Kiedy placówka musi udostępnić dane osobowe? Praktyczny przewodnik dla dyrektorów

Placówka jako administrator danych osobowych

Zanim przejdziemy do szczegółowego omówienia zasad udostępniania danych, warto przypomnieć fundamentalną kwestię: szkoła jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO. Oznacza to, że dyrektor, działając w imieniu placówki, samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych uczniów, ich rodziców, a także pracowników placówki. Ta rola wiąże się z pełną odpowiedzialnością za zgodność przetwarzania z przepisami prawa.

Administrator musi przestrzegać zasad określonych w art. 5 RODO, w tym zasady zgodności z prawem, rzetelności i przejrzystości, zasady ograniczenia celu, zasady minimalizacji danych, zasady prawidłowości, zasady ograniczenia przechowywania oraz zasady integralności i poufności. Co szczególnie istotne w kontekście udostępniania danych, administrator ponosi odpowiedzialność za przestrzeganie tych zasad i musi być w stanie wykazać ich przestrzeganie. To właśnie zasada rozliczalności wyrażona w art. 5 ust. 2 RODO.

Udostępnienie danych osobowych jest jedną z operacji przetwarzania wymienionych w art. 4 pkt 2 RODO obok zbierania, utrwalania, przechowywania czy usuwania. Każda taka operacja musi mieć swoją podstawę prawną określoną w art. 6 RODO. Nie istnieje więc coś takiego jak „automatyczne” czy „oczywiste” prawo jakiegokolwiek organu do uzyskania danych z placówki. Zawsze musi istnieć podstawa prawna, która takie uprawnienie przyznaje.

Kiedy placówka ma obowiązek przekazać dane?

Placówka ma obowiązek udostępnić dane osobowe wyłącznie wtedy, gdy żądanie opiera się na konkretnym przepisie prawa nakładającym taki obowiązek. Zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie danych jest zgodne z prawem, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. To jedna z sześciu podstaw legalności przetwarzania danych i właśnie ona najczęściej znajduje zastosowanie w przypadku żądań ze strony organów publicznych.

Ustawa Prawo oświatowe w art. 98 ust. 2 pkt 1 wprost wskazuje, że statut szkoły dla dzieci i młodzieży określa organizację współdziałania z poradniami psychologiczno-pedagogicznymi oraz innymi instytucjami działającymi na rzecz rodziny, dzieci i młodzieży. Przepis ten stanowi ogólną ramę prawną dla współpracy placówki z różnymi podmiotami, jednak sam w sobie nie jest wystarczającą podstawą do udostępniania danych. Konieczne jest bowiem wskazanie konkretnego przepisu po stronie organu żądającego informacji, który jednocześnie obliguje szkołę do udostępnienia danych. Innymi słowy musi istnieć w tym kontekście obowiązek udostępnienia określonych danych. 

Policja

Policja może żądać danych osobowych przede wszystkim na podstawie art. 15 Kodeksu postępowania karnego, który w § 2 stanowi, że wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania do udzielania pomocy organom prowadzącym postępowanie karne, w terminie wyznaczonym przez te organy. § 3 tego przepisu rozszerza ten obowiązek na inne podmioty, wskazując, że osoby prawne lub jednostki organizacyjne niemające osobowości prawnej, inne niż wymienione w § 2, a także osoby fizyczne, są obowiązane do udzielania pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomo...