Rządowy projekt ustawy o systemie informacji oświatowej

Art. 70. 1. Podmiot właściwy do udzielenia upoważnienia, o którym mowa w art. 68
ust. 2, sprawdza poprawność danych zawartych we wniosku, o którym mowa w art. 69 ust. 2,
oraz tożsamość osoby, której wniosek dotyczy.
2. Upoważnienie jest udzielane po stwierdzeniu poprawności danych zawartych we
wniosku oraz potwierdzeniu tożsamości osoby, której wniosek dotyczy.
3.
Upoważnienie zawiera:
1) imię (imiona), nazwisko, numer PESEL oraz stanowisko osoby upoważnionej;
2) określenie typu i nazwy użytkownika SIO;
3) określenie organu prowadzącego szkołę lub placówkę oświatową – w przypadku
upoważnienia dla dyrektora szkoły lub placówki oświatowej;
4) zakres dostępu do bazy danych SIO osoby upoważnionej, w zależności od typu
użytkownika SIO;
5) okres, na który udziela się upoważnienia (okres ważności upoważnienia);
6) datę udzielenia upoważnienia;
7) podpis osoby reprezentującej podmiot udzielający upoważnienia;
8) podpis osoby upoważnionej;
9) klauzulę o zachowaniu tajemnicy w brzmieniu: „Osoba upoważniona do przetwarzania
danych objętych zakresem dostępu do bazy danych systemu informacji oświatowej,
określonym w niniejszym upoważnieniu, jest zobowiązana do zachowania ich
w tajemnicy, również po ustaniu zatrudnienia, oraz zachowania w tajemnicy informacji
o ich zabezpieczeniu.”.

Art. 71. Wraz z udzieleniem upoważnienia osoba upoważniona otrzymuje
niepowtarzalny identyfikator użytkownika SIO.

Art. 72. 1. Kierownik podmiotu, o którym mowa w art. 67, może upoważnić
pracownika lub pracowników tego podmiotu do dostępu do bazy danych SIO, na czas
określony, nie dłuższy jednak niż 5 lat. Udzielenie upoważnienia przez kierownika podmiotu,
o którym mowa w art. 67, pracownikowi wymaga formy pisemnej pod rygorem nieważności.
2. Pracownik uzyskuje dostęp do bazy danych SIO na podstawie upoważnienia
udzielonego przez podmiot, o którym mowa w art. 68 ust. 2, który udzielił upoważnienia
40
kierownikowi podmiotu zobowiązanego.
3. Do udzielenia upoważnienia pracownikowi podmiotu zobowiązanego przepisy
art. 69 – 71 stosuje się odpowiednio.

Art. 73. 1. W przypadku zmiany danych, o których mowa w art. 70 ust. 3 pkt 1 – 4,
osoba upoważniona przekazuje podmiotowi, o którym mowa w art. 68 ust. 2, który udzielił
upoważnienia, informację zawierającą dane, które uległy zmianie oraz aktualne dane, wraz
z kopią upoważnienia i kopią dokumentu potwierdzającego zmianę danych. Informację
przekazuje się w terminie 7 dni od dnia, w którym nastąpiła zmiana danych.
2. W przypadku, o którym mowa w ust. 1, przeprowadza się procedurę weryfikacji
dostępu.

Art. 74. 1. Podmiot, o którym mowa w art. 68 ust. 2, cofa upoważnienie:
1) w przypadku udzielenia upoważnienia na podstawie nieprawdziwych lub
nieaktualnych danych;
2) udzielone kierownikowi podmiotu, o którym mowa w art. 67 – na wniosek podmiotu,
który odwołał kierownika podmiotu, o którym mowa w art. 67, z zajmowanego
stanowiska;
3) udzielone, zgodnie z art. 72, pracownikowi podmiotu, o którym mowa w art. 67 – na
wniosek upoważnionego pracownika lub kierownika podmiotu, o którym mowa
w art. 67;
4) w przypadku, o którym mowa w art. 84 ust. 6.

2. Podmiot, który odwołał kierownika podmiotu, o którym mowa w art. 67,
z zajmowanego stanowiska, składa niezwłocznie wniosek o cofnięcie upoważnienia tej
osobie.
3. Wniosek o cofnięcie upoważnienia zawiera:
1) oznaczenie podmiotu składającego wniosek;
2) imię (imiona), nazwisko, numer PESEL oraz stanowisko osoby upoważnionej;
3) określenie typu i nazwy użytkownika SIO.
4. Wraz z cofnięciem upoważnienia, podmiot, o którym mowa w art. 68 ust. 2,
przekazuje do bazy danych SIO informację o cofnięciu upoważnienia.
5. Dostęp do bazy danych SIO jest blokowany z dniem przekazania do bazy danych
41
SIO informacji, o której mowa w ust. 4.
Art. 75. 1. Na wniosek osoby upoważnionej, złożony nie wcześniej niż na 3 miesiące
i nie później niż na miesiąc przed upływem terminu ważności upoważnienia, okres ważności
upoważnienia może zostać przedłużony na kolejny okres, z zastrzeżeniem art. 68 ust. 3.
Przepisy art. 69 ust. 1 i 2 oraz art. 70 i 71 stosuje się odpowiednio.
2. Wniosek o przedłużenie ważności upoważnienia zawiera:
1) imię (imiona), nazwisko, numer PESEL oraz stanowisko osoby upoważnionej;
2) określenie typu i nazwy użytkownika SIO;
3) okres, na jaki ma być przedłużone upoważnienie.

Art. 76. Minister właściwy do spraw oświaty i wychowania określi, w drodze
rozporządzenia, procedurę weryfikacji dostępu do bazy danych SIO, w tym szczegółowy
zakres danych zawartych we wniosku o udzielenie upoważnienia do dostępu do bazy danych
SIO i sposób potwierdzania tożsamości osoby, której wniosek dotyczy. Rozporządzenie
powinno uwzględniać prawidłową realizację
przez użytkowników SIO obowiązków
związanych z dostępem i użytkowaniem systemu informacji oświatowej.

Rozdział 6

Nadzór nad bezpieczeństwem przekazywania danych do bazy danych SIO i pozyskiwania
danych z bazy danych SIO

Art. 77. 1. Minister właściwy do spraw oświaty i wychowania sprawuje nadzór nad
bezpieczeństwem przekazywania danych do bazy danych SIO i pozyskiwania danych z bazy
danych SIO.
2. W ramach nadzoru minister właściwy do spraw oświaty i wychowania ma dostęp
do wykazu zarejestrowanych przypadków nielegalnego pozyskania, zniszczenia lub utraty
danych, uzyskania lub próby uzyskania nieuprawnionego dostępu do danych zgromadzonych
w bazie danych SIO oraz wykorzystania tych danych w nieuprawniony sposób.
3. Wykaz, o którym mowa w ust. 2, powstaje na podstawie automatycznie
generowanej w bazie danych SIO informacji o przypadkach, w których nastąpiła próba
nieuprawnionego dostępu, oraz na podstawie informacji, o których mowa w art. 78 ust. 1,
42
przekazywanych przez kierowników podmiotów prowadzących lokalne bazy danych SIO.
Art. 78. 1. Kierownicy podmiotów prowadzących lokalne bazy danych SIO są
obowiązani niezwłocznie przekazywać do bazy danych SIO informacje o nieuprawnionym
dostępie do bazy danych SIO, nielegalnym pozyskaniu danych z bazy danych SIO,
zniszczeniu lub utracie danych zgromadzonych w bazie danych SIO lub wykorzystaniu tych
danych w nieuprawniony sposób.
2. Jeżeli żadne ze zdarzeń, o których mowa w ust. 1, nie nastąpiło, raz na kwartał,
w terminie 7 dni roboczych od rozpoczęcia kolejnego kwartału, kierownicy podmiotów
prowadzących lokalne bazy danych SIO są obowiązani przekazywać do bazy danych SIO
informację o niezakłóconym funkcjonowaniu lokalnej bazy danych SIO.

Art. 79. W przypadku stwierdzenia próby uzyskania nieuprawnionego dostępu,
nielegalnego pozyskania lub zniszczenia danych zgromadzonych w bazie danych SIO,
stwierdzenia uzyskania nieuprawnionego dostępu, nielegalnego pozyskania, zniszczenia lub
utraty danych zgromadzonych w bazie danych SIO oraz w przypadku stwierdzenia
wykorzystania tych danych w nieuprawniony sposób, minister właściwy do spraw oświaty
i wychowania blokuje przekazywanie danych do bazy danych SIO lub pozyskiwanie danych
z bazy danych SIO do czasu wyjaśnienia stanu faktycznego i usunięcia nieprawidłowości,
w tym do czasu ponownego przeprowadzenia w razie potrzeby procedury weryfikacji dostępu
do bazy danych SIO.

Art. 80. W celu wyjaśnienia stanu faktycznego i usunięcia nieprawidłowości minister
właściwy do spraw oświaty i wychowania może żądać przedłożenia przez kierowników
podmiotów prowadzących lokalne bazy danych SIO informacji i wyjaśnień w zakresie
niezbędnym do ustalenia stanu faktycznego oraz przeprowadzać kontrolę podmiotu
prowadzącego lokalną bazę danych SIO.

Art. 81. 1. Czynności kontrolne wykonuje osoba wyznaczona przez ministra
właściwego do spraw oświaty i wychowania, na podstawie wydanego przez tego ministra
imiennego upoważnienia, zwana dalej „kontrolerem”.
2. Kontroler przeprowadza czynności kontrolne po okazaniu kierownikowi
kontrolowanego podmiotu prowadzącego lokalną bazę danych SIO dokumentu tożsamości
i imiennego upoważnienia.
43
3. Upoważnienie, o którym mowa w ust. 1, zawiera:
1) wskazanie kontrolowanego podmiotu;
2) imię i nazwisko kontrolera;
3) serię i numer dokumentu tożsamości kontrolera;
4) przedmiot i zakres kontroli;
5) przewidywany czas trwania kontroli;
6) okres ważności upoważnienia;
7) datę jego wydania oraz podpis ministra właściwego do spraw oświaty i wychowania
albo osoby przez tego ministra upoważnionej.
4. W celu wykonywania czynności kontrolnych kontroler ma prawo:
1) wstępu do pomieszczenia, w którym zlokalizowana jest lokalna baza danych SIO
i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych;
2) żądania udzielenia pisemnych lub ustnych wyjaśnień;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek
z przedmiotem kontroli oraz sporządzania, na koszt podmiotu kontrolowanego,
uwierzytelnionych kopii, odpisów i wyciągów z dokumentów oraz zestawień danych
niezbędnych do przeprowadzenia kontroli;
4) przeprowadzania oględzin poszczególnych elementów lokalnej bazy danych SIO,
w tym urządzeń, oprogramowania, nośników oraz systemów teleinformatycznych,
a także procedur przetwarzania danych.

Art. 82. 1. W czynnościach kontrolnych przeprowadzanych przez kontrolera uczestniczy
kierownik kontrolowanego podmiotu prowadzącego lokalną bazę danych SIO lub osoba przez
niego upoważniona.
2. Kierownik kontrolowanego podmiotu jest obowiązany zapewnić warunki i środki
niezbędne do sprawnego przeprowadzenia kontroli, przedstawić na żądanie kontrolera
dokumenty i materiały, umożliwić przeprowadzenie oględzin elementów lokalnej bazy
danych SIO oraz procedur przetwarzania danych, a także zapewnić możliwość sporządzania
lub przekazywania uwierzytelnionych kopii, odpisów i wyciągów z dokumentów oraz
zestawień danych niezbędnych do przeprowadzenia kontroli.

Art. 83. 1. Wyniki przeprowadzonej kontroli kontroler przedstawia w protokole
44