Uwaga na „nowy sio” - wybór najważniejszych zagadnień, Krzysztof Sługocki, 22.11.2015; (przygotowano na podstawie analogicznego opracowania z 18.03.2015)

Wprowadzenie – w „nowym sio” są gromadzone dane osobowe | „Stary sio” jest do sprawozdawczości – to do czego jest „nowy sio”? | Dane dziedzinowe i dane identyfikacyjne – to są dane osobowe | Kilka znaczących wydarzeń (kontrole NIK, wystąpienia w Sejmie,…) | Ważny Komunikat „MEN” | Ilustracja istnienia i funkcjonowania „nowego sio” | Szczegółowa (przykład) analiza gromadzenia wybranych danych osobowych | Zgoda na pozyskanie i zgoda na przechowywanie | Przykład gromadzenia danych osobowych dziedzinowych | Upoważnienia do dostępu do bazy danych SIO | Zmiana ustawy o sio z roku 2012 | Błędy w SIO – Wady SIO – Wielki bubel | Nowy sio – co dalej?

2. Dane dziedzinowe i dane identyfikacyjne – to są dane osobowe

MEN/CIE: „na bieżąco rozwijana jest aplikacja nowego SIO, do której należy wprowadzać dane w miarę udostępniania funkcjonalności”.

A przepis ustawy o sio – tu art. 124:

W terminie do dnia 9 kwietnia 2013 r. podmioty zobowiązane do przekazywania danych do bazy danych SIO przekazują do tej bazy danych:

[…]

3) dane identyfikacyjne i dane dziedzinowe do zbiorów danych uczniów i zbiorów danych nauczycieli, […].

[…]

Należy podkreślić, że w ustawie o sio to nie ma nawet „cienia przepisu prawa” regulującego udostępnianie kolejnych funkcjonalności i regulujących wprowadzanie danych w miarę udostępniania funkcjonalności. Jest natomiast wskazany art. 124, a w nim wskazuje się datę 9 kwietnia 2013 r.; wskazuje się jednocześnie obowiązek przekazania danych do bazy danych nie „od” 9 kwietnia 2013 r., ale „do” 9 kwietnia 2013 r. W szczególności stwierdza się o obowiązku przekazania do wskazanej daty danych identyfikacyjnych i danych dziedzinowych do zbiorów danych uczniów i zbiorów danych nauczycieli. A cóż to są za dane – te identyfikacyjne i dziedzinowe; jaka jest ich natura i ile ich jest do przekazania?

W art. 10 ustawy o sio stwierdza się:

W bazie danych SIO, w zbiorach danych uczniów, są gromadzone dane identyfikacyjne i dane dziedzinowe uczniów.

Następnie kilkanaście kolejnych artykułów tej ustawy (od art. 11 do art. 25) rozpoczyna się odpowiednio od słów „dane dziedzinowe” (art. 11 – od słów „dane identyfikacyjne”). Jednocześnie kilka ważnych spostrzeżeń: są to (niektóre) jedne z najbardziej obszernych artykułów tej ustawy; przypominają swoją zawartością rodzaj list, wykazów albo spisów owych danych dziedzinowych i identyfikacyjnych; tworzą razem bardzo zaskakująco obszerny i wyjątkowo szczegółowy katalog danych dotyczących uczniów (każdego z osobna). Zupełnie analogicznie jest w odniesieniu do nauczycieli – katalog art. 27 – 29. Wskazane katalogi są uszczegóławiane (głównie w znaczeniu zwrotu „poszerzane”) w przepisach wykonawczych.

Jednocześnie w artykule poprzedzającym te katalogi, w art. 3 ust. 2 stanowi się:

W systemie informacji oświatowej są gromadzone i przetwarzane dane osobowe:

1) […] uczniów, słuchaczy, wychowanków i absolwentów szkół i placówek oświatowych;

2) nauczycieli, wychowawców i innych pracowników pedagogicznych, […];

3) osób niebędących nauczycielami, […];

[…].

Nie stwierdza się we wskazanym przepisie, że są gromadzone i przetwarzane „w szczególności” dane osobowe uczniów i nauczycieli, albo „między innymi, albo „na przykład” – nie użyto jakiegokolwiek innego zwrotu będącego synonimem wymienionych. A gdyby podobnego zwrotu we wskazanym przepisie prawa użyto, to można byłoby może myśleć, że poprzez „nowy sio” gromadzi się dane identyfikacyjne i dane dziedzinowe uczniów i nauczycieli i także „trochę” danych osobowych.

Występuje tu coś, co można niewątpliwie próbować określać chyba mianem „manipulacji na poziomie prawa ustawowego”. Ciekawość, co by było, gdyby niemal dwadzieścia kolejnych artykułów ustawy o sio, artykułów niezwykle obszernych, zaczynało się od słów „dane osobowe”? Obstawiam co najmniej wyraźny i dość głośny niepokój zobowiązanych oraz tych, których dane zobowiązani by gromadzili. Jak zminimalizować domniemany niepokój? Tak, jak się stało – twierdzić, że będzie się gromadzić dane identyfikacyjne i dane dziedzinowe, czyli „jakie tam dane osobowe…”. A przecież nie trzeba być żadnym wybitnym specjalistą od czytania prawa aby zauważyć, że nie będzie sprzeczności pomiędzy art. 3 ustawy o sio a katalogami art. 10 – 29 tylko wtedy, gdy się stwierdzi: o uczniach i nauczycielach poprzez „nowy sio” są gromadzone bardzo zaskakująco obszerne i wyjątkowo szczegółowe dane osobowe zwane identyfikacyjnymi a przede wszystkim dane osobowe zwane dziedzinowymi – czyli są gromadzone dane osobowe, jako stanowi art. 3 ust. 2 ustawy o sio.

I kolejne bardzo ważne spostrzeżenie, które już niedługo zacznie tu dominować – tymczasem tylko spostrzeżenie: nazwanie danych osobowych danymi identyfikacyjnymi i dziedzinowymi nie zmienia konieczności stosowania się do wymogów ustawy o ochronie danych osobowych.

Przepisy ustawy o sio należy niewątpliwie uznać za lex specialis w stosunku do ustawy o ochronie danych osobowych[1], a zatem zastosowanie będzie znajdować reguła kolizyjna lex specialis derogat legi generali. Norma derogująca (specialis) pozbawia mocy normę derogowaną (generalis) jednak nie w całości, ale tylko w takim zakresie, w jakim odmiennie reguluje dane kwestie. Zakresy przepisów specjalne i ogólne, będące pozornie w relacji podporządkowania, w istocie się wykluczają. Przepis specjalny (tu ustawa o sio) nie uchyla i nie zmienia przepisu ogólnego w całości (tu ustawa o ochronie danych osobowych), lecz tylko w takim zakresie uchyla bądź zmienia (w znaczeniu: „uszczegóławia”), w jakim tego dotyczy lex specialis[2]. Ta elementarna zasada będzie konsekwentnie stosowana w dalszej części tego opracowania – ciekawe jak się to przełoży na skonfrontowanie funkcjonowania aplikacji „nowego sio” z przepisami prawa.

Najważniejsza jednak kwestia w tym wątku brzmi: owe ogromne zasoby danych osobowych należało zgromadzić do 9 kwietnia 2013 r. w zakresie wskazywanym w przepisach artykułów od 10 do 29 ustawy o sio. No i kto wywiązał się w Polsce z tego obowiązku? Nikt z zobowiązanych! Należy jednoznacznie stwierdzić, że nie ma w Polsce ani jednej szkoły, ani jednej placówki oświatowej, która wypełniła zobowiązanie zawarte w art. 124. A najdalej idącym dowodem na to są właśnie regularne w latach 2013-2015 twierdzenia po stronie MEN/CIE, że „na bieżąco rozwijana jest aplikacja nowego SIO, do której należy wprowadzać dane w miarę udostępniania funkcjonalności”.

Rodzą się tu kolejne pytania:

• Dlaczego nikomu z zobowiązanych nie udało się wypełnić obowiązku wpisanego w art. 124?

• Skoro do 9 kwietnia 2013 r. należało zgromadzić dane osobowe zgodne z katalogami art. 10 – 29, to co według przepisów ustawy o sio należało i należy obecnie robić w „nowym sio” po 9 kwietnia 2013 r.?
• Czy skutkiem zmiany przepisów ustawy o sio wskazuje się jakieś nowe terminy analogiczne w znaczeniu do daty 9 kwiecień 2013?

Oto odpowiedzi. Nikomu z zobowiązanych nie udało się wypełnić obowiązku wynikającego z art. 124 w powiązaniu z art. 3 i katalogami art. 10 – 29 ponieważ narzędzie gromadzenia danych (program/aplikacja „nowego sio”), które zostało udostępnione z końcem 2012 r. do 9 kwietnia 2013 r. nie zawierało wielu pożądanych „funkcjonalności” a niektóre z tych, które były dostępne, cechowały się (pisząc najdelikatniej) wieloma nieprawidłowościami. W marcu 2013 r. (czyli na około miesiąc przed 9 kwietnia) po stronie MEN/CIE było już wiadomo, że zostanie „zaliczona skrajna porażka”. Stąd 05 marca 2013 r. pojawia się omówiony wyżej „ważny komunikat w sprawie sprawozdawczości w SIO”.

Media zauważają problem w maju 2013 r. W jednym z bardziej sensacyjnie i dramatycznie brzmiących artykułów[3] stwierdza się między innymi (przywołując jednocześnie liczne komentarze ówczesnych użytkowników „nowego sio”):

„System Informacji Oświatowej funkcjonuje od 2005 roku. Dyrektorzy mieli zapisywać w nim wiele najrozmaitszych danych. Od powierzchni szkoły poczynając, przez wiadomości o każdym uczniu i nauczycielu, na liczbie piłek, jakimi dysponuje szkoła – kończąc. Miało to pozwolić samorządom lepiej planować budżet i liczbę miejsc w szkołach. System kosztował 21 mln złotych i nie działa.  […]. Dane do nowego systemu miały spłynąć do 9 kwietnia. Tymczasem do tego czasu wiele szkół nie miało jeszcze nadanego dostępu do systemu. Zarzutów pod kątem funkcjonowania SIO jest wiele. System jest awaryjny, obciążający, a przede wszystkim oparty na technologii, która nie pozwala porównywać zgromadzonych w nim danych. Jest więc w zasadzie bezużyteczny.” 

Potem sytuacja utrwala się… i pojawia się rozwiązanie w postaci przywołanej wyżej ustawy z dnia 22 listopada 2013 r. o zmianie ustawy o systemie informacji oświatowej. Z jednoczesną konsekwentnie budowaną ideą „niby to” wszystko tłumaczącą: „w roku 2013, w roku 2014, w roku 2015 system informacji oświatowej funkcjonuje dwutorowo – w wersji obecnie używanej do sprawozdawczości oraz w wersji modernizowanej („nowym sio”)”.

Skoro do 9 kwietnia 2013 r. należało zgromadzić dane osobowe zgodne z katalogami art. 10 – 29, to co według przepisów ustawy o sio należało i należy obecnie robić w „nowym sio” po 9 kwietnia 2013 r.? Wystarczająco jasna i prosta dpowiedź na to pytanie jest zawarta między innymi w art. 30 ustawy o sio:

Podmiot zobowiązany do przekazywania danych do zbioru danych szkoły lub placówki oświatowej, zbioru danych jednostki, zbioru danych nauczyciela i zbioru danych ucznia przekazuje dane do bazy danych SIO, w terminie 7 dni od dnia, w którym nastąpiła zmiana w stanie faktycznym[…].

Samych zobowiązanych należy teraz zapytać jak wywiązują się z tego obowiązku. Nieco dalej w tym opracowaniu zostanie skomentowany „ciekawy” komunikat (jeden z ostatnich) MEN w tym zakresie.

Czy skutkiem zmiany przepisów ustawy o sio wskazuje się jakieś nowe terminy analogiczne w znaczeniu do daty 9 kwiecień 2013? Nie.

Po drodze dzieje się jednocześnie kilka znaczących wydarzeń.