Odpowiedź

odpowiedzi udzielono: 8 lutego 2012 r.

Na gruncie u.o.d.o. wyróżnić należy dwie podstawy przekazywania danych osobowych przez administratora podmiotom zewnętrznym (tu: poza szkołę). Podstawy te są następujące:

a) powierzenie przetwarzania danych innemu podmiotowi – w tym przypadku administrator danych osobowych nie przetwarza sam danych osobowych, ale zawiera z innym podmiotem umowę, w której zleca temu podmiotowi przetwarzanie danych osobowych – w określonym celu i zakresie, które precyzować powinna stosowna umowa (art. 31 u.o.d.o.). Przypomnieć warto, że pod pojęciem "przetwarzania danych osobowych" rozumieć trzeba wszelkie operacje wykonywane na danych osobowych (por. art. 7 pkt 2 u.o.d.o.). W omawianym przypadku podmiot, któremu zlecone zostało przetwarzanie danych nie uzyskuje statusu administratora danych, a jest jedynie podmiotem przetwarzającym dane, co ma wpływ na zakres jego obowiązków i odpowiedzialności. Administrator danych jest cały czas ten sam.

Mając na uwadze powyższe – powierzenie przetwarzania danych zachodzi np.: wówczas, jeśli szkoła umieszcza dzienniki elektroniczne na serwerach firm; w przypadku administratora systemu informatycznego – w takich przypadkach konieczne jest zawarcie stosownej umowy. Powierzenie przetwarzania danych następuje też w przypadku, gdy organ prowadzący realizuje obsługę szkół w zakresie administracyjnym i finansowym. W piśmiennictwie wskazuje się jednak, że w takim przypadku zawarcie umowy między szkołą, a organem prowadzącym, (tzn. gdy powierzenie następuje miedzy podmiotami publicznymi) jest wątpliwe. Jak się wydaje – we wskazanej sytuacji cel i zakres powierzenia przetwarzania danych wynika z ogólnych postanowień art. 5 ust. 7 ustawy z dnia 7 września 1991 r. o systemie oświaty (tekst jedn.: Dz. U. z 2004 r. Nr 256, poz. 2572 z późn. zm.).

b) udostępnienie danych osobowych – nastąpić może w przypadkach wskazanych w art. 23 i 27 ust. 2 w związku z art. 1 ust. 2 u.o.d.o. Z reguły chodzić będzie o udostępnienie danych w celu określonym w art. 23 ust. 1 pkt 2 u.o.d.o., tj. dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Odnośne przepisy prawa wskazują także cel i konkretny zakres udostępnianych danych. Udostępnienie danych osobowych powoduje, że odbiorcy tych danych (por. art. 7 pkt 6 u.o.d.o.) również stają się administratorami otrzymanych danych. W tym przypadku przekazanie danych następuje na podstawie przepisów prawa, a nie na podstawie umowy.

Jak wskazano powyżej – w przypadkach wymienionych w treści pytania (poza omówionymi w pkt a) chodziło będzie o udostępnienie danych osobowych wskazanym podmiotom na podstawie przepisów prawa. Oznacza to, że przepisy prawa dają podstawę dyrektorowi szkoły do udostępnienia tym podmiotom danych osobowych w określonym zakresie. Z drugiej zaś strony – upoważniają te podmioty do uzyskania od dyrektora szkoły określonych danych osobowych.

Zaznaczyć należy, że – w przypadku organu prowadzącego szkołę – powierzenie dotyczyło będzie w zasadzie tylko wykonywania obsługi administracyjno-finansowej, natomiast w innych przypadkach organ prowadzący występować będzie jako podmiot, któremu dane powinny zostać udostępnione w celach określonych przepisami prawa.

Wskazać ponadto trzeba, że w przypadku zoz, lekarza, pielęgniarki i radcy prawnego – zasady związane z ochroną danych przetwarzanych przez te osoby, określone są również w odrębnych przepisach (ustawa o zawodzie lekarza, ustawa o zawodzie pielęgniarki i położnej, ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawa o radcach prawnych).

Magdalena Sender