Dołącz do czytelników
Brak wyników

Dyrektor kontra prawo , Otwarty dostęp

9 marca 2021

NR 119 (Marzec 2021)

RODO w praktyce przedszkolnej
Część 1. Zgoda na przetwarzanie danych osobowych

0 256

Przedszkola przetwarzają duże ilości danych osobowych uczniów i ich rodziców. Najczęściej odbywa się to na podstawie wskazanego przepisu prawa, jednak wiele danych osobowych przetwarza się na podstawie zgody uzyskanej od rodziców. Obowiązkiem dyrektora jest dopilnowanie, aby były one pozyskiwane 
zgodnie z prawem.

W maju 2021 r. upłyną trzy lata od rozpoczęcia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego w skrócie RODO. Pomimo stosunkowo długiego okresu na przystosowanie przedszkoli do nowych przepisów w dalszym ciągu pojawiają się trudności z właściwą ich interpretacją. Przy czym obywatele, w tym osoby bezpośrednio lub pośrednio związane ze środowiskiem oświaty, są coraz bardziej świadomi swoich praw i coraz częściej ślą skargi do Prezesa Urzędu Ochrony Danych Osobowych. Aby uniknąć zarzutów,
dyrektor powinien zweryfikować prawidłowość przebiegu procesu przetwarzania danych osobowych w przedszkolu. Okazuje się, że błędy i zaniedbania w tym zakresie nie należą do rzadkości. 

POLECAMY

Zgoda jako jedna z przesłanek do przetwarzania danych

Dane osobowe dzielimy na zwykłe i szczególnie chronione. Dane szczególnie chronione to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. 

Na gruncie RODO wizerunek każdego człowieka należy traktować jako dane osobowe, gdyż daje podstawę do ustalenia tożsamości osoby fizycznej. 

Dane zwykłe można przetwarzać wyłącznie na podstawie przesłanek określonych w art. 6 ust. 1 RODO. Pierwsza z nich stanowi, że przetwarzanie danych osobowych jest zgodne z prawem, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Zgoda może zostać wydana na podstawie oświadczenia lub wyraźnego działania potwierdzającego. Przykładem wyraźnego działania potwierdzającego może być złożenie podania do dyrektora o przyjęcie do pracy w związku z prowadzonym naborem na określone stanowisko. Pisemne oświadczenie wyrażające zgodę na przetwarzanie danych zawartych w podaniu nie jest tutaj potrzebne. Jeżeli jednak CV kandydata miałoby być wykorzystywane do kolejnych rekrutacji, potrzebna jest odrębna zgoda.

Wyraźnymi działaniami potwierdzającymi wyrażenie zgody będą także:

  • kliknięcie okienka w formularzu elektronicznym,
  • wysłanie wiadomości e-mail,
  • zarejestrowane wypowiedzenie „zgadzam się”.

Uzyskanie wyłącznie ustnej zgody w obecności obiektywnych świadków jest ryzykowne ze względu na zasadę rozliczalności, która nakłada na administratora obowiązek udowodnienia, że dane osobowe są przetwarzane zgodnie z prawem, przejrzyście i rzetelnie, a co za tym idzie – także udokumentowania posiadanych zgód. W sytuacjach awaryjnych może się jednak przydać. 

Przetwarzanie danych szczególnie chronionych jest co do zasady zabronione. Zakaz nie ma jednak charakteru bezwzględnego. Są bowiem wyjątki dopuszczające przetwarzanie tego typu danych, które RODO podaje w art. 9 ust. 2. Tak jak w przypadku danych zwykłych pierwszą przesłanką legalizującą przetwarzanie danych szczególnie chronionych jest zgoda, przy czym jej wyrażenie przez osobę, której dane dotyczą, musi być wyraźne, a najlepiej sformułowane na piśmie z własnoręcznym podpisem. 
Zgoda nie może być podstawową przesłanką do przetwarzania danych osobowych w przedszkolu. Warto przypomnieć, że zgodnie z art. 30a ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe, w szkołach i placówkach oświatowych (należy przez to rozumieć także przedszkola) dane osobowe powinny być przetwarzane w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z przepisów prawa. Zgodnie z RODO przesłanką do przetwarzania danych, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, będzie art. 6 ust. 1 lit. c. 

Nie oznacza to jednak, że przedszkola nie mogą przetwarzać danych na podstawie zgody, ale muszą to robić z rozwagą i tylko w przypadkach zbieżnych z wypełnianiem ich zadań statutowych. Należy też dopilnować, by klauzula zgody precyzyjnie określała cel przetwarzania danych (konkretność zgody) oraz musi być sformułowana jasnym i prostym językiem, tak aby osoba, której dane dotyczą, rozumiała, na co wyraża zgodę (świadomość zgody).

Dobrowolność zgody

Definicja zgody na gruncie RODO została określona w art. 4 pkt 11 jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych. 

Kluczowy w tej definicji jest warunek dobrowolności, oznaczający, że osoba, której dane dotyczą, powinna mieć rzeczywisty lub wolny wybór co do udzielenia zgody i może jej odmówić lub ją wycofać w dowolnym dla siebie momencie, bez negatywnych konsekwencji. Wynika z tego, że zgoda jest nieważna, jeżeli osobie, której dane dotyczą, nie przysługuje rzeczywista możliwość wyboru, czuje się ona zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje w przypadku jej niewyrażenia.

Warunek dobrowolności nie będzie spełniony w sytuacji, w której istnieje wyraźny brak równowagi pomiędzy administratorem danych a podmiotem danych, zwłaszcza gdy administrator jest organem publicznym. Trudno byłoby uznać, że w każdym tego typu przypadku zgoda będzie wyrażona w sposób dobrowolny. Niewątpliwie w przedszkolnych realiach dysproporcje stron występują w relacjach nauczyciel (dyrektor) – dziecko (rodzic) oraz dyrektor – pracownik. Odmowa udzielenia zgody mogłaby tutaj rodzić obawę o nierówne traktowanie. 

Poważne nieprawidłowości w tej kwestii już były przedmiotem kontroli – zapewne wynikającej ze skargi rodziców. W roku szkolnym 2019/2020 w jednej ze szkół przeprowadzono badanie dotyczące sytuacji osobistej uczniów przy użyciu ankiety pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”. Obok podstawowych danych osobowych uczniów i ich rodziców w badaniu pozyskiwane były także takie dane, jak: informacja o stanie rodziny (pełna, niepełna), śmierci czy separacji rodziców (opiekunów prawnych), ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia i nałogach, sytuacji mieszkaniowej oraz o fakcie otrzymania albo nieotrzymania pomocy finansowej. Zatem obok danych zwykłych pozyskiwano dane szczególnie chronione – stan zdrowia, nałogi. Badanie przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę, do której uczęszczają. 

Jednak w aktach prawnych regulujących zasady funkcjonowania instytucji oświatowych trudno byłoby odnaleźć przepisy, które pozwalają na przetwarzanie danych osobowych uczniów w sposób, w jaki uczyniono to w szkole w związku z przeprowadzeniem ankiety, stąd przesłanką do zalegalizowania badania miała być zgoda, tym bardziej że – jak to przekazano uczniom – wypełnienie ankiet było dobrowolne. Uzyskanie zgody w tym przypadku było jednak wadliwe – ankietowani byli uczniowie małoletni, a więc zgodę powinni wyrazić ich rodzice lub opiekunowie prawni, przy czym w przypadku pozyskiwania danych szczególnie chronionych zgoda powinna być wyraźna, więc samo działanie polegające na wypełnieniu i oddaniu ankiety w tym przypadku nie byłoby wystarczające. Poza tym trudno tutaj mówić o dobrowolności w związku z brakiem równowagi, o której wcześniej wspomniano. Efektem przeprowadzonej przez Urząd Ochrony Danych Osobowych kontroli była nałożona na szkołę kara upomnienia.

Przetwarzanie danych szczególnie chronionych przez przedszkole

Podobne badania ankietowe prowadzi się także w przedszkolach. Często pojawiają się w nich pytania o stan zdrowia uczniów. Zastanówmy się więc, czy jednostki oświatowe mają prawo pozyskiwać takie informacje. Zważywszy na to, że jednym z obowiązków ciążących na dyrektorze i nauczycielach jest zapewnienie dzieciom bezpiecznych i higienicznych warunków pobytu w przedszkolu, wydaje się, że tak. Jak bowiem zapewnić bezpieczeństwo dziecku, które cierpi na schorzenia mogące w szczególnych okolicznościach zagrozić jego zdrowiu lub nawet życiu? Jak bez wiedzy o ciężkim uczuleniu wspomóc dziecko, np. podczas wstrząsu anafilaktycznego? Jeśli pomoc nie nadejdzie w porę, jego życie, może być zagrożone. Ze względu na to, że symptomy pojawiają się gwałtownie i szybko narastają, pierwszą osobą zobowiązaną do pomocy będzie nauczyciel, któremu łatwiej zareagować, jeśli będzie wiedział 
o schorzeniu.

Żaden przepis prawa nie nakłada jednak na rodzica obowiązku informowania przedszkola o schorzeniach dziecka, choć wydawałoby się, że tak jest, bo w myśl art. 155 ustawy Prawo oświatowe w celu zapewnienia dziecku podczas pobytu w szkole (przedszkolu) lub placówce oświatowej odpowiedniej opieki, odżywiania oraz metod opiekuńczo-wychowawczych rodzic dziecka przekazuje dyrektorowi szkoły (przedszkola) lub placówki uznane przez niego za istotne dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym dziecka. Pozyskiwanie tego typu danych osobowych przez przedszkole spełniałoby przesłankę wynikającą z art. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – gdyby ustawodawca nie użył we wspomnianym art. 155 sformułowania „przekazuje”, wpisując w zamian „ma obowiązek przekazać”. Skoro tego nie uczynił, informacje na temat zdrowia uczniów powinny być przekazywane dyrektorowi i nauczycielom wyłącznie z inicjatywy rodziców. To rodzic decyduje, czy i które informacje, np. dotyczące leczenia dziecka, przekazać przedszkolu. Jego inicjatywa w tym zakresie będzie uznana za wyrażenie zgody na przetwarzanie danych osobowych, jednak przy danych szczególnie chronionych należy poprosić rodzica o wyrażenie zgody na piśmie.

Wracając do ankiet kierowanych do rodziców, należy stwierdzić, że nie ma przeciwwskazań, aby były narzędziem uzyskiwania informacji na temat zdrowia lub sytuacji rodzinnej, domowej dziecka, ale tylko wtedy, gdy zapewniona zostanie daleko idąca dobrowolność ich przekazania. Będzie tak, jeżeli obok standardowych pytań, dotyczących np. oczekiwań i potrzeb związanych z rozwojem zainteresowań dziecka, pojawi się – dla przykładu – taka propozycja: „Jeśli chcieliby Państwo przekazać informacje mające wpływ na bezpieczeństwo dziecka podczas pobytu w szkole, w szczególności związane ze zdrowiem, odżywianiem czy właściwym doborem metod opiekuńczo-wychowawczych, proszę je wpisać poniżej”. Trudno będzie wówczas zarzucić dyrektorowi przedszkola niespełnienie warunku dobrowolności pozyskania zgody.

Zasada minimalizacji danych

Jedna z zasad RODO głosi, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Jest to tzw. zasada minimalizacji danych. Niewłaściwe jej stosowanie można zobrazować dość często kiedyś popełnianym nadużyciem administratorów portali internetowych, którzy w celu zalogowania się na konto wymagali od użytkownika podania numeru PESEL. Było to nadmiarowe pozyskiwanie danych, które dodatkowo zwiększało prawdopodobieństwo wycieku tak osobistej dla każdego obywatela informacji.

Przetwarzanie danych osobowych na podstawie zgody powinno być poprzedzone dokładną analizą dotyczącą zakresu danych niezbędnych do osiągnięcia wskazanego celu. Wydaje się, że takiej analizy zabrakło w jednej ze szkół podstawowych, w której gromadzono dane biometryczne uczniów w postaci odcisku palca w celu weryfikacji uprawnienia do korzystania przez nich ze szkolnych obiadów. Szkoła pozyskiwała dane na podstawie pisemnej zgody rodzica, a konsekwencją jej nieudzielenia było oczekiwanie na posiłek na końcu kolejki, do czasu gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki. 

Pomijając brak spełnienia warunku dobrowolności udzielenia zgody (negatywne konsekwencje), z pewnością nie została tutaj spełniona zasada minimalizacji danych. Są przecież inne metody weryfikacji uczniów uprawnionych do spożywania posiłków, które nie wymagają przetwarzania dodatkowych – poza tymi, którymi szkoła dysponuje – danych. Warto ponadto zauważyć, że pozyskiwanie danych w postaci odcisku palca obarczone jest dużym ryzykiem naruszenia praw i wolności osób fizycznych.

Należy bowiem pamiętać, że dane daktyloskopijne są unikalne, stałe oraz niezmienne w czasie, a wyciek tego rodzaju danych może rodzić negatywne skutki także po osiągnięciu przez dziecko pełnoletności. Nie dziwi więc stosunkowo wysoka administracyjna kara pieniężna – 20 tys. zł – nałożona na szkołę w opisanej sytuacji. 

Zasada minimalizacji danych związana jest także z ograniczeniem czasowym przetwarzania danych osobowych. Niewłaściwą praktyką stosowaną niekiedy w przedszkolach jest uzyskiwanie zgody na przetwarzanie danych na czas nieokreślony (do czasu wycofania zgody). O ile jest to dopuszczalna praktyka w usługach społeczeństwa informacyjnego, to w przypadku przedszkoli już nie. Najwłaściwszą praktyką jest uzyskiwanie zgód na przetwarzanie danych dzieci na okresy nie dłuższe niż jeden rok.

Zgoda tylko wtedy, gdy nie ma innej podstawy przetwarzania danych

Opisany powyżej przypadek pozyskiwania danych biometrycznych uczniów jest o tyle ciekawy, że zgoda rodzica nie mogła być podstawą do ich przetwarzania, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na przetwarzanie. Jak słusznie zauważył Prezes Urzędu Ochrony Danych Osobowych, podstawą do przetwarzania danych osobowych dzieci spożywających posiłki w stołówce szkolnej jest art. 6 ust. 1 lit. e RODO (wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi), w związku z art. 106 ustawy Prawo oświatowe, który daje uprawnienia do organizowania przez przedszkola i szkoły stołówki w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów.

Uzyskanie zgody na publikację zdjęcia na stronie internetowej przedszkola nie oznacza prawa do umieszczania go także na przedszkolnej stronie na Facebooku czy blogu prowadzonym przez nauczyciela. 

Należy pamiętać, że jednym z głównych praw osoby, która wyraziła zgodę na przetwarzanie danych, jest możliwość jej wycofania w dowolnym momencie. Jeśli więc przedszkole będzie pozyskiwać, a następnie przetwarzać dane osobowe na podstawie udzielonej zgody, podczas gdy właściwą podstawą powinien być przepis prawa, w przypadku jej wycofania dyrektor może mieć problem z wypełnieniem obowiązku prawnego. Przykładem to ilustrującym może być przyjmowanie od pracowników wnio...

Artykuł jest dostępny w całości tylko dla zalogowanych użytkowników.

Jak uzyskać dostęp? Wystarczy, że założysz bezpłatne konto lub zalogujesz się.
Czeka na Ciebie pakiet inspirujących materiałow pokazowych.
Załóż bezpłatne konto Zaloguj się

Przypisy