Szkoły, przedszkola i żłobki w swojej działalności wykorzystują dane osobowe różnych osób m.in. uczniów, rodziców, nauczycieli i pozostałych pracowników itp. Tych informacji jest naprawdę bardzo dużo. Dlatego placówki oświatowe powinny szczególnie zwracać uwagę na ich ochronę i stosować się do przepisów ogólnego rozporządzenia o ochronie danych. Administratorem zbieranych przez nie informacji jest dyrektor reprezentujący daną placówkę. To on decyduje o celach i sposobach ich przetwarzania.
Jakie sytuacje rodzą najczęściej pytania dotyczące stosowania przepisów RODO? Czy praktyki szkół, przedszkoli i żłobków są zgodne z prawem?
1. Publikacja list przyjętych uczniów.
Możliwość tej czynności wynika wprost z art. 157 ust. 2 pkt 2 i art. 158 ust. 1, 3 i 4 ustawy Prawo oświatowe. Szkoły są wręcz zobowiązane do podania do publicznej wiadomości wyników rekrutacji poprzez umieszczenie w widocznym miejscu listy zawierającej imiona i nazwiska kandydatów oraz informację o decyzji. Wywieszenie takich dokumentów jest jednak ograniczone w czasie – zgodnie z art. 158 ust. 10 ustawy Prawo oświatowe. Polski prawodawca sam więc zdecydował, w jakim zakresie oraz w jaki sposób powinny zostać opublikowane listy uczniów. Oznacza to, że publikowanie wyników procesu rekrutacyjnego na stronie internetowej szkoły jest niedopuszczalne, a na drzwiach lub w szkole - zgodne z prawem – tłumaczy dr Paweł Mielniczek, ekspert ds. ochrony danych, Fundacja Wiedza To Bezpieczeństwo.
2. Robienie zdjęć klasowych, umieszczanie nagrań z wydarzeń w Internecie.
Teoretycznie, na to wszystko potrzeba uprzedniej zgody rodzica, która może być wycofana w każdej chwili. Zgodnie z prawem autorskim nie trzeba jednak zbierać zgód na rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości (np. publiczna impreza) – wskazuje dr Paweł Mielniczek, ekspert ds. ochrony danych, WTB.
Inaczej wygląda to w przypadku, gdy szkoła chce wykorzystać dane osobowe uczniów, np. na stronach szkoły. Wówczas rozpowszechnianie wizerunku wymaga odpowiedniego zezwolenia. Podstawa do publikowania fotografii osób określona jest m.in. w art. 6 ust. 1 lit. a RODO. Należy podkreślić, że zgodę placówka oświatowa powinna uzyskać od opiekuna prawnego dziecka.
3. Dostęp do informacji o stanie zdrowia dziecka.
Ostatnio można było przeczytać lub usłyszeć, że opiekunowie mają problemy z uzyskaniem informacji, w jakim szpitalu znajduje się ich dziecko, ponieważ dyżurny nie ma pewności, czy to dzwonią rodzice. Szkoły powinny być przygotowane na to, by w nagłych sytuacjach móc skontaktować się z rodzicem lub opiekunem prawnym ucznia tak, aby móc przekazywać lub pozyskiwać niezbędne informacje. W razie wątpliwości, należy dodatkowo zweryfikować tożsamość dzwoniącego, zadając pytania np. o datę urodzenia dziecka, ubiór w dniu wypadku, imiona rodziców czy nazwisko wychowawcy. Nie powinno dochodzić do sytuacji, w której odmawia się osobie upoważnionej udzielenia szczegółów o tym co się stało i czy dziecku zagraża jakieś niebezpieczeństwo, ponieważ pomoc osoby bliskiej jest wręcz w interesie dziecka, a więc interesie, który pozwala udostępnić dane na podstawie art. 6 ust. 1 lit. f lub art. 9 ust. 2 lit. c RODO. Wymóg osobistego stawiennictwa i wylegitymowania się dowodem osobistym powinien być ostatecznością. – podkreśla ekspert Fundacji Wiedza To Bezpieczeństwo.
4. Publikacja danych uczniów i ich ocen w e-dzienniku.
Dziennik elektroniczny może być prowadzony w szkole na podstawie rozporządzenia Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. Jeżeli szkoła zleca zapewnienie jego funkcjonowania podmiotowi zewnętrznemu musi podpisać z nim stosowną umowę. Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie danych osobowych ucznia ma być dokonywane w imieniu administratora (szkoły lub innej placówki oświatowej). RODO wyraźnie wskazuje na formę powierzenia przetwarzania informacji, w tym formę elektroniczną (art. 28 ust. 3 RODO) – mówi dr Paweł Mielniczek, ekspert ds. ochrony danych, WTB.
Fundacja Wiedza To Bezpieczeństwo powstała z inicjatywy osób zawodowo zajmujących się bezpieczeństwem informacji, łączących wiedzę, pasję i doświadczenie z różnych dyscyplin – m.in. prawa, informatyki, zarządzania. Cel, który jej przyświeca to promowanie znaczenia bezpieczeństwa informacji, jako najcenniejszego dobra, jakim dysponuje człowiek oraz strategicznego zasobu każdej organizacji. Działania Fundacji opierają się na: edukacji, integracji środowiska osób odpowiedzialnych za bezpieczeństwo informacji, w tym danych osobowych oraz tych, którzy po prostu interesują się przedmiotową tematyką oraz dostarczaniu organizacjom narzędzi chroniących ich zasoby informacyjne.