Czym jest „obowiązek rejestracyjny”, lub też „obowiązek meldunkowy” (bo również pod taką nazwą można go spotkać)? Aby móc odpowiedzieć na to pytanie, musimy odwołać się do innych przepisów prawnych, ponieważ art. 53 jest klasycznym przykładem tzw. artykułu korespondencyjnego i sam w sobie nie mógłby być przedmiotem rzeczowej analizy. W tym przypadku, przepisem, do którego odwołuje się art. 53 UODO, będzie w szczególności art. 40 Ustawy, opisujący obowiązek rejestracyjny. Artykuł ten stanowi, że:
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust.
Niestety, w tym przypadku, mamy do czynienia z kolejnym przepisem korespondencyjnym i znów musimy szukać przepisów, do których art. 40 się odwołuje. Można by więc powiedzieć, że szukamy przepisu odwoławczego, do którego odwołuje się art. 40, do którego odwołał się z kolei art. 53. Prawda, że brzmi kuriozalnie? Niestety, ale cały proces interpretacji przepisów prawa jest często żmudnym zadaniem i przypomina rozkładanie rosyjskiej matrioszki. Żeby zobaczyć, co jest w środku, czyli co tak naprawdę „ustawodawca miał na myśli”, musimy systematycznie zdejmować kolejne „warstwy” przepisów odwoławczych. Podobnie jest w tym przypadku. Ale po kolei.
Odwołanie do odwołania, czyli zbiory danych zwolnione z obowiązku rejestracji
Zacznijmy od końca, czyli od wyliczenia wszystkich tych zbiorów danych osobowych, których Administrator Danych nie musi rejestrować i które, przynajmniej pod względem obowiązku rejestracji, nie będą go interesować. Ustawodawca wylicza w art. 43 cały szereg tego typu „wyjątków”. Z powodu ograniczenia miejsca, w niniejszym artykule omówimy tylko jeden z nich. W następnych wydaniach przedstawimy kolejne wyjątki, skupiając się jednak tylko na tych, które mogą być „pomocne” Administratorom Danych (zakładamy bowiem, że nie mają oni przeważnie do czynienia z „informacjami niejawnymi”, czy też danymi osobowymi pochodzącymi z „Systemu Informacyjnego Schengen”). Najważniejsze zbiory danych osobowych, których nie trzeba rejestrować do GIODO, to:
dane przetwarzane w związku z zatrudnieniem u nich [u Administratorów Danych – przyp. autor], świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich [u Administratora Danych – przyp. autor] zrzeszonych lub uczących się (Art. 43. 1. pkt 4).
Zwolnienie z obowiązku rejestracji zbioru danych osobowych pracowników
Jest to zdecydowanie najczęściej wykorzystywany w Polsce wyjątek, który pozwala tysiącom firm i instytucji publicznych, na nierejestrowanie zbiorów danych odnoszących się do zatrudnionych pracowników. Dodatkowo, ustawodawca poprzez „zatrudnienie” rozumie nie tylko sytuacje odnoszące się do obecnych pracowników, ale i:
– byłych pracowników, których dane osobowe są przechowywane w zakładzie pracy, np. w celu regulowania zobowiązań emerytalnych z ZUS;
– przyszłych pracowników, których dane osobowe są przetwarzane w związku z prowadzonym procesem rekrutacji (np. w gromadzonych w zakładzie pracy CV). Co ciekawe, jest to fakt, o którym często się zapomina i jeśli przeszukaliby Państwo rejestr wniosków na platformie internetowej e-GIODO (jest on jawny, sami mogą Państwo to sprawdzić), to zauważyliby Państwo kilkaset (sic!) niepotrzebnie zarejestrowanych zbiorów „potencjalnych pracowników”;
Co więcej, ustawodawca traktuje „zatrudnienie” bardzo rozszerzająco również na płaszczyźnie rodzaju tego zatrudnienia. Nie ma więc żadnego znaczenia, czy Administrator Danych zatrudnia swoich pracowników na umowę o pracę, czy cywilnoprawną (zlecenie, czy dzieło). Oba te przypadki będą w świetle art. Art. 43. 1. pkt 4 zatrudnieniem i nie będą podlegały obowiązkowi rejestracji do GIODO.
Podsumowując: Administrator Danych nie muszą rejestrować zbiorów danych osób zatrudnionych u nich, niezależnie od rodzaju umowy. Nie muszą spełniać obowiązku meldunkowego również w stosunku do zbiorów „okołozatrudnieniowych” – byłych oraz przyszłych pracowników.
UWAGA! Jest od tej zasady jeden, bardzo istotny wyjątek. Art. 43. 1. pkt 4 nie oznacza, że nie należy rejestrować wszystkich zbiorów zawierających dane kadrowe.
Dwa przykłady praktyczne:
1. Agencja Zatrudnienia GoWorkers gromadzi dane osobowe pracowników, aby następnie przekazywać te dane podmiotom „docelowym” – firmom, państwowym urzędom, instytucjom, itd., które zamówiły u GoWorkers usługę pośrednictwa pracy.
2. Działający przy Urzędzie Gminy ZEASiP (Zespół Ekonomiczno-Administracyjny Szkół i Przedszkoli), obsługuje przedszkole „Motylek”. W ramach współpracy, ZEASiP prowadzi dla przedszkola kadry i księgowość, oraz uzupełnia SIO. Aby tego dokonać, przetwarza zbiory danych osobowych, udostępnione ZEASiPowi, przez przedszkole „Motylek”.
W obu przypadkach, konieczna będzie rejestracja danych pracowników! Kluczowy jest tu zwrot art. 43. 1. pkt 4, który mówi tylko i wyłącznie o pracownikach „zatrudnionych u nich” [u pracodawcy – przyp. autor]. Zarówno w pierwszym, jak i drugim przykładzie, rzeczywiście mamy do czynienia z danymi osobowymi pracowników, jednak nie są oni zatrudnieni przez podmiot który je przetwarza. W pierwszym przykładzie, „zatrudniającym” będzie firma na rzecz której GoWorkers prowadzi usługę pośrednictwa pracy i to ta firma będzie zwolniona z obowiązku rejestracji, a nie Agencja. Podobnie w drugim przypadku. Zbioru danych osobowych nie będzie musiało zarejestrować przedszkole „Motylek” (jako zatrudniający), natomiast obowiązek ten będzie jak najbardziej spoczywał na ZEASiPie. Oddajmy zresztą głos samemu GIODO, który sam odniósł się do ww. przypadków:
Przykład 1.
„Agencje zatrudnienia działają na podstawie ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy. Prowadzą one działalność gospodarczą w zakresie m.in. świadczenia usług pośrednictwa pracy, doradztwa personalnego, czy poradnictwa zawodowego. Nie zatrudniają jednak pracowników, za wyjątkiem agencji pracy tymczasowej (art. 18 ust. 1 pkt 4). Agencje zatrudnienia przetwarzają dane osobowe zazwyczaj na podstawie zgody osoby, której dane dotyczą – art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych – lub na podstawie zawartej umowy dotyczącej świadczenia usług pośrednictwa pracy, co stanowi podstawę prawną z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
O ile zatem agencje zatrudnienia prowadzą zbiory danych nie dotyczące osób u nich zatrudnionych, to muszą je zgłosić do rejestracji GIODO. Wyjątkiem są tu agencje pracy tymczasowej, które zatrudniają pracowników tymczasowych i w związku z tym podlegają wyłączeniu z obowiązku rejestracji na podstawie ww. przesłanki art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych.” (źródło: http://www.giodo.gov.pl/330/id_art/3450/j/pl/ )
Przykład 2.
„Przepisy ustawy z dnia 19 lutego 2004 r. o systemie informacji oświatowej, określającej organizację i zasady działania systemu informacji oświatowej, nakładają na wskazane w tej ustawie podmioty [w tym jednostki samorządu terytorialnego oraz ZEASiPy – przyp. autor] obowiązek prowadzenia zbiorów danych o: szkole lub placówce oświatowej; uczniach, słuchaczach, wychowankach oraz absolwentach; nauczycielach, wychowawcach i innych pracownikach oraz o spełnianiu obowiązku nauki. (…)
Co do zasady zbiory danych osobowych dotyczące nauczycieli, wychowawców i innych pracowników pedagogicznych podlegają obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obowiązku tego powinny dopełnić podmioty wymienione w art. 4 ustawy o systemie informacji oświatowej (m.in. szkoły, placówki oświatowe, placówki opiekuńczo – wychowawcze, jednostki samorządu terytorialnego), jeżeli nie zachodzi w ich przypadku przesłanka zwolnienia z obowiązku rejestracji, o której mowa w art. art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Zgodnie z nią z obowiązku rejestracji zbioru danych zwolnieni są m.in. administratorzy danych przetwarzanych w związku z zatrudnieniem u nich.
W związku z powyższym należy uznać, iż obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych przedmiotowych zbiorów dotyczy jednostek samorządu terytorialnego (gmin, powiatów), zaś zwolnione z obowiązku zgłaszania takich zbiorów do rejestracji są np. szkoły, bądź też inne placówki oświatowe, które zatrudniają nauczycieli.” (źródło: http://www.giodo.gov.pl/1520050/id_art/3443/j/pl/ )
Mamy nadzieję, że zrozumieli Państwo mechanizm zwrotu „u nich”, ponieważ okaże się to bardzo pomocne w następnym rozdziale.
Zbiory danych osobowych uczniów – rejestrować, czy nie?
Oprócz tego, że wyjątek opisywany w 1. podpunkcie, pozwala Administratorom Danych nie rejestrować zbiorów danych kadrowych, to od razu „załatwia” też inny, podstawowy zbiór: uczniów (oczywiście jeśli Administrator Danych jest placówką oświatową). Co prawda, art. 43. 1. pkt 4 mówi o zwolnieniu z obowiązku meldunkowego tylko w przypadku osób „uczących się”, ale nie zapominajmy, że polski system prawny traktuje definicję „ucznia” bardzo rozszerzająco. I tak, uczniami będą: dzieci objęte pomocą psychologiczno-pedagogiczną udzielaną przez poradnie psych-por, w tym poradnie specjalistyczne, dzieci objęte wczesnym wspomaganiem rozwoju w szkołach i placówkach oświatowych, dzieci objęte wychowaniem przedszkolnym w przedszkolach, oddziałach przedszkolnych zorganizowanych w szkołach podstawowych i innych formach wychowania przedszkolnego oraz uczniowie, słuchacze, wychowankowie i absolwenci szkół i placówek oświatowych. Wynika z tego wyraźnie, że Administrator Danych, nie tylko nie będzie zobowiązany do rejestracji zbiorów danych uczniów, ale również byłych uczniów.
Żeby nie mieli Państwo jednak za łatwego zadania, w tym momencie wkracza do akcji mechanizm „u nich”. Proszę pamiętać, że Administrator Danych nie musi rejestrować jedynie zbiorów danych swoich uczniów. Ilekroć wystąpi sytuacja, że w placówce przetwarzane są dane osobowe uczniów innych szkół i przedszkoli (uspokajamy – taka sytuacja nie występuje zbyt często), takie zbiory danych trzeba zarejestrować. Jako, że najbardziej przemawiającą metodą tłumaczenia zawiłego prawniczego języka są przykłady praktyczne, to i tym razem pozwolimy sobie posłużyć się tą metodą:
Przykład 1 Przedszkole „Polak Mały” prowadzi przyprzedszkolną biblioteczkę. Biblioteczka liczy ok 100 książek, z których zdecydowana większość to tytuły przeznaczone dla najmłodszych. Dyrektor przedszkola „Polak Mały” uznał, że dla dobra okolicznej społeczności, udostępni swoje zbiory także dla dzieci niebędących wychowankami jego placówki. W tym celu, założył kartoteki (w których naturalnie znajdywały się dane osobowe) każdemu dziecku, które chciało wypożyczyć książkę.
W obu przykładach takie zbiory danych trzeba zarejestrować. Znów oddajmy głos GIODO:
Przykład 1.
„Jeżeli (…) biblioteki prowadzone przez szkoły [lub przedszkola – przyp. autor] przetwarzają wyłącznie dane osób uczących się w nich [lub wychowanków lub ich rodziców – przyp. autor], zatrudnionych w tych szkołach lub świadczących im usługi na podstawie umów cywilnoprawnych, to zwolnione są one z obowiązku zgłoszenia do rejestracji przedmiotowego zbioru danych. W przypadku, gdy w zbiorach takich znajdą się dane osób innych, niż wymienione w art. 43 ust. 1 pkt 4 ustawy, będą one podlegały obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi.” (źródło: http://www.giodo.gov.pl/1520050/id_art/989/j/pl/ )
Zakończenie
Mamy nadzieje, że zrozumieli już Państwo mechanizm (nie)rejestracji do GIODO zbiorów danych pracowników oraz uczniów/wychowanków szkoły/przedszkola. W następnych częściach, przedstawimy kolejne zbiory danych, w przypadku których (nie) wystąpi po Państwa stronie obowiązek meldunkowy. Pragniemy też zwrócić uwagę na jedną bardzo ważną rzecz – nie należy traktować obowiązku rejestracji zbioru danych jako „zła koniecznego”. Sam proces rejestracji zbioru danych to dla doświadczonej osoby 5 minut, a dla osoby, która styka się z tym zadaniem po raz pierwszy – ok. godzina. Byłoby niewątpliwą stratą, gdyby dla tej jednej godziny, dyrektor przedszkola „Polak Mały” zdecydował się ograniczyć dostęp do przedszkolnej biblioteczki tylko i wyłącznie do wychowanków jego placówki. Byłby to klasyczny przykład „wylewania dziecka z kąpielą”.
Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO
Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:
– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:
– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO
– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:
Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych
Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane
Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego
Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć
Część 5 – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.),
- Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 1997 r. Nr 88 poz. 553 ze zm.).
- Drozd Andrzej, Ustawa o ochronie danych osobowych: komentarz – wzory pism i przepisy, stan prawny na 2 lipca 2007 r., wyd. Lexis Nexis, Warszawa 2007
- Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, Ochrona danych osobowych. Komentarz, wyd. Wolters Kluwer Polska, lipiec 2011
- Zakrzewski, R., Organiściak, M., Prawnokarna ochrona danych osobowych, „Kontrola Państwowa”, 2002,
- www.giodo.gov.pl
Artykuł ukazał się w październikowym numerze Miesięcznika Dyrektor Przedszkola (nr 10/45 październik 2012).
8 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
W ustawie jest mowa iż nie rejestrujemy zbiorów zawierające dane osób uczących się u ADO. Mam wątpliwość czy obrał Pan dobry kierunek wskazując, iż przepis ten dotyczy UCZNIÓW. Moim zdaniem tak nie jest. A co ze stażystami, praktykantami, ośrodkami szkolenia kierowców itp. ? Akurat o szkoleniu kierowców wypowiedział się GIODO (http://www.giodo.gov.pl/330/id_art/6470/j/pl/), gdzie wyraźnie jest mowa, że takie dane nie podlegają rejestracji.
Słusznie Pan zauważył, że podstawa zwolnienia z obowiązku rejestracji przewidziana w art. 43 ust. 2 pkt 4) dotyczy osób uczących się, a więc można przyjąć, że również praktykantów czy stażystów, a także kandydatów na kierowców. GIODO podał jako podstawę zwolnienia ww. artykuł zarówno w kontekście ośrodków szkolenia kierowców, jak i w kontekście szkół w odniesieniu do danych jej uczniów (odsyłam do lektury: http://www.giodo.gov.pl/1520049/id_art/3441/j/pl/). Co ciekawe do grupy tej nie zalicza się wolontariuszy (http://www.giodo.gov.pl/1520049/id_art/3070/j/pl/). W odniesieniu do wyłączeń przewidzianych w pkt 4) podkreśla się, że nie mają znaczenia prawna podstawa zatrudnienia, status organizacyjny, tryb ani szczebel nauczania. W związku z tym, że ustawa o ochronie danych osobowych nie definiuje pojęcia „uczenia się”, pomocniczo należy korzystać z przepisów innych ustaw, w tym ustawy o systemie oświaty.
Bardzo Fajny blog
pozdrawiam
Witam, czy dyrektor szkoły powinien w rejestrze zbirów uwidocznić lokalny zbiór danych osobowych Systemu Informacji Oświatowej?
W rejestrze GIODO znalazłem taki zbiór. Czy lokalnym Administratorem takiego zbioru jest gmina lub kuratorium?
Lokalny rejestr SIO nie podlega rejestracji w GIODO (lub jawnym rejestrze ABI). Jest zwolniony na podstawie art. 43 ust. 1 pkt. 4 ustawy o ochronie danych osobowych (dane przetwarzane przez administratorów w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się).
Przedstawione w pytaniu zagadnienie reguluje art. 5 ustawy z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej. Według art. 5 ust. 3 niniejszej ustawy lokalne bazy danych SIO prowadzą podmioty zobowiązane do przekazywania danych do zbiorów danych w bazie danych SIO oraz podmioty uprawnione do pozyskiwania danych z bazy danych SIO i danych ze zbioru PESEL za pośrednictwem bazy danych SIO. Według art. 6 administratorem bazy danych SIO jest minister właściwy do spraw oświaty i wychowania, natomiast administratorem lokalnej bazy danych SIO jest kierownik podmiotu prowadzącego lokalną bazę danych SIO.
Czy szkoła musi zgłosić zbiór danych uczniów posiadających orzeczenia z Poradni Psychologiczno-Pedagogicznej o potrzebie kształcenia specjalnego np. upośledzenie w stopniu lekkim, niepełnosprawność ruchowa, zespół Aspergera?
Co z uczniami posiadającymi orzeczenia z Poradni Psychologiczno-Pedagogicznej np. o dysleksji?
Poprawka do pytania powyżej:
Co z uczniami posiadającymi opinie z Poradni Psychologiczno-Pedagogicznej np. o dysleksji?
Witam,
Urząd w ramach wypełnienia obowiązków wynikających z przepisów prawa dokonuje kontroli podmiotów prowadzących działalność gospodarczą wśród których znajdują się również osoby fizyczne prowadzące działalność gospodarczą na podstawie wpisu do ewidencji.
W ramach kontroli wykorzystywany jest „Informatyczny Systemu Kontroli”, w którego bazie danych ewidencjonowane są między innymi dane osobowe, o których mowa w art. 27 ust. 1 ustawy ( mandaty karne i decyzje administracyjne o karach pieniężnych ).
Czy w powyższej sytuacji ADO, nawet jeżeli powołał ABI, powinien zgłosić zbiór danych „Podmioty podlegające kontroli” do GIODO.