Czy można podpisywać szafki dzieci? Ogłosić listę przyjętych na stronie internetowej szkoły? Pozwolić, by nauczyciel sprawdzał klasówki w domu? Rozwiewamy najważniejsze wątpliwości rodziców, uczniów, dyrektorów i nauczycieli dotyczące ochrony danych osobowych
Problemem, jak stosować
RODO, są nie tyle przepisy, ale brak pewności, jak je wdrożyć.
Już po pierwszych wywiadówkach rodzice skarżyli się na absurdy, z którymi musieli się mierzyć, kiedy ich pociechy wróciły z wakacji. Przykłady? W jednej ze szkół zakazano dzieciom podpisywania zeszytów. W innej szafki na ubrania oznaczono symbolami geometrycznymi zamiast imion. Hitem internetu stał się udostępniony na twitterowym profilu LOLrodo dokument, w którym dyrektor zaleca, by nie posługiwać się nazwiskami przedszkolaków, ale używać numerów ewidencyjnych lub inicjałów. A także by na listach obecności podpisywać się… nieczytelnym podpisem. Nawet jeśli to fałszywy dokument, potraktowany z przymrużeniem oka, dobrze obrazuje skalę zamieszania.
Trudno się dziwić, dyrektorzy mają prawo być zdezorientowani. Instytucje państwowe, które mogły pomóc w zrozumieniu nowych zasad, zaspały, pozostawiając administratorów danych samym sobie. Dla przykładu – poradnik dotyczący ochrony danych w szkole Ministerstwo Edukacji Narodowej i Urząd Ochrony Danych Osobowych wydały pod koniec sierpnia, trzy miesiące po tym, jak prawo zaczęło być stosowane. W tym czasie firmy szkoleniowe, które oferowały dyrektorom doradztwo we wprowadzania RODO, podsycały atmosferę niepewności, inkasując ogromne kwoty za szkolenia. Minister Anna Zalewska apelowała do szefów placówek, by nie inwestowali w nie pieniędzy, bo dostosowanie do
RODO nie jest tak trudne, jak się wydaje.
Jednak na nowe przepisy warto spojrzeć nie tylko jak na problemy, takie jak podpisywanie przez rodziców wielu nowych zgód na przetwarzanie danych. Można patrzeć też na nie jak na szansę, by nadrobić zaległości w ochronie danych. Wielu kierowników placówek dopiero przy okazji dyskusji wokół RODO zaczęło zastanawiać się nad tym, jak funkcjonuje ona w szkole. A zaniedbań jest dużo –
szkoły np. nagminnie publikują zdjęcia uczniów na stronach internetowych bez zgody rodziców, nie informują, że na ich terenie działa monitoring wizyjny.
RODO dało dyrektorom dodatkową motywację – na mocy nowych przepisów jasno ustalono, że to oni odpowiadają za gospodarkę danymi w
szkole. Jeśli nie będą się wywiązywać z obowiązków, może zostać na nich nałożona nawet kara finansowa.
Ważne jest, by w całym zamieszaniu pamiętać z jednej strony o funkcji wychowawczej szkoły, a z drugiej o tym, że dane osobowe to nie abstrakcja, ale informacje, które gdy dostaną się w niepowołane ręce, mogą przysporzyć ogromnych problemów osobie, którą opisują.
1.
Według rozporządzenia o RODO oznaczają one informacje o możliwej do zidentyfikowania osobie, której one dotyczą. Osobę taką można sprawdzić za pomocą imienia i nazwiska, cech fizycznych czy identyfikatora (np. PESEL). W szkole najczęściej spotykamy się z danymi określanymi jako „zwykłe”, czyli między innymi: imię, nazwisko, adres zamieszkania oraz e-mail, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wizerunek.
Warto pamiętać, że istnieją jeszcze „szczególne kategorie danych osobowych”, dawniej nazywane wrażliwymi, czyli: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej. Ich przetwarzanie jest, poza wyszczególnionymi w dokumencie przypadkami, zabronione, a jeśli już jest to niezbędne – wiąże się z koniecznością wypełnienia dodatkowych gwarancji ich ochrony. Są one określone w art. 9 ust. 2 i art. 10 RODO.
Placówka oświatowa zobowiązana jest do przestrzegania zasad ochrony danych osobowych, między innymi: spełnienia obowiązku informacyjnego względem osób, których dotyczą dane, zabezpieczania danych, respektowania praw osób, których dane są przetwarzane, np. udzielania informacji co do celów, sposobów, źródeł, zakresu ich przetwarzania.
Art. 4 ust. 1 i ust. 2 RODO.
2.
Jeśli organem prowadzącym szkołę jest samorząd, kto jest odpowiedzialny za ochronę danych osobowych?
W świetle RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych. Oznacza to, że administratorem danych osobowych uczniów, ich rodziców, nauczycieli, pracowników jest szkoła. Reprezentuje ją jednak dyrektor placówki i to na niego nakłada się obowiązki związane z ochroną danych osobowych. On też ponosi odpowiedzialność w przypadku nieprawidłowości.
3.
Jeśli to dyrektor odpowiada za dane, czy to on musi wyznaczyć w placówce inspektora ochrony danych?
Dyrektorzy szkół publicznych będących jednostkami budżetowymi zobowiązani są do wyznaczenia inspektora ochrony danych. Szkoła powinna poinformować o tym, kto jest taką osobą oraz zawiadomić o tym prezesa Urzędu Ochrony Danych Osobowych. RODO precyzuje, że inspektor powinien posiadać fachową wiedzę na temat prawa oraz praktyki w zakresie ochrony danych (pojęcie fachowej wiedzy nie jest jednak zdefiniowane, nie trzeba więc pracownika wysyłać np. na dodatkowe studia).
Ważne! Inspektorem nie może być sam dyrektor szkoły, gdyż oznaczałoby to konflikt interesów.
Inspektorem może być osoba zatrudniona w szkole lub wykonująca zadania na podstawie umowy o świadczenie usług. Co ważne, jeśli administrator lub podmiot przetwarzający są jednostkami publicznymi, to można wyznaczyć jednego inspektora dla kilku takich organów. Czyli w zespole szkół nie trzeba wyznaczać osobnego inspektora dla każdej z placówek w nim zrzeszonych. Do jego podstawowych zadań należy informowanie dyrektora oraz innych pracowników szkoły o obowiązkach spoczywających na nich w związku z RODO, monitorowanie przestrzegania przepisów rozporządzenia, udzielanie zaleceń co do ochrony danych. Taki inspektor może wykonywać inne zadania i obowiązki, jednakże administrator musi zapewnić, żeby nie powodowało to konfliktu interesów.
4.
Czy dyrektor musi prosić rodziców o zgodę za każdym razem, kiedy przetwarza dane dzieci? Na przykład wpisując nazwiska do dzienników lekcyjnych?
Nie. Przetwarzanie danych osobowych to wiele operacji, których można na nich dokonać, np. zbieranie, utrwalanie, niszczenie, porządkowanie. Przetwarzanie jest zgodne z prawem, m.in. kiedy:
- osoba, której dane dotyczą, wyraziła na nie zgodę,
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo też jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
W szkołach i przedszkolach najczęściej przetwarzanie danych odbywa się na podstawie przepisów, więc nie trzeba za każdym razem prosić o zgodę osoby, której dane dotyczą. Akty prawne, które uprawniają do przetwarzania, to między innymi: prawo oświatowe, Karta nauczyciela, ustawa o systemie oświaty, ustawa o systemie informacji oświatowej, ustawa o finansowaniu zadań oświatowych, a także rozporządzenia do nich wydane.
O zgodę należy prosić rodziców tylko wtedy, gdy nie istnieją inne przesłanki przetwarzania danych. Nie musi być ona wyrażona pisemnie. To po prostu dobrowolne, konkretne, świadome i jednoznaczne przyzwolenie. Zgodę rodzic może w każdej chwili odwołać.
Więcej o przypadkach, w których przetwarzanie danych osobowych jest legalne, można się dowiedzieć z art. 6 RODO.
5.
Czy listę przyjętych można udostępnić na stronie internetowej?
Nie. Co ciekawe, wcale nie wynika to z RODO. Już wcześniej było to zabronione na mocy prawa oświatowego. Nie ma tu znaczenia, czy rodzice wyrażą zgodę na publikację ich danych czy nie.
Art. 157 i 158 ustawy – Prawo oświatowe (tj. Dz.U. z 2018 r. poz. 996 ze zm.).
6.
Czy w szkole można zainstalować monitoring?
Co do zasady tak. Niemniej sprawa ze szkolnym monitoringiem jest bardzo skomplikowana. Wszystko przez to, że nie ma ustawy, która kompleksowo regulowałaby zasady jego wprowadzania. Na razie można opierać się jedynie na przepisach doraźnie wprowadzanych do różnych aktów prawnych. W przypadku edukacji – do prawa oświatowego.
Na jego mocy monitoring w szkole można wprowadzić, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia.
Kamery instaluje się w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, a o tym, że system zacznie działać, trzeba poinformować społeczność szkolną dwa tygodnie wcześniej. Każdego pracownika natomiast pisemnie, przed zawarciem umowy. Same szkoły muszą mieć oznaczenie, że teren jest monitorowany.
Rejestrację obrazu można prowadzić w pomieszczeniach szkoły lub placówki albo na terenie wokół niej, ustawa wprowadza jednak wiele obostrzeń. Monitoring nie może służyć do nadzorowania pracy nauczycieli. Kamery nie mają prawa znajdować się w klasach, pokoju nauczycielskim, gabinecie psychologa czy pedagoga, w toaletach czy szatniach (chyba że jest to szczególnie uzasadnione, ale wtedy trzeba zastosować techniki uniemożliwiające rozpoznanie takiej osoby).
Uwaga! Do wytycznych znajdujących się w prawie oświatowym szkoła musi się dostosować, nawet jeśli monitoring miała założony już wcześniej. Choć w przepisach nie zaplanowano żadnego okresu przejściowego, UODO wyznaczył czas na dostosowanie do końca września.
Art. 108a ustawy o systemie oświaty (tj. Dz.U. 2018 poz. 996 ze zm.).
7.
Jakich danych można zażądać w procesie rekrutacji?
Wniosek o przyjęcie do publicznej placówki – szkoły lub przedszkola – zawierać powinien: imię, nazwisko, datę urodzenia oraz, o ile został nadany, numer PESEL kandydata, a także jego adres zamieszkania. We wniosku zbierane są też informacje o rodzicach: ich imiona i nazwiska, adresy zamieszkania, numery telefonów i adresy e-mail. W zależności od sytuacji w szkole składa się też wiele załączników, np. kopię wyroku potwierdzającego rozwód rodziców czy oświadczenie o zarobkach.
Osobie, której dane dotyczą, trzeba przekazać informację na temat ich przetwarzania. Sposób, w jaki szkoła może to zrobić, nie jest określony, bo RODO precyzuje wyłącznie efekt końcowy: osoba, której dane dotyczą, musi wiedzieć, że zostały one pozyskane. Według MEN i UODO dobrą praktyką jest np. dołączanie klauzuli informacyjnej bezpośrednio do wzoru wniosku czy zgłoszenia albo wywieszanie jej w widocznym miejscu. Tam, gdzie rekrutacja odbywa się z użyciem systemu elektronicznego, można też wprowadzić klauzulę informacyjną jako obowiązkowy element formularza wypełnianego przez rodzica.
Więcej o dokumentach potrzebnych w rekrutacji: art. 150 ustawy – Prawo oświatowe (tj. Dz.U. z 2018 r. poz. 996 ze zm.), o obowiązku informacyjnym – art. 13 i 14 RODO.
8.
Dyrektor podstawówki musi pilnować, czy dzieci z jego rejonu rozpoczęły naukę. Czy musi informować rodziców, kiedy dostanie informacje w tym zakresie od gminy?
Nie. Publicznej szkole podstawowej wyznaczany jest rejon. To obszar, z którego dzieci muszą znaleźć miejsce w tej placówce, jeśli rodzice nie zdecydują, że pójdą one do innej. Dzieci te przyjmuje się z urzędu. Rejony mają także inną funkcję – dzięki nim dyrektorzy mogą kontrolować, czy dzieci realizują obowiązek szkolny. Każdy szef placówki dostaje bowiem informacje o nieletnich zamieszkałych w gminie, które ta sporządza na podstawie ewidencji ludności. Ponieważ dyrektor otrzymuje dane z mocy prawa (w tym przypadku prawa oświatowego), szkoła nie musi informować o pozyskaniu danych z gminy. Niemniej, kiedy już rodzice zgłaszają do szkoły kandydatów, obowiązek informacyjny musi być spełniony niezależnie od tego, czy mieszkają oni w obwodzie szkoły, czy też poza nim.
Więcej o szkołach rejonowych – art. 41 i 42 prawa oświatowego (tj. Dz.U. z 2018 r. poz. 996 ze zm.).
9.
Jak można ogłosić wyniki rekrutacji?
Podobnie jak wiele innych zagadnień związanych z przetwarzaniem danych, i te wynikają z prawa krajowego. Ustawa – Prawo oświatowe precyzuje, że listę przyjętych i nieprzyjętych opracowuje powołana w szkole komisja rekrutacyjna. Wyniki postępowania rekrutacyjnego podaje ona do publicznej wiadomości w formie listy kandydatów zakwalifikowanych i niezakwalifikowanych, zawierającej ich imiona i nazwiska. Lista musi być umieszczona w widocznym miejscu w siedzibie danej placówki. Listy muszą być ułożone tak, by zawierały najniższą liczbę punktów, która uprawnia do przyjęcia.
Więcej: art. 158 ustawy – Prawo oświatowe (tj. Dz.U. z 2018 r. poz. 996 ze zm.).
10.
W mojej szkole zaleca się, by uczniów nie wzywać do tablicy po nazwiskach, tylko po numerach. Tak samo przy czytaniu listy. Czy RODO tego zabrania?
Nie, to prawdopodobnie nadinterpretacja władz szkoły. Zgodnie z ustawą o systemie oświaty i ustawą – Prawo oświatowe szkoła nie potrzebuje zgody, jeśli przetwarza dane uczniów w celach wynikających z tych ustaw, a związanych z nauką i wychowaniem uczniów.
Z tego samego powodu nie ma przeciwwskazań np. do tego, by nazwisko dziecka wyróżniającego się w nauce wyczytać na szkolnej akademii. Wynika to z art. 6 ust. 1 lit. e RODO.
W stosowaniu przepisów RODO nie można zapominać o zdrowym rozsądku. Już preambuła rozporządzenia mówi o tym, że „przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości”. Zgodnie z tym zapisem obrót danymi uczniów nie może dezorganizować pracy szkoły. Aczkolwiek ustawodawca daje tu pewne możliwości manewru. Gdyby jednak w ocenie rodziców lub innych opiekunów prawnych ucznia posługiwanie się jego danymi godziło w jego dobro, mogą oni zgłosić sprzeciw na mocy art. 21 ust. 1 RODO.
11.
Syn brał udział w teście sprawnościowym. Nauczyciel odmówił mi podania jego wyniku. Zasłaniał się RODO, twierdząc, że inni rodzice mogą usłyszeć, jaki mój syn osiągnął rezultat. Czy rozporządzenie zabrania takich rzeczy?
Nie, prawdopodobnie odmówienie informacji wynikało z nieznajomości przepisów lub innych pobudek. W świetle RODO wynik można było podać.
Warto zaznaczyć, że przeprowadzenie sprawdzianu uzdolnień kierunkowych, wysiłkowych, predyspozycji językowych, badania przydatności, sprawdzianu uzdolnień lub predyspozycji do wykonywania danego zawodu, egzaminu wstępnego lub badania uzdolnień kierunkowych jest w trakcie rekrutacji możliwe na mocy przepisów prawa oświatowego.
Art. 134–144 i 157–158 ustawy – Prawo oświatowe (tj. Dz.U. z 2018 r. poz. 996 ze zm.).
12.
W czasie lekcji uczennica zemdlała. Po konsultacji telefonicznej rodzic zdecydował, że może zostać na lekcjach. Po dwóch godzinach dzwoni, by zapytać o samopoczucie dziecka. Czy można udzielić mu informacji przez telefon?
Tak, jednak należy zadbać o to, żeby zidentyfikować, czy to na pewno osoba, za którą się podaje. Mogą do tego służyć pytania o datę urodzenia dziecka, jego znaki szczególne czy to, w co tego dnia było ubrane. Trzeba pamiętać, że szkoła jako administrator danych jest zobowiązana zapewnić, aby dane nie były udostępniane osobom nieupoważnionym. Jeśli osoba odbierająca telefon ma wątpliwości co do tożsamości dzwoniącego, zgodnie z zaleceniami UODO powinna odmówić udzielenia informacji.
Niewłaściwe jest jednak przyjmowanie przez szkołę polityki zupełnego odcięcia kontaktu telefonicznego z rodzicami. A takie sytuacje się zdarzały zaraz po 25 maja, od kiedy RODO jest stosowane. Tymczasem ze względu na dobro ucznia nie powinno dochodzić do sytuacji, w której z góry odmawia się prawnemu opiekunowi lub osobie upoważnionej udzielenia informacji o nagłych zdarzeniach. Jak przekonuje UODO, szkoły powinny być przygotowane, by w każdej chwili móc skontaktować się z rodzicem ucznia. Ma to oparcie w art. 9 ust. 2 lit. c RODO, który pozwala udostępniać dane, jeśli jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą.
13.
Czy można prowadzić gazetkę ścienną z pracami plastycznymi uczniów?
Tak, podobnie jak w przypadku wyczytywania nazwisk uczniów na szkolnych akademiach, takie działanie wynika wprost z prawa oświatowego. Przypomnijmy, że szkoła nie potrzebuje oddzielnej zgody na przetwarzanie danych, kiedy robi to z mocy prawa.
Już w pierwszym artykule ustawy – Prawo oświatowe jest mowa o tym, że system oświaty zapewnia realizację prawa każdego obywatela Rzeczypospolitej Polskiej do kształcenia się oraz prawa dzieci i młodzieży do wychowania i opieki, a także że celem systemu oświaty jest wspieranie dziecka w rozwoju ku pełnej dojrzałości w sferach fizycznej, emocjonalnej, intelektualnej, duchowej i społecznej. Gazetka ścienna z pracami uczniów to w interpretacji UODO narzędzie do realizowania tych funkcji.
Rodzic może jednak z ważnych przyczyn sprzeciwić się takiemu działaniu.
Art. 6 i art. 21 ust. 1 RODO.
14.
Na wywiadówkę przychodzi babcia jednego z chłopców. Czy mogę jej podać informację o jego ocenach?
Tak, o ile wcześniej rodzice upoważnili babcię do uzyskiwania takich informacji. Formą takiego upoważnienia jest na przykład karteczka, na której rodzice zaznaczą, jakie dane nauczyciel może przekazywać babci.
Warto pamiętać, że szkoła nie może pozwolić sobie na to, by udostępnić informacje o uczniu osobom, które nie mają do tego upoważnienia. W dodatku, jak zaleca UODO, zakres przekazywanych informacji nie powinien być szerszy, niż jest to niezbędne do realizacji zadań nałożonych przepisami prawa na podmiot wnioskujący o udostępnienie danych. W tym przypadku – babcię.
Art. 6 ust. 1 lit. c RODO.
15.
Szkoła kupiła szafki dla uczniów, ale dyrektor poprosił, by dzieci zabierały podręczniki do domu, bo są podpisane. Czy można zostawiać w placówce przybory, na których są imiona i nazwiska nieletnich?
Tak, to zapewne nadinterpretacja dyrektora, która może wynikać z tego, że to na nim spoczywa odpowiedzialność za przetwarzanie danych. Wielu z nich woli dmuchać na zimne. Przybory można przechowywać w odpowiednio zabezpieczonych miejscach. Według interpretacji UODO mogą to być szafki, do których uczniowie mają klucze, lub kod, ale też po prostu wyznaczone miejsce w zamykanej sali. Zabezpieczenia powinny zapobiegać dostępowi do danych przez osobę nieuprawnioną, a także chronić je przed uszkodzeniem, zniszczeniem lub utratą.
16.
Czy mogę zamieścić fragment pracy klasowej ucznia w internecie?
Udostępnianie fragmentów prac uczniów to wrażliwa kwestia. Warto się zastanowić, jaki jest cel udostępniania materiału – czy wynika z chęci doskonalenia procesu kształcenia, czy ma dostarczyć innym wyłącznie rozrywki. W tym drugim przypadku lepiej zrezygnować z publikacji. Raz, że wyśmiewanie uczniów stawia nauczyciela w złym świetle. Dwa, że jeśli inni uczniowie rozpoznają, czyj tekst udostępniono, może to powodować roszczenia ze strony rodziców, bo nauczyciel niedostatecznie zadbał w takim przypadku o ochronę danych. Trzy – w przypadku dłuższych tekstów może rodzić to wątpliwości dotyczące praw autorskich.
Jeśli mamy do czynienia z pierwszym celem, materiał może być udostępniony bez zgody rodziców, jeśli nie można zidentyfikować ucznia, który jest autorem pracy. Jak czytamy w preambule RODO, zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych.
Przykładem zgodnego z ochroną danych osobowych udostępniania fragmentów prac są choćby sprawozdania Centralnej Komisji Egzaminacyjnej z przebiegu egzaminów. CKE szczegółowo omawia wyniki, ilustrując je przykładami z arkuszy rozwiązywanych przez uczniów. Zamieszczone fragmenty odpowiedzi służą procesowi dydaktycznemu, a autorów rozwiązań praktycznie nie da się zidentyfikować.
Więcej: par. 26 preambuły RODO.
17.
Rodzice życzą sobie, abym o życiu klasy informował ich drogą e-mailową. Założyli nawet w tym celu specjalną grupę. Czy mogę prowadzić z nimi taką korespondencję?
Tak, jeśli rodzice wyrażają na nią zgodę. Niemniej warto pamiętać, że prowadzenie korespondencji e-mailowej nie jest najbezpieczniejszym kanałem komunikacji. Jeśli już nauczyciel decyduje się na taką drogę, według wytycznych UODO powinien robić to ze służbowego adresu szkoły, dbając o odpowiednie zabezpieczenie danych osobowych udostępnianych w przesyłanych wiadomościach. Zaleca się jednak korzystanie z rozwiązań przeznaczonych dla szkół, np. e-dziennika.
Więcej o zapewnianiu bezpieczeństwa danych: art. 32 RODO.
18.
Czy na mocy RODO prowadzenie e-dziennika jest legalne?
Tak. Wykorzystanie elektronicznego dziennika jest uregulowane rozporządzeniem MEN. Pozwala ono nawet na to, by w szkole korzystać wyłącznie z takiej formy dokumentacji. E-dziennik może dostarczyć na mocy umowy zewnętrzny podmiot. Trzeba z nim podpisać umowę określającą m.in.: przedmiot i czas trwania przetwarzania danych, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Zgodnie z RODO, jeśli administrator danych korzysta z usług podmiotów przetwarzających, muszą one zapewniać wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Więcej: rozporządzenie ministra edukacji narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2017 r. poz. 1646); art. 28 RODO.
19.
Mój dyrektor wywiesza codziennie listę zastępstw. Są na niej umieszczone imiona i nazwiska nauczycieli, których nie będzie tego dnia, oraz tych, którzy ich zastępują. Czy to zgodne z RODO?
Tak, ale pod pewnymi warunkami. Dyrektor z mocy prawa, wykonując swoje obowiązki, jest zobowiązany wyznaczać zastępstwa za nieobecnych nauczycieli. W celu poprawnej organizacji pracy szkoły powinien też informować o harmonogramie członków szkolnej społeczności, nawet nie uzyskując osobnej zgody na przetwarzanie danych nauczycieli, których sprawa dotyczy. Niemniej liczba udostępnionych informacji powinna być ograniczona do niezbędnego minimum.
Dla przykładu – dyrektor może poinformować, że 20–21 września nauczyciel Jan Kowalski będzie nieobecny, a jego dwie godziny lekcyjne dziennie przejmie Marta Nowak. Taka wiadomość wystarczy do poprawnego funkcjonowania placówki. Nie powinien natomiast dodawać, że Kowalski ma na te dni urlop z powodu śmierci matki. Zawsze należy pamiętać, że informacja udzielana o osobie powinna być adekwatna, stosowna oraz ograniczona do tego, co niezbędne do celów, w których jej dane są przetwarzane.
Listę zastępstw można też opublikować w internecie. Trzeba jednak pamiętać, że przetwarzanie danych jest możliwe tak długo, jak to jest niezbędne. Kiedy więc minie dzień z wyznaczonym zastępstwem, informację ze strony szkoły należy usunąć.
Więcej o zasadzie minimalizacji: art. 5 ust. 1 pkt c RODO, o zastępstwach doraźnych: rozdz. 5 ustawy – Karta nauczyciela (Dz.U. z 1982 r. nr 3, poz. 19).
20.
W szkole mojego dziecka jest gabinet pielęgniarki. Gromadzi ona o nim bardzo wiele danych. Kto za nie odpowiada?
To jeden z niewielu przypadków, w których odpowiedzialnością nie jest obciążony dyrektor szkoły. Do jego obowiązków należy wyłącznie zapewnienie uczniom opieki zdrowotnej przez podpisanie umowy z podmiotem świadczącym tego typu usługi. Pielęgniarka czy higienistka pozostają pracownikami tego podmiotu, a obowiązek właściwego przechowywania dokumentacji medycznej ciąży na nich. Innymi słowy: to one są administratorem danych ucznia.
Dokumentację medyczną przechowuje się w gabinecie profilaktyki zdrowotnej znajdującym się w szkole, w czasie kiedy dziecko jest jej uczniem. W przypadku przeniesienia go przez rodziców do innej placówki odbierają oni dokumentację i dostarczają do gabinetu działającego w szkole docelowej. Gdy uczeń kończy edukację, pielęgniarka lub higienistka szkolna przekazują dokumentację lekarzowi rodzinnemu.
Więcej: ustawa o prawach pacjenta i rzeczniku praw pacjenta (Dz.U. z 2009 r. nr 52 poz. 417).
21.
Podczas spotkania w sprawie reformy edukacji odpowiedzialny za oświatę wiceburmistrz poprosił o wgląd w akta osobowe nauczycieli. Czy jako dyrektor powinienem je udostępnić?
Nie. Samorząd nie powinien mieć wglądu w akta pracowników szkoły, w tym: nauczycieli, pedagogów, asystentów nauczycieli. Ich pracodawcą i zwierzchnikiem jest dyrektor placówki i to on jest uprawniony do zaglądania w dane pracowników. Na mocy ustawy – Prawo oświatowe samorząd ma jedynie dostęp do danych osobowych nauczycieli zawartych w arkuszu organizacyjnym szkoły. To między innymi: imiona, nazwiska, stopnie awansów zawodowych, rodzaj prowadzonych przez nich zajęć. Arkusz organizacyjny szkoły podlega także ustawie o dostępie do informacji publicznej.
Jeśli chodzi o dane osobowe, samorząd ma dostęp do informacji o dyrektorze, bo jest on dla niego pracodawcą. Jak zwraca uwagę UODO, organ prowadzący nie powinien także mieć dostępu do danych uczniów zawartych w dokumentacji prowadzonej przez szkołę, które odnoszą się do indywidualnych problemów psychologicznych czy pedagogicznych.
Więcej: art. 110 ustawy – Prawo oświatowe (Dz.U. z 2017 r. poz. 59, t.j. Dz.U. z 2018 r. poz. 996), rozporządzenie ministra edukacji narodowej w sprawie szczegółowej organizacji publicznych szkół i publicznych przedszkoli (Dz.U. z 2017 r. poz. 649), art. 1, 4 i 6 ustawy o dostępie do informacji publicznej (Dz.U. z 2001 r. nr 112, poz. 1198).
22.
Chciałabym zobaczyć, jakie dane o mnie i moim dziecku zgromadziła szkoła. Czy mam do tego prawo?
Tak. Administrator danych osobowych, czyli w przypadku szkoły dyrektor, na wniosek osoby, której informacje dotyczą, musi udostępnić ich kopię. Jeśli są one związane z nieletnim, z wnioskiem o to występują opiekunowie. Oprócz danych osobowych są przekazywane takie informacje, jak m.in. cel przetwarzania danych, o ich odbiorcach lub kategoriach odbiorców, którym dane zostały lub będą ujawnione, w miarę możliwości planowany okres ich przechowywania. Dostęp do danych to jedna z ważniejszych gwarancji wynikających z RODO, mająca zapewnić możliwość weryfikacji, czy są one przetwarzane zgodnie z prawem.
Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę. Jak określa RODO, może ona być naliczona „w rozsądnej wysokości wynikającej z kosztów administracyjnych” (czyli np. koszt obsługi maszyny do ksero). Informacje mogą być przekazane również drogą elektroniczną.
Więcej o danych, do których możemy mieć dostęp: art. 15 ust. 3 RODO.
23.
Zdjęcia z życia poszczególnych klas umieszczane są w internetowym albumie, do którego dostęp ma każdy, kto wejdzie na stronę WWW. Czy to legalne?
Tak, ale co do zasady tylko po uzyskaniu zgody osób, które są na zdjęciach (lub w przypadku niepełnoletnich uczniów – opiekunów prawnych). Publikacja fotografii na stronie internetowej szkoły nie jest realizacją jej ustawowego zadania. Nie jest też zagadnieniem związanym stricte z ochroną danych osobowych, ale dotyczy ochrony wizerunku. Kwestie w tym zakresie regulują ustawa o prawie autorskim i prawach pokrewnych oraz kodeks cywilny.
Na mocy tych przepisów na dyrektorze placówki ciąży obowiązek uzyskania zgody dla każdorazowego użycia zdjęcia danej osoby (np. kiedy raz chce wykorzystać zdjęcie na stronie internetowej, a później ponownie w działaniach marketingowych szkoły). Trzeba przy tym pamiętać, że zgodnie z RODO osoba, której dane dotyczą, ma prawo cofnąć zgodę na rozpowszechnianie jej wizerunku w dowolnym momencie. Wyrażając zgodę, musi zostać poinformowana o tym uprawnieniu, a odwołanie pozwolenia musi być tak samo łatwe, jak jego wyrażenie.
Jak zaleca UODO, dobrą praktyką byłoby poinformowanie przez szkołę na początku roku szkolnego uczniów i rodziców o planowanych zdjęciach i ich ewentualnym wykorzystywaniu. Takie informacje przekazane np. na zebraniu z rodzicami dadzą możliwość uniknięcia ewentualnych nieporozumień, a także umożliwią rodzicom zgłoszenie sprzeciwu wobec planowanej przez szkołę formy przetwarzania danych.
Od konieczności uzyskania zgody na publikację wizerunku istnieją dwa odstępstwa: jeśli fotografowana osoba jest powszechnie znana, a jej wizerunek wykorzystano w związku z pełnieniem przez nią funkcji publicznych oraz jeśli na zdjęciu twarz osoby jest jedynie szczegółem całości takiej jak zgromadzenie, krajobraz, publiczna impreza. Oznacza to, że jeśli fotografujemy szkolny piknik, gdzie na zdjęciu widać wielu uczniów, albo szkołę odwiedza w czasie rozpoczęcia roku np. burmistrz miasta, nie trzeba uwiecznionych prosić o zgodę na publikację wizerunku. Ważne jest jednak, by zdjęcie nie naruszało dóbr osobistych przedstawionych na nim osób oraz ich prawa do prywatności.
Więcej: art. 81 ust. 1 ustawy o prawie autorskim i prawach pokrewnych (Dz.U. z 1994 r. nr 24, poz. 83), art. 23 kodeksu cywilnego, art. 7 RODO.
24.
Mój syn startuje w olimpiadzie matematycznej. Czy jeśli zajmie wysokie miejsce, jego zdjęcie i informacje o jego wyniku mogą być opublikowane przez organizatorów w internecie?
Tak, o ile rodzic wyrazi na to zgodę. W tym przypadku administratorem danych nie jest dyrektor szkoły, ale organizator olimpiady (to samo dotyczy innych zawodów, np. sportowych). To on powinien zadbać o to, by zgłoszenie do konkursu zawierało jasne i rzetelne klauzule informacyjne, a także by sposób, w jaki korzysta z danych, był zgodny z RODO. Trzeba pamiętać, że wymagana w takich sytuacjach zgoda na przetwarzanie danych osobowych musi odnosić się do każdego rodzaju operacji przetwarzania, w tym – jeżeli jest to przewidywane – do rozpowszechniania.
W przypadku wizerunku, tak jak w przypadku publikowania zdjęć przez szkołę, należy uzyskać zgodę zainteresowanego albo jego opiekunów prawnych (w przypadku niepełnoletnich).
Art. 5 oraz art. 7 RODO, art. 81 ust. 1 ustawy o prawie autorskim i prawach pokrewnych (Dz.U. z 1994 r. nr 24, poz. 83), art. 23 kodeksu cywilnego.
25.
Nauczyciel przypadkowo przesłał informacje o sytuacji jednego z uczniów do wszystkich rodziców. Przeprosił i poprosił o wykasowanie wiadomości. Czy RODO nakazuje szkole zrobić coś jeszcze?
To zależy, jakie dane udostępniono. O naruszeniu danych osobowych na pewno powinna być poinformowana osoba, której one dotyczą. Dodatkowo na mocy RODO administrator danych musi zgłaszać naruszenia ochrony danych osobowych prezesowi Urzędu Ochrony Danych Osobowych. Rozporządzenie definiuje naruszenie ochrony danych osobowych jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Przypadkowe udostępnienie danych ucznia to naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie.
Zgłoszenie do prezesa UODO powinno nastąpić w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Nie trzeba tego robić, jeśli jest mało prawdopodobne, żeby naruszenie powodowało uszczerbek w prawach lub wolnościach osób fizycznych. W przypadku przesłania np. oceny ucznia ze sprawdzianu wydaje się, że można uchylić się od tego obowiązku.
Bez względu na obrót sprawy na mocy RODO dyrektor dokumentuje wszelkie naruszenia ochrony danych osobowych. W dokumentacji powinny znaleźć się okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania przepisów.
Więcej o obowiązku zgłaszania naruszeń ochrony danych osobowych: art. 33 i 34 RODO.
26.
Organizuję bal absolwentów mojego liceum. Czy dyrektor może udostępnić mi dane kontaktowe do kolegów?
Nie, w świetle RODO domyślnie nie powinien tego robić. Dyrektor szkoły może udostępnić absolwentowi szkoły dane innych byłych uczniów tylko wtedy, gdy wcześniej te osoby wyrażą na to zgodę. Zaproszenia mogą im natomiast przesłać pracownicy szkoły, którzy uprawnieni są do przetwarzania ich danych.
Więcej: art. 6 ust. 1 lit. a RODO.
27.
Córka bierze udział w konkursie organizowanym przez wydawnictwo. W zgodzie na jej udział trzeba zaznaczyć, że zgadzam się na przesyłanie ich oferty marketingowej – inaczej dziecko nie zostanie przyjęte. Czy to legalne?
Nie. W myśl RODO wykonanie umowy czy świadczenie usługi nie może być uzależnione od wyrażenia zgody na przetwarzanie danych osobowych, które nie są niezbędne do wykonania tej umowy. Tak byłoby w tym przypadku. Wątpliwości w konkretnych przypadkach można rozwiać, przesyłając pytanie do Urzędu Ochrony Danych Osobowych na adres
zas@uodo.gov.pl.
28.
Od początku roku szkolnego ciągle podpisuję na coś zgody. Czy to konieczne?
To zależy. Jeśli szkoła dotychczas postępowała z danymi uczniów ostrożnie i z uwzględnieniem przepisów prawa państwowego, prawdopodobnie zbierane przez nią zgody nie będą musiały zostać zdublowane (np. zgoda na publikację wizerunku dziecka). Jeśli jednak dopiero przy okazji wejścia w życie RODO dyrektor opracowuje politykę zarządzania danymi i dostosowuje się do prawa, zgody mogą być konieczne ze względu na organizację pracy placówki. Zgody na przetwarzanie danych muszą realizować wymagania określone w art. 7 RODO.
29.
Jestem polonistką, tygodniowo sprawdzam 30 wypracowań lub klasówek. Robiłam to w domu. Czy mogę nadal?
Tak, jednak pod pewnymi warunkami. Zgodnie z art. 32 RODO, „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”. Wynoszenie ze szkoły klasówek stwarza ryzyko ujawnienia danych uczniów, np. w przypadku zgubienia teczki z ich pracami. Nauczyciel musi więc zadbać o to, by klasówki odpowiednio zabezpieczyć. W sytuacji idealnej dyrektor powinien wprowadzić odpowiednie zapisy do regulaminu szkoły. Tak, by dla wszystkich zasady sprawdzania poza szkołą były jednakowe i jasne.
Warto pamiętać, że inni domownicy nie są uprawnieni do przetwarzania danych uczniów. Choć więc czasem nauczyciela kusi, by pokazać im fragment pracy ucznia, lepiej z tego zrezygnować.
Inaczej sprawa ma się z dziennikami lekcyjnymi i arkuszami ocen. Dyrektorzy zwykle nie zgadzają się na to, by wynosić je poza szkołę. To może być uzasadniona praktyka – szkoda wynikająca z zagubienia, zniszczenia czy przekazania ich w nieodpowiednie ręce byłaby nieporównanie wyższa niż zagubienie klasówek. Choć więc nie jest to zabronione, może nie być częścią praktyki szkolnej.
Więcej na temat bezpieczeństwa danych: art. 32 RODO.
30.
Co grozi dyrektorowi, który nie przestrzega postanowień RODO?
Skala konsekwencji w rozporządzeniu jest szeroka. Dyrektor jako administrator danych osobowych może otrzymać ostrzeżenie lub upomnienie od UODO. Urząd może też nakazać mu spełnienie roszczeń osoby, która zgłasza pretensje do sposobu przetwarzania jej danych, albo nakazać mu dostosowanie się do wymaganych przez RODO procedur. Może też nałożyć na dyrektora karę pieniężną. ©℗