Uwaga na „nowy sio” - wybór najważniejszych zagadnień, Krzysztof Sługocki, 22.11.2015; (przygotowano na podstawie analogicznego opracowania z 18.03.2015)
Wprowadzenie – w „nowym sio” są gromadzone dane osobowe | „Stary sio” jest do sprawozdawczości – to do czego jest „nowy sio”? | Dane dziedzinowe i dane identyfikacyjne – to są dane osobowe | Kilka znaczących wydarzeń (kontrole NIK, wystąpienia w Sejmie,…) | Ważny Komunikat „MEN” | Ilustracja istnienia i funkcjonowania „nowego sio” | Szczegółowa (przykład) analiza gromadzenia wybranych danych osobowych | Zgoda na pozyskanie i zgoda na przechowywanie | Przykład gromadzenia danych osobowych dziedzinowych | Upoważnienia do dostępu do bazy danych SIO | Zmiana ustawy o sio z roku 2012 | Błędy w SIO – Wady SIO – Wielki bubel | Nowy sio – co dalej?
9. Upoważnienia do dostępu do bazy danych SIO
Istnieje chyba problem upoważnień do dostępu do bazy danych SIO.
Po raz pierwszy 25.02.2013 otrzymałem wiadomość dotyczącą tej kwestii (pisownia oryginalna):
„[…] mam pytanie dot. upoważnień, którymi okazawali się pracownicy szkół i placówek zgłaszający się do organu prowadzącego po odbiór upoważnień nadanych w systemie nowego SIO i indywidualne hasła i loginy: a mianowicie okazywali upoważnienie do dostępu do bazy danych SIO na podstawie art. 42 ust. 1 ustawy z dnia 15.04.2011 r. o SIO. W upoważnieniu ww. wymieniony jest owy pracownik i zajmowane przez niego stanowisko oraz informacja iż jest upoważniony do dostępu do bazy danych SIO w imieniu dyrektora szkoły/placówki na okres max 5 lat. Upoważnienie podpisał dyrektor.
Skoro upoważnienie z nowego SIO szczegółowo podaje dane dot. pracownika tj. z numerem pesel i klauzulą: iż jest on zobowiązany do zachowania ich w tajemnicy, również po ustaniu zatrudnienia, oraz zachowania w tajemnicy informacji o ich zabezpieczeniu, to czy uzasadniony jest i niezbędny tego rodzaju dopisek na upoważnieniu wydanym przez dyrektora szkoły/placówki dla tegoz pracownika?”
26.02.2013 udzieliłem następującej odpowiedzi:
„[…]
Odpowiedź na pierwsze pytanie jest obarczona ciężarem „kolosalnej” liczby udzielonych upoważnień, o które Pani pyta, które to upoważnienia – jak się to okaże w treściach zawartych poniżej – w swej owej kolosalnej liczbie mogą być uznane za nieważne. Uczynienie już na wstępie takiego spostrzeżenia, wskazuje na konieczność stwierdzenia: „proszę zachować dystans”.
Art. 42 ust. 1 ustawy o systemie informacji oświatowej […] – w dalszej części tego tekstu nazywanej ustawą – nie dotyczy upoważnień, o których stwierdza Pani w swym pytaniu. „Czy uzasadniony jest i niezbędny tego rodzaju dopisek [klauzula o zachowaniu tajemnicy] na upoważnieniu wydanym przez dyrektora szkoły/placówki dla […] pracownika?” – rzecz wynika z innych przepisów, które wskazuję poniżej. Jednocześnie tytułem wstępu dodam, że chęć udzielenia odpowiedzi z perspektywy zdrowego rozsądku w odniesieniu do organizacji „procedury weryfikacji dostępu do bazy danych SIO” – prowadzi do odpowiedzi: nie jest niezbędny, ale jest uzasadniony. Uzasadnienie pojawia się z perspektywy prawa i jest następujące.
W art. 72. ust. 1. ustawy stwierdza się, że „kierownik podmiotu, o którym mowa w art. 67, może upoważnić do dostępu do bazy danych SIO pracownika lub pracowników tego podmiotu […]”. Z art. 67 w powiązaniu z przepisami poprzedzającymi wynika, że, w odniesieniu do Pani pytania, chodzi tu w szczególności o dyrektora szkoły jako upoważniającego oraz o pracownika szkoły jako upoważnianego. W ust. 2 stwierdza się, że „Upoważnienia, o którym mowa w ust. 1, udziela się na czas określony, nie dłuższy jednak niż 5 lat. Udzielenie upoważnienia wymaga formy pisemnej pod rygorem nieważności.”
Dalej w ust. 4 stwierdza się, że „Do udzielenia upoważnienia do dostępu do bazy danych SIO osobie, o której mowa w ust. 1, przepisy art. 69-71 stosuje się odpowiednio.” Z całą więc pewnością należy stwierdzić, że przepisy art. 69-71 dotyczą „pracownika podmiotu” w rozumieniu realizacji „procedury weryfikacji dostępu do bazy danych SIO”; należy jednocześnie zauważyć, że ani w przepisach art. 69-71, ani w innych przepisach nie dokonano żadnych wyłączeń spośród formalnych wymogów definiowanych wobec zawartości upoważnienia, o których to wymogach stwierdza się w art. 70 ust. 3.
W art. 70 ust. 3 stwierdza się, że „Upoważnienie zawiera:
1) imię (imiona), nazwisko, numer PESEL oraz stanowisko osoby upoważnionej;
2) określenie typu i nazwy użytkownika SIO;
3) określenie organu prowadzącego szkołę lub placówkę oświatową — w przypadku upoważnienia dla dyrektora szkoły lub placówki oświatowej;
4) zakres dostępu do bazy danych SIO osoby upoważnionej, w zależności od typu użytkownika SIO;
5) okres, na który udziela się upoważnienia (okres ważności upoważnienia);
6) datę udzielenia upoważnienia;
7) podpis osoby reprezentującej podmiot udzielający upoważnienia;
8) podpis osoby upoważnionej;
9) klauzulę o zachowaniu tajemnicy w brzmieniu: „Osoba upoważniona do przetwarzania danych objętych zakresem dostępu do bazy danych systemu informacji oświatowej, określonym w niniejszym upoważnieniu, jest zobowiązana do zachowania ich w tajemnicy, również po ustaniu zatrudnienia, oraz zachowania w tajemnicy informacji o ich zabezpieczeniu.”.”
Dodatkowo w rozporządzeniu w sprawie procedury weryfikacji dostępu do bazy danych systemu informacji oświatowej (Dz. U. z 2012 r. poz. 466) – dalej nazywanego rozporządzeniem – stwierdza się w § 8. ust. 1., że „W celu potwierdzenia tożsamości osoba, której ma być udzielone upoważnienie, przedstawia organowi upoważniającemu dokument tożsamości, a w przypadku gdy wniosek dotyczy: […]; 2) upoważnionego pracownika, o którym mowa w art. 72 ust. 1 ustawy – ponadto upoważnienie udzielone pracownikowi przez kierownika podmiotu, o którym mowa w art. 67 ustawy.”
Ponadto w ust.4: „W przypadku […] upoważnionego pracownika, o którym mowa w art. 72 ust. 1 ustawy, organ upoważniający odrzuca wniosek […] w przypadku: 1) stwierdzenia braku upoważnienia udzielonego osobie reprezentującej organ upoważniający lub pracownikowi; 2) nieważności upoważnienia udzielonego […] pracownikowi, w szczególności upływu okresu, na który zostało udzielone upoważnienie; […].”
Ze wskazanych wyżej przepisów prawa wynika więc w szczególności możliwość stwierdzenia nieważności upoważnienia udzielonego pracownikowi przez dyrektora szkoły wskutek błędów formalnych zawartych w owym upoważnieniu polegających np. na braku we wniosku jednego lub kilku elementów wskazanych w art. 70 ust. 3. Nieważność tego upoważnienia powoduje odrzucenie wniosku o udzielenie upoważnienia do dostępu do bazy danych SIO (tego, o którym jest mowa w art. 68-71). Do odrzucenia wniosku dochodzi w czasie weryfikacji tożsamości pracownika szkoły przez upoważnionego pracownika podmiotu upoważniającego. Odrzucenie skutkuje koniecznością usunięcia błędów formalnych. W § 8. ust. 5 rozporządzenia stwierdza się, że „Osoba, której wniosek został odrzucony, może ponownie złożyć wniosek.”
Co wynika „z tej historii”?
Ryzykowną rzeczą może się okazać stawianie zdrowego rozsądku przed literą prawa (ryzyko jest jednak bardzo małe – choć nie jest w żaden sposób mierzalne).
Stosowanie w ustawie i w rozporządzeniu nazwy „upoważnienie” wobec dwóch różnych bytów prawnych (dwóch różnych upoważnień) jest sprzeczne z zasadami techniki prawodawczej – …z załącznika do rozporządzenia w sprawie "Zasad techniki prawodawczej" Dz. U. z dnia 5 lipca 2002 r.: § 10. „Do oznaczenia jednakowych pojęć używa się jednakowych określeń, a różnych pojęć nie oznacza się tymi samymi określeniami.” – można wyrazić jedynie żal, że tak istotnej zasady nie przestrzega się na poziomie tworzenia takiej ustawy, co może powodować między innymi brak precyzji w rozumieniu i stosowaniu przepisów prawa.
Nie można uznać chyba za wyraz zdrowego rozsądku postępowanie wskazane brzmieniem § 8. ust. 5 rozporządzenia w konsekwencji tego wszystkiego, co wyżej starano się wyjaśnić – prościej będzie zwyczajnie podmienić sztuki formalnie błędnych upoważnień na sztuki pozbawione formalnych błędów – jeśli uzna Pani takie czynności za dopuszczalne; należy jednak stwierdzić, że poprawnym postępowaniem jest zupełnie inne postępowanie (nie dajmy jednak się zwariować).
Można oczywiście podjąć wysiłek takiego wytłumaczenia przepisów prawa, że wyniknie z tego tłumaczenia to, że wszystko jest OK. – jest to możliwe, ale ja tego wysiłku wolę uniknąć;
Potrzebny jest jeszcze przykład treści upoważnienia (tego, które dyrektor udziela pracownikowi), które może być uznane za poprawne (bo wynika z tego wszystkiego, że „wzór” upoważnienia udostępniony w serwisie sio.men.gov.pl poprawnym nie jest) – przykład takiego upoważnienia dołączono do tej treści. Forma typograficzna, jak Pani zauważy, nie jest tradycyjna - jestem zdecydowanym zwolennikiem i propagatorem odchodzenia od form nawiązujących do tradycji z lat pięćdziesiątych ubiegłego wieku. We współczesnej typografii (w odniesieniu do pism korespondencji handlowej, pism rynku pracy i pism "urzędowych") obowiązuje pięć prostych zasad: "minimum słów"; "maksimum treści"; "nie obrażać"; "nie marnować czasu"; "w Polsce pisać po polsku".”
Rysunek 11. https://sio.men.gov.pl/index.php/pomoc/instrukcje-uzytkownika/243-przyklady-upowaznien-wewnetrznych - do dzisiaj (18.03.2015) „wisi” tam ten przykład/wzorzec; jest całkowicie niezgodny z art. 70 ust. 3 ustawy osio.
Istotą wskazanego wyżej problemu jest to, że przykład/wzorzec upoważnienia (jakie np. dyrektor szkoły nadaje swemu pracownikowi) nie jest zgodny z art. 70 ust. 3 ustawy o sio. I nie byłoby w tym nic nadzwyczajnego, gdyby nie fakt, że ogromna większość takich upoważnień była udzielana w oparciu o wskazany na rysunku 12 „druczek”. A problem nie jest błahy, bo w art. 37 ustawy o ochronie danych osobowych stanowi się, że:
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Administrator danych jest definiowany w ustawie o sio w art. 6 w ust. 2:
Administratorem lokalnej bazy danych SIO jest kierownik podmiotu prowadzącego lokalną bazę danych SIO.
W kilkudziesięciu tysiącach podmiotów zobowiązanych do korzystania z „nowego sio” osobą obsługującą program/aplikację gromadzenia danych jest pracownik administracyjny (osoba obsługująca sekretariat, kadry, płace itp.). W rozumieniu art. 72 ustawy o sio kierownik podmiotu zobowiązanego upoważnia taką osobę (swego pracownika) do obsługi aplikacji „nowego sio” (do dostępu do bazy danych) w sposób definiowany w tym przepisie prawa. Najważniejszym elementem udzielania upoważnienia jest jego pisemna forma, która ma spełniać wymogi wskazane w art. 70 w ust. 3. Na tę okoliczność MEN/CIE „wspomaga” zobowiązanych umieszczając w serwisie sio.men.gov.pl (kompletny adres został wskazany w podpisie rysunku 12) przykład/wzorzec(?) upoważnienia. Wskazane wyżej przepisy prawa (art. 37 ustawy o ochronie danych osobowych i art. 6 ustawy o sio) wskazują jednoznacznie, że to właśnie to upoważnienie warunkuje możliwość korzystania z aplikacji „nowego sio” (w przeciwieństwie do upoważnień otrzymywanych przez tych pracowników w JST).
Jeżeli więc w danym podmiocie wykorzystano ów przykład/wzorzec(?), który do dziś „wisi” w serwisie internetowym CIE/MEN, to – pisząc najprościej – upoważnienie nie jest zgodne z prawem (czyli nie jest legalne) i można „rozważać” negatywne konsekwencje owej nielegalności w odniesieniu do osób legitymujących się takimi upoważnieniami oraz w odniesieniu do faktu gromadzenia danych w oparciu o takie nielegalne upoważnienie.
Skoro po stronie MEN/CIE do dziś „wisi” ów przykład/wzorzec(?), to znaczy, że jest po tej stronie determinacja bagatelizowania problemu, milczenia wobec argumentacji opieranej o przepisy prawa itp. Gdybym to ja w odniesieniu do tego problemu reprezentował MEN/CIE, to bym wykorzystał (w celu determinacji bagatelizowania) zwrot wpisany w art. 72 ust. 4: „przepisy art. 69-71 stosuje się odpowiednio” (chodzi o słowo „odpowiednio” i możliwe sposoby jego interpretowania) – przy silnej perswazji jest możliwość pseudoobrony przykładu/wzorca(?); no w skrajnym przypadku mógłbym twierdzić, że zapis „69-71” oznacza, że art. 70 się nie stosuje; można byłoby także stwarzać nieodparte wrażenie, że „przecież te dyrektorskie upoważnienia wydawane pracownikom nie są wcale ważne, bo ważne to są te, które pracownicy otrzymali w JST wraz z loginem i hasłem”; a najlepiej to po prostu rzecz potraktować milczeniem – „wisi” sobie ów przykład/wzorzec(?) na stronie, ludzie skorzystali, to niech sobie dalej „wisi”…”. No i po raz kolejny musi dominować w opisie „nowego sio” ironia, sarkazm…
Wprowadzenie – w „nowym sio” są gromadzone dane osobowe | „Stary sio” jest do sprawozdawczości – to do czego jest „nowy sio”? | Dane dziedzinowe i dane identyfikacyjne – to są dane osobowe | Kilka znaczących wydarzeń (kontrole NIK, wystąpienia w Sejmie,…) | Ważny Komunikat „MEN” | Ilustracja istnienia i funkcjonowania „nowego sio” | Szczegółowa (przykład) analiza gromadzenia wybranych danych osobowych | Zgoda na pozyskanie i zgoda na przechowywanie | Przykład gromadzenia danych osobowych dziedzinowych | Upoważnienia do dostępu do bazy danych SIO | Zmiana ustawy o sio z roku 2012 | Błędy w SIO – Wady SIO – Wielki bubel | Nowy sio – co dalej?