Już wiem (z „mocy” ostatniego komunikatu CIE/MEN), że teraz Wytyczne są przed prawem, zatem piszę jedynie na wszelki wypadek i z racji poczynionych zobowiązań wobec tych, którym obiecałem to napisać.
Po kolei to rzeczy maja się tak...
W art. 2 ustawy o SIO przed ostatnią zmianą ustawy było: „System informacji oświatowej stanowią baza danych systemu informacji oświatowej, zwana dalej "bazą danych SIO", i lokalne bazy danych systemu informacji oświatowej, zwane dalej "lokalnymi bazami danych SIO", oraz system teleinformatyczny”. Po zmianie – nie ma już zapisu o istnieniu lokalnych baz danych.
Z uchylonego art. 72 wynikało, że „Kierownik podmiotu” (tu chodzi na przykład o dyrektora szkoły) „może upoważnić do dostępu do bazy danych SIO pracownika lub pracowników”. Dyrektor szkoły nie mógł upoważnić pracownika „do dostępu bazy danych SIO”, bo nie był administratorem „bazy danych SIO”, ale był (w rozumieniu uchylonego także art. 6 ust. 2 „administratorem lokalnej bazy danych SIO”. Dlatego w upoważnieniu dla pracownika należało zgodnie z (także już uchylonym) art. 70 ust. 3 pkt 4 określić w szczególności „zakres dostępu do bazy danych SIO osoby upoważnionej”, co oznaczało, że w upoważnieniu (tym wydanym pracownikowi przez dyrektora) należało określić, że chodzi o zakres dostępu (w rozumieniu możliwych i koniecznych czynności z zakresu gromadzenia danych) do „lokalnej bazy danych SIO”.
Dzięki temu możliwy był ciąg dalszy „upoważniania”, o którym stanowił (już także uchylony) art. 72 ust. 3: „Osoba, której udzielono upoważnienia, o którym mowa w ust. 1, uzyskuje dostęp do bazy danych SIO na podstawie upoważnienia udzielonego przez odpowiednio wójta gminy (burmistrza, prezydenta miasta), starostę powiatu, o których mowa w art. 68 ust. 2, właściwego do udzielenia upoważnienia kierownikowi podmiotu, o którym mowa w art. 67”. Czyli ów pracownik otrzymywał (po zweryfikowaniu tożsamości i poprawności/legalności „dyrektorskiego” upoważnienia) upoważnienie do „dostępu do bazy danych SIO”.
NIK w ostatnim raporcie (często do niego ostatnio się odwoływałem) wskazał, że właśnie tu dochodziło do najdalej idących, napiszę łagodnie, „niepoprawności”…
Czyli, uzyskanie upoważnienia do „dostępu do bazy danych SIO” było… (tzn. miało być – bo tylko w nielicznych przypadkach rzecz zaszła w pełni legalnie ze względu na powszechność korzystania ze „wzorców” upoważnień, które MEN/CIE „zawiesił” na trzy lata na swych stronach, które, na co pośrednio wskazuje NIK, mijały się z art. 70 ust. 3) - …było konsekwencją uzyskania upoważnienia do „dostępu do lokalnej bazy danych SIO”.
W art. 6 ustawy zmieniającej ustawę o SIO stanowi się, że „Udzielone przed dniem wejścia w życie niniejszej ustawy upoważnienia do dostępu do bazy danych SIO obowiązują do dnia upływu okresu ich ważności, z wyjątkiem przypadków, o których mowa w art. 72 i art. 73 ustawy zmienianej w art. 1, w brzmieniu nadanym niniejszą ustawą”.
Czyli – i tu uwaga, oto moment kulminacyjny – które upoważnienia „obowiązują” dalej? Wskazuje się te „do dostępu do bazy danych SIO”, ale (i to jest to kluczowe ”ale”) uzyskane w procedurze prawnej, w której funkcjonowały jeszcze „lokalne bazy danych SIO”. Usunięcie z zapisów ustawy „lokalnych baz danych SIO” nie wymazuje ich istnienia z obiektywnej rzeczywistości. Czyli dla potrzeby uczynienia koniecznego porządku (w rozumieniu ochrony danych osobowych) z „lokalnymi bazami danych SIO”, po zmianie ustawy o SIO, obowiązują na takie ewentualne jeszcze potrzeby i konieczności upoważnienia, o których jest mowa w cytowanym art. 6.
Czyli aby móc „klikać” we właśnie uruchamianym „najnowszym SIO (SIOWEB)” należy po pierwsze uzyskać nowe upoważnienie (obecnie obowiązujący art. 68 ust. 2) – chodzi o upoważnienie dla pracownika – nowe, bo to już nie będzie upoważnienie do „klikania” w „lokalnej bazie danych SIO” (teraz „wzorzec” upoważnienia MEN/CIE nie definiuje – chyba nauczone doznaną porażką z perspektywy raportu NIK). Tu rodzi się pewien problem – przecież „kierownik podmiotu zobowiązanego” nie jest administratorem obecnej bazy danych SIO; to do czego ma upoważniać swego pracownika i jak to pogodzić z prawem ochrony danych osobowych? Tu pewnie pewnego dnia zakwitnie źródło kolejnych problemów…
Czyli – i ku temu zmierzałem – są konieczne nowe upoważnienia (dla wszystkich?); jest potrzebne nowe wnioskowanie o dane dostępowe (podobno już to wnioskowanie jest możliwe)…
Ale – czy aby móc uzyskać nowe dane dostępowe w konsekwencji zaistnienia upoważnienia (stare upoważnienia – przypominam – nie mogą upoważniać do używania dotychczasowych danych dostępowych!) – czy trzeba unieważnić dotychczasowe upoważnienia?
Nie wszystko jest wystarczająco klarowne – a to jest wymownie charakterystyczne dla prawa stanowiącego o istnieniu i funkcjonowaniu nowego SIO.
To może lepiej rzecz potraktować z przymrużeniem oka… A po co się tym przejmować i martwić? A kto to pojmuje? A kto nam zaszkodzi? Uznajmy, że „Udzielone przed dniem wejścia w życie niniejszej ustawy upoważnienia do dostępu do bazy danych SIO obowiązują do dnia upływu okresu ich ważności” i umówmy się, że zwrot przytaczanego tu art. 6 ustawy zmieniającej: „w brzmieniu nadanym niniejszą ustawą” nic nie znaczy… i poczekajmy do kolejnej kontroli NIK (gdzieś tak około roku 2019). No przecież któż by nam mógł zarzucać jakiś tam brak legalności przetwarzania danych osobowych? Gdzie, kto, jak...?
Ja wiem, że to („nowe SIO”) nie ma racji bytu. Od początku jest budowane w oparciu o byle jakie przepisy prawa tworzące przestrzenie do naruszeń przede wszystkim prawa ochrony danych osobowych. Rzecz budowana na „byle czym”, jest „byle czym”, trwa „byle jak” i kończy się „byle jak”…
Krzysztof Sługocki, 05.09.2017
|