Uprzejmie informuję, że pismem z dnia 30 sierpnia 2010 roku (znak: DKOW-WOKW-DD-5007/17/2010) Minister Edukacji Narodowej zwrócił się do Lubuskiego Kuratora Oświaty o przekazanie dyrektorom przedszkoli, szkół i placówek informacji na temat w przedmiocie prowadzenia elektronicznych dzienników zajęć lub dzienników lekcyjnych zgodnie z przepisami o ochronie danych osobowych. Poniżej przytaczam treść wskazanego powyżej pisma.
„Generalny Inspektor Ochrony Danych Osobowych zwraca uwagę na fakt, że dziennik elektroniczny stanowi zbiór danych, w tym danych osobowych o uczniach, a dyrektorzy szkół, w których wybrano taką formę dokumentowania zajęć lekcyjnych, są – zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – administratorami tych zbiorów danych.
Powyższa ustawa nakłada na administratorów danych liczne obowiązki, wśród nich wymóg szczególnej staranności przy przetwarzaniu danych osobowych, a także obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy).
W myśl art. 39 ustawy o ochronie danych osobowych administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych oraz (art. 40) zgłasza zbiór do rejestracji Generalnemu Inspektorowi Danych Osobowych.
Wiele szkół prowadzących dzienniki za pomocą systemu informatycznego dane osobowe uczniów i ich przedstawicieli ustawowych umieszcza na serwerach firm obsługujących system e-dziennika. Dostęp do danych osobowych w nich zawartych jest możliwy wyłącznie przez Internet za pomocą połączeń szyfrowanych.
Zgodnie z treścią art. 31 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie oraz jest obowiązany podjąć środki zabezpieczające zbiór danych i spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). W zakresie przestrzegania tych przepisów dyrektor szkoły (oraz podmiot, któremu w drodze umowy powierzono przetwarzanie danych osobowych) ponosi odpowiedzialność.
Jeżeli szkoły i placówki oświatowe powierzyły firmom przetwarzanie danych bez zawarcia w formie pisemnej umów, należy uznać, że został naruszony art. 31 ust. 1 ustawy o ochronie danych osobowych.
Jednocześnie zwracam uwagę, że prywatna firma dostarczająca szkole określoną usługę nie może przejmować kompetencji dyrektora szkoły tj. swobodnie zarządzać elektronicznym dziennikiem lekcyjnym i udostępniać (bądź nie udostępniać) rodzicom uczniów, możliwość logowania się do tego dziennika. W myśl § 23 rozporządzenia Ministra Edukacji Narodowej i Sportu w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.) dyrektor szkoły ponosi odpowiedzialność za właściwe prowadzenie i przechowywanie dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz za wydawanie przez szkołę dokumentów zgodnych z posiadaną dokumentacją.
Decyzja o tym, czy rodzice uczniów będą mogli logować się do systemu dziennika elektronicznego i jaki zakres danych będzie im udostępniony należy do kompetencji dyrektora szkoły. Decyzja ta powinna w równym stopniu obejmować wszystkich rodziców i określać jednakowe warunki korzystania z e-dziennika. Pobieranie opłat od rodziców uczniów za dostęp do dziennika elektronicznego jest nieuprawnione. Zgodnie z art. 54 ust. 8 ustawy o systemie oświaty (Dz. U. z 2004 r. Nr 256, poz. 2572 z późn. zm.), w celu wspierania działalności statutowej szkoły lub placówki rada rodziców może gromadzić fundusze z dobrowolnych składek rodziców oraz innych źródeł. Ustawa o systemie oświaty nie przewiduje innej formy pobierania opłat od rodziców uczniów szkół publicznych.
Także przenoszenie danych osobowych znajdujących się w dzienniku elektronicznym (z na ogół dobrze zabezpieczonych serwerów dostawcy) na komputery osobiste użytkowników nie powinno mieć miejsca, gdyż nie gwarantuje zabezpieczenia danych przed dostępem osób nieuprawnionych i naraża na możliwość ich zniszczenia lub utraty.”.