia (w oryginalnym tekście, który tu był niedawno w całości opublikowany)
Administrator danych osobowych (ADO) - w tym przypadku szkoła lub przedszkole - na podstawie art. 36 ust. 1 uodo "jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem". Analiza przepisów uodo, zawartych w jej rozdziale 5, zatytułowanym „Zabezpieczenie danych osobowych” wskazuje, że ADO winien:
- wyznaczyć administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba że sam wykonuje te czynności – por. art. 36 ust. 3 uodo),
- dopuścić do obsługi systemu informatycznego wyłącznie osoby, którym nadał upoważnienie do przetwarzania danych – por. art. 37 uodo,
- zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (w opisywanym przypadku chodzi o zapewnienie bezpieczeństwa danym przetwarzanym w oprogramowaniu wykorzystywanym przez jednostkę oświatową) – por. art. 38 uodo,
- wpisać do ewidencji osób upoważnionych do przetwarzania danych: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym – por. art. 39 ust. 1 uodo,
- pobrać od osób upoważnionych do przetwarzania danych osobowych oświadczenia o zachowaniu w tajemnicy zarówno danych, jak i stosowanych sposobów ich zabezpieczenia – por. art. 39 ust. 2 uodo.
I dalej:
Ponadto prawodawca sprecyzował i skonkretyzował warunki techniczne i organizacyjne, które spełnić winien ADO w przywołanym rozporządzeniu wykonawczym MSWiA. Warto przywołać w tym kontekście m. in. konieczność przestrzegania zasad:
- rozliczalności — rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
- integralności danych — rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- poufności danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
A jeśli chodzi o ustawę:
Ustawa o ochronie danych osobowych (wybór)
Art. 51
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
To już wtedy o tym myśleli?
No no no, ustawa z 1977 r., już wtedy myśleli o ochronie danych osobowych?! ;-) Oczywiście ustawa z 1997 r.
Swoją drogą, odpowiedź na to pytanie brzmi... TAK. Już w latach siedemdziesiątych pojawiają się w Polsce publikacje naukowe o (i tutaj nie pamiętam dokładnie ówczesnego określenia) automatycznym przetwarzaniu danych osobopoznawczych (coś takiego).
rozek19
Do kogo należą szkolne komputery?
Znaczna część komputerów wykorzystywanych w szkołach trafiła do szkół w wyniku kolejnych akcji centralnych zakupów wyposażenia dla szkół, przeprowadzanych od 2001 roku. W sumie jest to kilkaset tysięcy komputerów. Otóż formalnie komputery te wciąż są własnością MEN przekazaną szkołom w użytkowanie. Ta dziwna sytuacja prawna ma kilka powodów, w tym prawne komplikacje przy przekazywaniu majątku z budżetu centralnego (MEN) do jednostek samorządowych (szkoły), techniczno-organizacyjną kłopotliwość zorganizowania dziesiątków tysięcy komisji i aktów przekazania majątku oraz prawa licencyjne i gwarancyjne, które czasem trudno byłoby równolegle przekazać do szkół.
Tak więc formalnie szkoła nie może udostępnić komputerów otrzymanych w ramach centralnych zakupów wyposażenia pracowni komputerowych na jakiekolwiek cele inne niż dydaktyczne bez zgody MEN.