Dołącz do czytelników
Brak wyników

Dyrektor kontra prawo

6 kwietnia 2021

NR 120 (Kwiecień 2021)

RODO w praktyce przedszkolnej, cz. 1 – obowiązek informacyjny

12

Jednym z najbardziej istotnych zagadnień związanych z ochroną danych osobowych jest kwestia zapewnienia transparentności procesów ich przetwarzania. Zasada przejrzystości, sformułowana w ogólnym rozporządzeniu o ochronie danych osobowych (RODO), nakłada na administratorów danych obowiązek informacyjny w stosunku do osób, których dane są przetwarzane. Realizacja tego obowiązku przysparza wiele problemów administratorom danych. Przyjrzyjmy się błędom popełnianym przez przedszkola i spróbujmy odpowiedzieć, jak ich uniknąć.

Zasady przejrzystości nie można rozpatrywać niezależnie od innych zasad przetwarzania danych osobowych. Jest ona bowiem nierozerwalnie związana z zasadami rzetelności oraz rozliczalności. Jest także zależna od pozostałych. Przypomnijmy, że zasady dotyczące przetwarzania danych osobowych zostały określone w art. 5 rozporządzenia RODO. Zgodnie z nim dane osobowe muszą być:

POLECAMY

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość),
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu),
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne, do celów, w których są przetwarzane (minimalizacja danych),
  • prawidłowe i w razie potrzeby uaktualniane (prawidłowość),
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których te dane są przetwarzane (ograniczenie przechowywania),
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową
  • utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

Administrator jest nie tylko odpowiedzialny za przestrzeganie zasad, lecz także musi być w stanie wykazać ich przestrzeganie (rozliczalność). Z kolei osoba, której dane są przetwarzane, musi mieć możliwość zweryfikowania, czy odbywa się to zgodnie z powyższymi zasadami. Taką możliwość daje jej odpowiednia klauzula informacyjna przygotowana przez administratora.

Zakres informacji

Stosowanie zasady przejrzystości wiąże się z koniecznością poinformowania osoby, której dane są przetwarzane, o zakresie i sposobie ich wykorzystywania oraz przysługujących jej prawach. Zgodnie z art. 13 RODO w klauzuli informacyjnej powinny znaleźć się w szczególności:

  • tożsamość i dane kontaktowe administratora,
  • dane kontaktowe inspektora ochrony danych (gdy został powołany),
  • cele i podstawa prawna przetwarzania danych,
  • prawnie uzasadnione interesy realizowane przez
  • administratora lub przez stronę trzecią (jeśli wskazano to jako podstawę przetwarzania danych),
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie),
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Warto zaznaczyć, że nie ma obowiązku podawania w klauzuli imienia i nazwiska dyrektora przedszkola oraz inspektora ochrony danych. Wpisanie ich będzie wymagało ponownie wywiązania się z obowiązku informacyjnego w przypadku zmiany dyrektora lub inspektora, ponieważ przekazany wcześniej dokument utraciłby aktualność.

Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, to zgodnie z art. 14 RODO administrator podaje ponadto osobie, której dane dotyczą, kategorie odnośnych danych osobowych oraz źródło ich pochodzenia, a gdy ma to zastosowanie – informuje, czy pochodzą one ze źródeł publicznie dostępnych. Informacje te można przekazać na piśmie lub w inny sposób, w tym w wybranych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, klauzulę można też przekazać ustnie, jednak w związku z zasadą rozliczalności, administrator musi zastanowić się, czy będzie w stanie wykazać spełnienie obowiązku informacyjnego.

Jasność przekazu

Klauzula informacyjna powinna mieć zwięzłą, przejrzystą, zrozumiałą i łatwo dostępną formę. Ważne, aby była napisana jasnym i prostym językiem, w szczególności gdy informacje są kierowane do dziecka. Zawartość powinna być przekazana w sposób efektywny i zwięzły, by nie przytłoczyć odbiorcy informacjami. Administrator, wiedząc, do jakiej grupy będą one skierowane, powinien używać sformułowań, które zrozumie przeciętny reprezentant spośród grona odbiorców. 

Niestety, w praktyce klauzule informacyjne bardzo często nie spełniają powyższych wymagań. Pisane są trudnym do odbioru, prawniczym językiem, mają mało czytelną formę, są przeładowane treścią. Najczęściej popełnianym błędem jest publikowanie na stronie internetowej przedszkola jednej uniwersalnej klauzuli informacyjnej, w której opisane są wszystkie czynności związane z przetwarzaniem danych w jednostce. Trudno w takim dokumencie zachować zwięzłość i przejrzystość.

Nie powinno się także przytaczać we wstępie pełnej nazwy rozporządzenia RODO, która sama w sobie jest trudna do zrozumienia dla przeciętnego odbiorcy. Żaden przepis nie wymaga podawania podstawy prawnej, która zobowiązuje administratora do spełnienia obowiązku informacyjnego. Musi on go po prostu spełnić. Przykładem dobrej praktyki jest rozpoczynanie klauzuli informacyjnej od zwięzłych sformułowań, jak np. „Informujemy Państwa, że…”, lub używanie prostych nagłówków w rodzaju: „Jakie informacje o Tobie przetwarzamy i dlaczego?”

Często w klauzulach cytowane są niepotrzebnie poszczególne przepisy rozporządzenia RODO i innych ustaw. Obok nazw aktów prawnych podawane są ich metryczki, niejednokrotnie bardzo długie ze względu na wiele zmian wprowadzanych w ustawach. Ich praktyczny walor informacyjny dla przeciętnego Kowalskiego jest właściwie żaden. Poza tym metryczki stale nowelizowanych aktów prawa szybko się dezaktualizują, co podważa sens ich umieszczania w klauzuli, która co do zasady powinna być aktualna w całym okresie przetwarzania konkretnych danych osobowych. 

Dla jasności przekazu oraz ze względu na występujące czasem ograniczenia warto w niektórych przypadkach przedstawić informacje w sposób warstwowy. Sprawdza się to szczególnie w sytuacji przetwarzania danych osobowych w systemach monitoringu wizyjnego i w przypadku klauzul dołączanych do wiadomości e-mail. W pierwszej warstwie przekazujemy najbardziej niezbędne informacje, takie jak tożsamość administratora, cele przetwarzania danych, opis praw przysługujących osobie, do której należą dane osobowe. Natomiast w drugiej warstwie powinny się znaleźć wszystkie pozostałe informacje wymagane przez art. 13 lub art. 14 RODO. Przekierowanie odbiorcy do pełnej warstwy może nastąpić za pomocą bezpośredniego linku, który pozwala jednym kliknięciem przejść do kolejnych informacji, lub poprzez wskazanie miejsca, w którym możliwe będzie zapoznanie się z pełną treścią obowiązku informacyjnego (np. przy portierni). Należy tutaj zaznaczyć, że na administratorze ciąży obowiązek przekazania pełnej treści klauzuli informacyjnej, a inicjatywa w tym zakresie powinna bezwarunkowo należeć wyłącznie do niego. Niedopuszczalne jest przekazanie pierwszej warstwy klauzuli z jednoczesnym wskazaniem, że w celu otrzymania pozostałych informacji należy zgłosić się do dyrektora lub napisać do niego stosowną prośbę. Niektóre z przedszkoli do dzisiaj stosują takie właśnie rozwiązanie w stopce wiadomości e-mail.

Cel i podstawa przetwarzania danych

Jedną z najważniejszych informacji, jakie należy przekazać osobie, której dane są pozyskiwane, jest określenie, w jakim celu je zbieramy. To powinno się odbywać wyłącznie dla oznaczonych, zgodnych z prawem, konkretnych celów i nie powinno być związane z innymi, wcześniej nieokreślonymi celami (zasada ograniczenia celu). Nauczyciel nie może np. wykorzystywać numerów telefonów rodziców w celu zaproponowania im możliwości skorzystania z oferty firmy ubezpieczeniowej, ponieważ co do zasady podstawowym celem przetwarzania danych dzieci jest wypełnienie obowiązku prawnego, który zamyka się w kręgu regulacji prawnych związanych z realizacją procesu dydaktyczno-wychowawczego. 

Zmiana celu przetwarzania danych lub dodanie nowego celu jest możliwe pod warunkiem wskazania podstawy prawnej i poinformowania o tym osoby, której dane będą przetwarzane. Jeżeli rodzic wyraził zgodę na publikację wizerunku dziecka w celu promocji przedszkola, to zdjęcie dziecka nie może być wykorzystywane przez nauczyciela w celu związanym z jego awansem zawodowym. Na to nauczyciel musiałby mieć osobną zgodę rodzica.

Określając cel, należy jednocześnie podać co najmniej jedną przesłankę legalizującą przetwarzanie danych. Przypomnijmy, że art. 6 ust. 1 RODO wskazuje sześć przesłanek przetwarzania danych zgodnie z prawem:

  • zgoda osoby, której dane dotyczą,
  • realizacja umowy lub podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • wypełnienie obowiązku prawnego ciążącego na administratorze,
  • ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • realizacja zadań w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią.

Trzecia z przesłanek – wypełnienie obowiązku prawnego – powinna być w klauzuli informacyjnej uzupełniona o wskazanie konkretnego przepisu prawa, który wyraźnie nakazuje administratorowi przetwarzanie danych osobowych, a najczęściej podaje także ich zakres. Brak zakresu danych w regulacjach prawnych będzie wymagał od administratora dokonania weryfikacji pod kątem niezbędności ich posiadania do osiągnięcia określonego celu przetwarzania (zasada minimalizacji danych).

Dyrektor publicznego przedszkola musi pamiętać, że przetwarzania danych osobowych nie może opierać na szóstej z wymienionych przesłanek – prawnie uzasadnione interesy administratora. Przesłanka ta nie ma bowiem zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań, a jak zauważył Naczelny Sąd Administracyjny w wyroku z dnia 25 kwietnia 2012 r. (sygn. akt I OSK 248/12), „dyrektor szkoły publicznej jest organem władzy publicznej, bowiem realizuje zadania publiczne związane z realizacją prawa każdego obywatela do kształcenia się oraz prawa dzieci i młodzieży do wychowania i opieki, odpowiednich do wieku i osiągniętego rozwoju, a nadto uprawniony jest do działania w formie władczej w stosunku do uczniów, np. poprzez wydawanie decyzji administracyjnych w przedmiocie skreślenia ucznia z listy uczniów”.

Jeżeli mają być przetwarzane dane szczególnie chronione, np. dotyczące zdrowia, w klauzuli informacyjnej musi się znaleźć odniesienie do co najmniej jednej z podstaw prawnych określonych w art. 9 ust. 2 RODO. W praktyce przedszkolnej będzie to najczęściej związane ze zgodą, wypełnieniem obowiązków i wykonywaniem szczególnych praw przez dyrektora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, ochrona żywotnych interesów osoby, której dane dotyczą, a także z niezbędnością przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego.

Okres przechowywania danych

Jednym z elementów dobrze sformułowanej klauzuli informacyjnej jest określenie okresu przechowywania danych osobowych. Zgodnie z art. 5 ust. 1 lit. e RODO dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane (zasada ograniczenia przechowywania). Gdy nie jest możliwe wskazanie okresu, przez który dane osobowe będą przechowywane, należy określić kryteria ustalania tego czasu.

Podawanie okresu przechowywania danych jest niezmiernie ważne dla osoby, której dane są przetwarzane, gdyż pozwala to kontrolować, jakie informacje na jej temat w danym czasie są w posiadaniu różnych podmiotów, oraz weryfikować, czy przetwarzanie odbywa się zgodnie z prawem. Niewłaściwą praktyką jest podawanie bliżej nieokreślonego terminu usunięcia danych, np.: „dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania”.

W tym miejscu warto zaznaczyć, że w przypadku przetwarzania danych pozyskanych na podstawie zgody, podawanie informacji, że dane będą przechowywane do czasu wycofania zgody, jest mocno wątpliwe, zwłaszcza gdy chodzi o publikację wizerunku dzieci. Analiza przepisów prawa czasami daje odpowiedź na pytanie, jak długo dane mogą być przechowywane, jednak najczęściej regulacje prawne nie są w tym zakresie wyczerpujące. W praktyce szkolnej tylko w przypadku danych osobowych kandydatów i dokumentacji postępowania rekrutacyjnego przepis prawa wprost wskazuje, jak długo takie dokumenty należy przechowywać. W myśl art. 160 ustawy Prawo oświatowe powinno to trwać nie dłużej niż do końca okresu, w którym uczeń korzysta z wychowania przedszkolnego w danym publicznym przedszkolu, oddziale przedszkolnym w publicznej szkole podstawowej lub publicznej innej formie wychowania przedszkolnego. Dane osobowe kandydatów nieprzyjętych zgromadzone w celach postępowania rekrutacyjnego powinny być przechowywane przez rok, chyba że na rozstrzygnięcie dyrektora przedszkola została wniesiona skarga do sądu administracyjnego i postępowanie nie zostało zakończone prawomocnym wyrokiem.

Często popełnianym przez dyrektorów błędem jest niewłaściwy okres przechowywania dokumentów aplikacyjnych na wolne stanowisko pracy. Przepisy Kodeksu pracy i wydane na jego podstawie akty wykonawcze nie precyzują, przez jaki okres mogą być przechowywane dane kandydata, z którym nie zawarto umowy. Z pomocą przychodzi tutaj Urząd Ochrony Danych Osobowych, który wskazuje, że po zakończeniu rekrutacji dane kandydatów powinny być niezwłocznie usunięte – chyba że ze względu na zainteresowanie przyszłymi naborami sami wyrażą oni zgodę na dłuższe wykorzystywanie ich danych. Dane nie mogą być ponadto zbierane „na zapas” ani „na wszelki wypadek”, gdy pracodawc...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy