Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) — określaną dalej UODO – każda placówka szkolna pełni funkcję administratora danych osobowych. Na nim z kolei ciąży obowiązek dopełnienia pewnych kwestii i nie odnoszą się one jedynie do omawianego dziennika elektronicznego, jednak przyjrzyjmy się im bliżej właśnie pod tym kątem.
Kilka słów o powierzaniu danych osobowych
Szkoły korzystające z elektronicznego dziennika, działającego w infrastrukturze technicznej lub programowej jego dostawcy (mowa m.in. o aplikacjach funkcjonujących z poziomu przeglądarki internetowej), powinny powierzyć mu przetwarzania zawartych w nim danych osobowych. Wszelkich formalności należy dokonać na piśmie, a w dokumencie trzeba ująć zakres danych podlegających przetwarzaniu oraz jego cel. Nie należy jednak mylić pojęć. Administratorem danych nadal pozostaje szkoła, natomiast powierza ona ich przetwarzanie innemu podmiotowi, w tym przypadku firmie świadczącej usługę. Oczywiście wszystko odbywa się na podstawie zawartej między stronami umowy.
Jak należy rozumieć „przetwarzanie”?
To wszystkie operacje wykonywane na danych, a zalicza się do nich ich: przechowywanie, zbieranie, utrwalanie, opracowywanie, udostępnianie i zmienianie. Co więcej, to administrator decyduje, do jakich celów i w jaki sposób się ich używa, a usługodawca (w tym przypadku dostawca e-dziennika) musi zastosować się do wszystkich ujętych w umowie wytycznych. A zatem osoba korzystająca z oprogramowania może być zupełnie spokojna o to, co się będzie z nimi działo.
Serwery a przetwarzanie danych osobowych przez usługodawcę
Usługodawca (dostawca e-dziennika) przetwarzający dane osobowe przechowuje je na serwerach. Mogą one stanowić jego własność, ale nie muszą. Co zatem, gdy dzierżawi miejsce na serwerze od innej firmy (tzw. hosting) lub posiada własne, ale w wynajętej serwerowni (kolokacja serwerów)?
Wspomnimy tylko, że wyżej opisane sytuacje dotyczą większości firm oferujących usługi SaaS (Software-as-a-Service), ponieważ zbudowanie i utrzymanie profesjonalnej serwerowni wymaga nie lada umiejętności, a poza tym generuje bardzo duże koszty, na które spora liczba przedsiębiorstw zwyczajnie nie może sobie pozwolić. Warto tez poszukać takiego dostawcę e-dziennika, który oferuje wraz z usługa oprogramowania przechowywanie danych na własnym, bezpiecznym serwerze.
Wróćmy jednak do tematu. Usługodawca oferujący dziennik elektroniczny do szkół musi zagwarantować, że przetwarzane przez niego dane, archiwizowane na serwerach współpracującej z nim firmy hostingowej, będą w pełni bezpieczne. Może to osiągnąć wyłącznie przez umieszczenie w zawartej z nią umowie zapisu o polityce prywatności i bezpieczeństwie danych.
Przetwarzanie danych osobowych przez usługodawcę a serwery zagraniczne
W dzisiejszych czasach coraz częściej wykorzystuje się chmury obliczeniowe (ang. cloud computing), a więc może się okazać, że serwery, z których korzysta dostawca elektronicznego dziennika, znajdują się za granicą i należą do ogromnych firm, takich jak Microsoft, Google czy Amazon.
Podkreślenia wymaga również fakt, że bardzo często są one zlokalizowane w państwie trzecim. Dlaczego? Bo to daje szansę oferowania usług na znacznie szerszym obszarze i przy stosunkowo niskich cenach. Większość zagranicznych przedsiębiorstw proponuje dużo lepsze i tańsze usługi niż polskie firmy hostingowe. Ich platformy działają zdecydowanie wydajniej, nawet jeśli liczba korzystających z nich użytkowników systematycznie wzrasta.
Jak w takiej sytuacji powinien zadbać o ochronę danych osobowych usługodawca dziennika elektronicznego?
Oprócz umieszczenia w umowie stosownych zapisów o ich bezpieczeństwie i wykorzystywaniu jedynie w celu świadczenia usług e-dziennika, musi jeszcze uzyskać od firmy, na której serwerach będą one przechowywane, informację o zapewnieniu należytego poziomu ich ochrony wedle standardu obowiązujących w naszym kraju bądź postarać się o zgodę GIODO na korzystanie z serwerów zagranicznych.
Ponadto, wedle art. 47 UODO:
Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.
Na stronie Generalnego Inspektora Ochrony Danych Osobowych pojawia się również informacja o tym, że odbiorca danych przystępujący do programu „Safe Harbour” zobowiązuje się do zagwarantowania im wymaganego poziomu bezpieczeństwa, na podstawie którego możliwe staje się ich przekazanie do państwa trzeciego. A więc korzystanie z usług takiej firmy, znosi z dostawcy oprogramowania obowiązek uzyskania od GIODO wcześniej wspomnianej zgody.
Natomiast w każdym innym przypadku to administrator danych osobowych – w tej sytuacji szkoła – musi ocenić, czy firma hostingowa, z którą podejmuje współpracę, jest w stanie dobrze zabezpieczyć dane osobowe przed dostępem do nich osób trzecich. W weryfikacji tego aspektu pomocne okazują się wszelkiego rodzaju certyfikaty. Warto też dokładnie zapoznać się z treścią umowy, a zwłaszcza fragmentem traktującym o polityce prywatności usługi hostingowej.
Reasumując, administrator danych osobowych (szkoła), który powierza ich przetwarzanie dostawcy e-dziennika, powinien:
- Zażądać od usługodawcy pisemnej umowy, w której zobowiąże się on do wykorzystywania udostępnionych danych jedynie w celu prowadzenia dziennika.
- Poprosić firmę świadczącą usługi o dookreślenie miejsca przetwarzania danych (wskazanie firmy hostingowej, która się tym zajmie) oraz zapewnienie, że będą one tam w pełni bezpieczne i przechowywane zgodnie z zasadą poufności.
Zażądać od dostawcy oprogramowania, który zamierza przechowywać dane osobowe na serwerach zlokalizowanych za granicą, wydania oświadczenia, w którym zapewni, że firma hostingowa, z której usług korzysta, zagwarantuje ochronę danych osobowych równoważną poziomowi obowiązującemu w Polsce.