Zbieranie danych osobowych uczniów przez sądeckie MPK niepokoi

Dlaczego od 1 października pracownicy MPK w Punktach Obsługi Klienta zbierają kserokopie legitymacji szkolnych, zawierające komplet informacji o uczniu?

- Kserokopia dokumentu jest przekazywana do Punktu Obsługi Klienta w Zajezdni MPK w celu weryfikacji przypisanej w systemie ulgi, następnie jest niszczona.
W POK za zabezpieczenie i przechowywanie odpowiada pracownik przyjmujący wniosek. W POK nie są przechowywane żadne dane, oprócz wniosków, które znajdują się w realizacji. Punkty Obsługi Klienta są wyposażone w systemy alarmowe z powiadomieniem grupy interwencyjnej. Dokumenty są dostarczane transportem wewnętrznym do siedziby MPK. Dodatkowo POK przy ulicy Wyspiańskiego jest objęty całodobowo monitoringiem i ochroną fizyczną. Osobą bezpośrednio odpowiedzialną za przechowywanie danych jest kierownik Wydziału Obsługi Klienta.
Bazy danych zawierające dane osobowe jako zbiory elektroniczne zostały zgłoszone do Głównego Inspektora Ochrony Danych Osobowych. Systemy wykorzystujące w/w bazy danych spełniają kryteria GIODO. Ponadto sieć firmowa MPK jest zabezpieczona specjalistycznym Firewall’em, który chroni sieć przed nieautoryzowanym dostępem.

Do czego MPK potrzebne są następujące informacje: imię nazwisko ucznia, adres szkoły do której uczęszcza, miejsce jego zamieszkania?

- Pasażer ma do wyboru dwa rodzaje karty miejskiej: e-bilet na okaziciela oraz e-bilet imienny spersonalizowany. Imię nazwisko i miejsce zamieszkania potrzebne są do personalizacji e-biletu, adres szkoły, do której uczęszcza uczeń nie jest przetwarzany. Ponadto posiadanie biletu spersonalizowanego w szczególności przez ucznia powoduje, że podczas przejazdu uczeń nie ma obowiązku posiadania dokumentu uprawniającego do ulgi, w tym legitymacji szkolnej - co zresztą było powodem częstych interpelacji radnych z uwagi na fakt, że rodzice skarżyli się iż dzieci często zapominają legitymacji szkolnej a to powodowało w przypadku kontroli nakładanie opłat dodatkowych, w chwili obecnej takie sytuacje nie mają miejsca.

Dlaczego POK na ulicy Piotra Skargi ma przerwę w pracy w godzinach szczytu?

- Przerwa jest przeznaczona na przygotowanie raportów kasowych, przeliczenie i przygotowanie nadmiarów gotówkowych oraz ich przekazanie konwojowi. Niezrozumiałym jest określenie przez godzin szczytu pomiędzy godziną 13.30 a 14.00. Z naszych obserwacji wynika, że jedynym czasem, w którym występuje większa częstotliwość obsługi klienta jest godzina przed i zaraz po 15-tej. W pozostałym czasie ruch petentów jest rozłożony równomiernie.

Dziękuję za rozmowę.

***

O komentarz do tej sprawy poprosiliśmy Małgorzatę Kałużyńską-Jasak, dyrektor Zespołu Rzecznika Prasowego Biura Generalnego Inspektora Ochrony Danych Osobowych: - Sprawę należy rozpatrywać dwutorowo. Po pierwsze w kontekście pozyskania danych osobowych z legitymacji szkolnych a po drugie dopuszczalności ich kserowania.

Zgodnie z ustawą o ochronie danych osobowych aby przetwarzanie danych osobowych było zgodne z prawem, administrator danych osobowych (tu Miejskie Przedsiębiorstwo Komunikacyjne w Nowym Sączu) musi legitymować się którąkolwiek z pięciu przesłanek wymienionych w art. 23 ust. 1 pkt. 1 - 5 ustawy. Przy czym każda z tych przesłanek jest równoprawna, co oznacza, że spełnienie jednej z nich jest wystarczającym warunkiem czyniącym przetwarzanie danych procesem legalnym. Ustawodawca uznał, że przetwarzanie danych jest dopuszczalne wtedy, gdy:
• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych osobowych (art. 23 ust. 1 pkt 1),
• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2),
• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3),
• jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4),
• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5).
Warto dodać, że w przypadku instytucji publicznych, zgodnie z art. 7 Konstytucji mogą one działać jedynie na podstawie i w granicach obowiązującego prawa.

Zatem biorąc pod uwagę przepisy ustawy, każdy administrator danych powinien wskazać istniejącą podstawę prawna pozyskiwania, będącego jedna z form przetwarzania danych, aby nie narazić się na zarzut działania niezgodnego z prawem.

Jeżeli zaś chodzi o kserowanie dokumentów (tu legitymacji szkolnej), to jest to czynność jedynie techniczna, a istotne jest jaki zakres danych jest w tej formie przetwarzany. O ile zatem MPK pozyskuje dane w zakresie, który jest zgodny z prawem, to nie ma znaczenia forma, w jakiej tego dokonuje. W tym miejscu należy przywołać wyrok Naczelnego Sądu Administracyjnego z dnia 19 grudnia 2001 r. (sygn. akt II SA 2869/2000, ONSA 2003, nr 1, poz. 29). Stosownie do jego treści, gromadzenie danych poprzez wykonywanie kserokopii dokumentu zawierającego dane osobowe jest czynnością techniczną. Najważniejszy jest bowiem zakres danych, jakie się pozyskuje.

Jednocześnie informuję, że w przypadku podejrzenia naruszenia przepisów ustawy o ochronie danych osobowych osoba, której dane dotyczą (rodzic bądź opiekun prawny), może złożyć skargę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Po przeprowadzeniu postępowania wyjaśniającego w sprawie, o ile zostanie stwierdzone naruszenia przepisów, GIODO, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.

Robert Drobysz
Fot. arch.