Zmieni się procedura udzielania upoważnień do dostępu do bazy danych SIO. W komunikacie MEN, skierowanym z końcem maja do przedstawicieli jednostek samorządu terytorialnego oraz do dyrektorów szkół i placówek oświatowych, wskazano, że „24 lipca zostanie uruchomione RSPO oraz moduł wnioski i upoważnienia”. Wnosić stąd należy, że realizacja nowej procedury udzielania upoważnień (oraz wnioskowania o dane dostępowe) będzie możliwa właśnie od 24 lipca.
W zdecydowanej większości przypadków będzie konieczne uczynienie „nowego początku”, czyli udzielenie upoważnień dla większości dotychczasowych użytkowników modernizowanego „nowego SIO” oraz ich wystąpienie z wnioskiem o (nowe?) dane dostępowe.
Dlaczego? Będzie to konsekwencją wątpliwości (to dość delikatne ujęcie opisywanego dalej problemu) związanych z dotychczasowym stanem udzielania upoważnień. A będzie chodziło o to, aby w przyszłym korzystaniu w SIO z aplikacji przeglądarkowej pewnych wątpliwości i w konsekwencji nieprawidłowości i zagrożeń już nie było.
Istota problemu jest następująca. W raporcie NIK „Informacja o wynikach kontroli – system informacji oświatowej” (kontrola planowa nr P/15/031 – „System informacji oświatowej” została podjęta z inicjatywy NIK i przeprowadzona w IV kwartale 2015 roku) zatwierdzonym 29 sierpnia 2016 i opublikowanym 30 listopada 2016 roku w części zatytułowanej „Ważniejsze wyniki kontroli” znajduje się w szczególności opis następującego ustalenia: „W Starostwie […] stwierdzono niezachowanie obowiązującej procedury udzielania upoważnień do dostępu do bazy danych nowego SIO. Wydano 14 pracownikom z sześciu szkół i placówek oświatowych indywidualne kody uwierzytelniające dostęp do bazy danych nowego SIO bez wydania wymaganego na podstawie art. 68 ust. 4 ustawy o SIO – pod rygorem nieważności – pisemnego upoważnienia, które powinno spełniać warunki określone w art. 70 ust. 3 ustawy, w tym m.in. zawierać potwierdzoną podpisem osoby upoważnionej klauzulę o zachowaniu w tajemnicy udostępnionych jej danych w SIO oraz informacji o ich zabezpieczeniu. Tym samym dopuszczono te osoby do nieuprawnionego dostępu do danych osobowych w bazie danych nowego SIO.”
Mniej delikatne ujęcie opisywanego problemu brzmi więc: „nieuprawniony dostęp do danych osobowych w bazie danych nowego SIO”. Art. 49 ustawy o ochronie danych osobowych: „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” – proszę mieć stosowny dystans do tego przepisu; cytuję ów jedynie dla jasności sytuacji, do której doprowadziło MEN(CIE) swymi dotychczasowymi działaniami – co dalej stanie się wystarczająco i koniecznie jasne.
W cytowanym fragmencie raportu NIK wskazuje się głównie na brak zachowania wymagania wynikającego z obowiązującego (jeszcze do 24 lipca) art. 68 ust. 4 ustawy o SIO. Przy okazji niejako wskazując, że upoważnienie owo powinno spełniać wymogi wskazane w art. 70 ust. 3 (także obowiązującym jeszcze do 24 lipca). NIK „dość delikatnie” wskazuje na powszechny problem nie spełniania warunków wynikających właśnie z tego art. 70 ust. 3 ustawy o SIO. Nie wiem – przypuszczam jedynie – dlaczego w ostatecznej wersji raportu nie ma informacji o tym, że doszło na ogromną skalę do „nieuprawnionego dostępu do danych osobowych w bazie danych nowego SIO”!
Czy zauważyliście, że już od kilku miesięcy nie ma w serwisie internetowym https://sio.men.gov.pl/ tego, co tu niżej na załączonym obrazku?
…a wisiało to sobie od 2013 roku! A co to jest? A jest to ustalony przez MEN(CIE) przykład (traktowany przez użytkowników SIO jako „wzorzec”) „Upoważnienia do dostępu do bazy danych SIO”. Dlaczego już go nie ma? Dlaczego MEN(CIE) nie raczyło skomentować faktu, że było przez trzy lata i nagle znikło? Dlaczego MEN(CIE) nie komentuje skali „nieuprawnionego dostępu do danych osobowych w bazie danych nowego SIO”, którego było „inspiratorem”? Dlaczego w nowej procedurze udzielania upoważnień nie ma już odpowiednika art. 70 ust. 3? Czy to jest próba ucieczki MEN(CIE) od problemu?
W art. 70 w ust. 3 stanowi się:
„3. Upoważnienie zawiera:
1) imię (imiona), nazwisko, numer PESEL oraz stanowisko osoby upoważnionej;
2) określenie typu i nazwy użytkownika SIO;
3) określenie organu prowadzącego szkołę lub placówkę oświatową - w przypadku upoważnienia dla dyrektora szkoły lub placówki oświatowej;
4) zakres dostępu do bazy danych SIO osoby upoważnionej, w zależności od typu użytkownika SIO;
5) okres, na który udziela się upoważnienia (okres ważności upoważnienia);
6) datę udzielenia upoważnienia;
7) podpis osoby reprezentującej podmiot udzielający upoważnienia;
8) podpis osoby upoważnionej;
9) klauzulę o zachowaniu tajemnicy w brzmieniu: "Osoba upoważniona do przetwarzania danych objętych zakresem dostępu do bazy danych systemu informacji oświatowej, określonym w niniejszym upoważnieniu, jest zobowiązana do zachowania ich w tajemnicy, również po ustaniu zatrudnienia, oraz zachowania w tajemnicy informacji o ich zabezpieczeniu.".
Proszę porównać usunięty już przykład/wzorzec „MEN’owskiego” upoważnienia z wymogami art. 70 ust. 3 (o czym raportuje także NIK) – proszę sprawdzić jakie upoważnienia stosowano u Was. Chodzi o rzecz wynikającą z art. 68a ust. 1 i ust. 4 oraz z art. 72 ust. 1 i ust. 4 (obowiązują jeszcze do 24 lipca): "Podmiot właściwy do udzielenia upoważnienia, o którym mowa w art. 68 ust. 2, może upoważnić pracownika lub pracowników [...]"; "Do udzielenia upoważnienia do dostępu do bazy danych SIO osobie reprezentującej podmiot udzielający upoważnienia przepisy art. 70 stosuje się odpowiednio" – czyli chodzi na przykład o sytuację opisaną w raporcie NIK lub o sytuację, w której dyrektor szkoły upoważniał swego pracownika do „klikania” w „nowy SIO”. No i jakież to były w zdecydowanej większości przypadków upoważnienia?
Ano te właśnie „MEN’owskie” – czyli te, w konsekwencji których doszło na ogromną skalę do „nieuprawnionego dostępu do danych osobowych w bazie danych nowego SIO”!
W art. 6. ustawy zmieniającej ustawę o SIO stanowi się: „Udzielone przed dniem wejścia w życie niniejszej ustawy upoważnienia do dostępu do bazy danych SIO obowiązują do dnia upływu okresu ich ważności, […]”.
W zdecydowanej większości przypadków będzie konieczne uczynienie „nowego początku”, czyli udzielenie upoważnień dotychczasowym użytkownikom modernizowanego „nowego SIO” oraz ich wystąpienie z wnioskiem o (nowe?) dane dostępowe.
MEN, zmieniając ustawę o SIO, „ucieka” od paru problemów. Proszę włączyć się w tę „ucieczkę” i jeżeli dotychczasowe upoważnienia po Waszej stronie nie były legalne, to proszę nie ulec czarowi art. 6 ustawy zmieniającej ustawę o SIO. Jest okazja zacząć na nowo – i to przynajmniej zacząć legalnie.
To, jak na przykład może „wyglądać” nowe upoważnienie i co powinno zawierać (po 24 lipca; MEN już „nie zawiesza” w serwisie internetowym stosownych „przykładów”) jest w szczególności przedmiotem szkoleń w ramach szczegółowego omawiania realizacji nowej procedury udzielania upoważnień – gdzie pojawiają się pewne nowe pułapki…
Krzysztof Sługocki, 04.07.2017
|