Podstawy do przetwarzania danych w szkołach i innych placówkach edukacyjnych wynikają najczęściej z prawa oświatowego. Najrzadziej występującą przesłanką jest zgoda. W dobie COVID-19 nabiera jednak ona szczególnego znaczenia

Realizując zadania dydaktyczne, wychowawcze i opiekuńcze jednostki organizacyjne wchodzące w skład systemu oświaty przetwarzają dwa typy danych: zwykłe i o szczególnej kategorii [ramka 1]. RODO nie różnicuje znacząco obowiązków organizacyjnych w zakresie ochrony danych w zależności od tego, do której kategorii należą, lecz podstawę prawną ich przetwarzania już tak.

Ramka 1

Dwa rodzaje informacji w szkole

Zwykłe dane osobowe to m.in.:

• imię i nazwisko, PESEL, adres zamieszkania, wiek, oddział

• informacje o osobach upoważnionych do odbioru dziecka

informacja o postępach w nauce

informacja o udziale w konkursie

• frekwencja

Dane szczególnej kategorii to np.:

• informacje o stanie zdrowia (alergiach, chorobach, konieczności podawania leków)

• informacja o niepełnosprawności

• informacje o dysleksji, dyskalkulii, dysgrafii itp.

• informacja o ograniczonej możliwości uczestniczenia w zajęciach ruchowych

• orzeczenie o niepełnosprawności, orzeczenie o potrzebie kształcenia specjalnego

Przesłanką legitymizującą przetwarzanie danych zwykłych w przypadku placówek edukacyjnych będzie najczęściej art. 6 ust. 1 lit. c RODO w związku z prawem oświatowym i rozporządzeniem w sprawie sposobu prowadzenia przez nie dokumentacji przebiegu nauczania oraz art. 6 ust. 1 lit. e RODO. Stanowi on, że przetwarzanie jest zgodne z prawem m.in. wtedy, gdy jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Przykładem takiego działania może być np. zorganizowanie szkolnej stołówki.

Efekt epidemii

W czasie COVID-19 katalog przetwarzanych danych może ulec rozszerzeniu o te informacje, które są niezbędne do tego, by placówki oświatowe mogły się wywiązać z wytycznych resortów edukacji i zdrowia oraz sanepidu. Przy czym sposób spełnienia wymagań sanitarnych może mieć różny wymiar praktyczny z uwagi na ogólny charakter wymagań czy zaleceń MEN, MZ i GIS. Analizując już wydane wytyczne i to, jak postępują placówki oświatowe, wyraźnie widać, że wiele z nich opiera się na zgodzie – jako przesłance przetwarzania danych. Tak jest choćby w przypadku pomiaru temperatury czy zbierania danych w kwestionariuszu z objawami chorobowymi.

Zgoda, by mogła być podstawą przetwarzania danych, musi spełniać odpowiednie wymagania. W przeciwnym razie może zostać zakwestionowana jako podstawa do przetwarzania danych osobowych. Pojęcie zgody osoby, której dotyczą dane, definiuje art. 4 pkt 11 RODO, określający zgodę jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Zgoda udzielona przed rozpoczęciem przetwarzania danych osobowych powinna być:

wyrażona wprost,
określać osobę, która zgody udziela oraz której dane osobowe mają być udostępnione.

Osoby te muszą wiedzieć, komu udzielają zgody na przetwarzanie danych, jaki jest ich zakres. Powinny też wiedzieć, przez jaki okres i w jakim celu dane te będą przetwarzane.

Niezbędny zakres

Zgodnie z obowiązującym od 4 maja 2019 r. art. 30a prawa oświatowego tzw. inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów. Ale dla uznania skuteczności przetwarzania danych podstawa prawna – na jakiej się to robi – w każdym przypadku musi zostać zestawiona z konkretnym zadaniem ustawowym. Będzie to np. art. 150 prawa oświatowego, w którym zawarty jest katalog informacji pobieranych na etapie składania wniosku o przyjęcie do placówki.

Na zakres danych pozyskiwanych na dalszym etapie, np. zawierania umów o świadczenie usług przedszkolnych, zwrócił niedawno uwagę prezes Urzędu Ochrony Danych Osobowych. W komunikacie z 19 sierpnia 2020 r. wskazał, że pozyskiwanie informacji ponadwymiarowych (w tym przypadku chodzi m.in. o PESEL rodziców, miejsce ich zatrudnienia czy informacje o stanie zdrowia dziecka) stanowi naruszenie nie tylko prawa oświatowego, lecz także zasad zawartych w art. 5 RODO (m.in. legalizmu, proporcjonalności i minimalizacji). Przy czym informacja dotycząca zawodu rodziców oraz miejsca ich pracy należy do tzw. zwykłych danych osobowych, których przetwarzanie jest możliwe, gdy spełniona jest co najmniej jedna z przesłanek określonych w art. 6 ust. 1 RODO, np. w sytuacji wypadku dziecka w placówce i gdy nie ma innej możliwości kontaktu z rodzicem.

wAŻNE By podczas pobytu dziecka w szkole czy przedszkolu zapewnić mu właściwą opiekę i wyżywienie, rodzic przekazuje dyrektorowi uznane przez niego za istotne dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym dziecka. Odbywa się to na zasadzie dobrowolności.

Szczególnej kategorii

W przypadku takich danych zasadą jest zakaz ich przetwarzania, chyba że jest spełniona jedna z przesłanek wymienionych w art. 9 ust. 2 RODO. Europejska Rada Ochrony Danych w wytycznych z 4 maja 2020 r. – dotyczą zgody – wskazała, że administratorzy, chcąc przetwarzać szczególne kategorie danych osobowych, w pierwszej kolejności powinni zbadać konkretne wyjątki przewidziane w art. 9 ust. 2 lit. b–j RODO. Jeżeli żaden z nich nie będzie miał zastosowania, wówczas jedyną możliwą przesłanką uprawniającą do przetwarzania takich danych jest uzyskanie wyraźniej zgody spełniającej przewidziane w RODO warunki.

W zakresie danych osobowych szczególnej kategorii prawo oświatowe (art. 155) zawiera regulację, która stanowi, że w celu zapewnienia dziecku podczas pobytu w placówce odpowiedniej opieki, odżywiania oraz metod opiekuńczo-wychowawczych rodzic przekazuje dyrektorowi uznane przez niego za istotne dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym. Takie przekazanie danych jest oparte na zasadzie dobrowolności po stronie rodziców i opiekunów.

Informacje o stanie zdrowia przetwarzają także poradnie psychologiczno-pedagogiczne podczas diagnozowania oraz udzielania dzieciom i młodzieży bezpośredniej pomocy. Wówczas za podstawę przetwarzania szczególnych kategorii danych osobowych można uznać art. 9 ust. 2 lit. g RODO. O takiej interpretacji przesądził też w stanowisku z 10 sierpnia 2020 r. prezes UODO. Wskazał ponadto, że jest to sytuacja, w której przetwarzanie danych jest niezbędne ze względów związanych z ważnym interesem publicznym i jest proporcjonalne do wyznaczonego celu, ponadto nie narusza istoty prawa do ochrony danych i przewiduje odpowiednie – konkretne – środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. W przypadku tej przesłanki niezbędne jest jednak wskazywanie dodatkowo przepisów konkretyzujących zadania poradni. Są one zawarte w prawie oświatowym oraz rozporządzeniach wykonawczych do niego. Przepisy te wskazują, iż w określonych sytuacjach – np. gdy naukę w szkole ma rozpocząć sześciolatek albo gdy opiekunowie wnioskują o nauczanie indywidualne – niezbędne jest przedstawienie opinii lub orzeczenia wydanego przez poradnię psychologiczno pedagogiczną.

Przetwarzanie przez jednostkę systemu oświaty danych osobowych zawartych w orzeczeniu lub opinii następuje także wtedy, gdy rodzice podejmują decyzję, że złożą orzeczenie lub opinię poradni psychologiczno-pedagogicznej w tej jednostce, do której uczęszcza ich dziecko. Zgodnie z par. 6 ust. 2 rozporządzenia w sprawie szczegółowych zasad działania publicznych poradni psychologiczno-pedagogicznych na pisemny wniosek rodziców dziecka, którego dotyczy opinia, albo pełnoletniego ucznia poradnia przekazuje kopię dokumentu do placówki, w której się uczy lub przebywa. Oznacza to, że dane są przekazywane między ww. administratorami na podstawie zgody rodziców albo pełnoletniego ucznia. Udzielenie zgody może zmaterializować się w ramach składanego wniosku, który powinien odpowiadać warunkom wyrażenia zgody przewidzianym w art. 4 pkt 11 w związku z art. 7 RODO.

Inaczej podstawa prawna przetwarzania danych szczególnej kategorii ukształtowana jest w sytuacji, gdy dyrektor w ramach swojej placówki zapewnienia pomoc dziecku przez odpowiednich specjalistów, którzy przy jej udzielaniu prowadzą jednocześnie dokumentację zawierającą dane ucznia. Wówczas udzielenie pomocy psychologiczno-pedagogicznej dziecku w tej szkole czy przedszkolu jest realizacją systemowych zadań tej placówki, nałożonych przepisami prawa. Dlatego podstawą legalizującą ich przetwarzanie nie jest zgoda.

Ramka 2

Najczęstsze błędy ©℗

• Przetwarzane dane nie odpowiadają celowi, dla którego są zbierane, i są do tego celu nieadekwatne, bo następuje pozyskiwanie zbyt dużego zakresu danych osobowych – np. żądanie nr PESEL rodziców w umowie o świadczenie usług przedszkolnych; nie są niezbędne do zawarcia umowy, a są zbierane na wypadek działań związanych z egzekucją opłat.

• Niewystarczający poziom spełnienia obowiązków informacyjnych – np. ogólna klauzula informacyjna powieszona na stronie internetowej, w sytuacji zbierania danych na drukach i formularzach dotyczących np. organizowania konkursu, uczestnictwa w projektach, niezaopatrzonych w żadną klauzulę informacyjną.

• Brak realizacji obowiązku informacyjnego z art. 14 RODO – w sytuacji zbierania danych o osobach upoważnionych do odbioru dzieci innych niż rodzice.

• Publikowanie wizerunku nauczycieli, absolwentów lub uczniów bez zgody, np. w celach promocyjnych.

Tu interweniował UODO

• Zbieranie danych biometrycznych dzieci, odcisku palca, bez podstawy prawnej z naruszeniem zasady minimalizacji (placówka otrzymała karę 20 tys. zł kary).

• Przetwarzanie danych osób niepełnoletnich w celach pozaszkolnych, np. za pomocą formularza ankietowego w badaniu dotyczącym sytuacji rodziny (uczniowie mieli podać m.in. informacje o stanie rodziny, śmierci czy separacji opiekunów prawnych, ich wykształceniu i sytuacji zawodowej czy materialnej).

!Jeżeli brak zgody na przetwarzanie danych osobowych będzie stanowił przeszkodę w realizacji obowiązków, które nie wynikają wprost z wytycznych MEN, MZ i GIS, a związane są z zapewnieniem odpowiednich reżimów sanitarnych, wówczas placówki oświaty będą musiały występować do GIS o wydanie odpowiedniej decyzji umożliwiającej żądanie takich informacji.

©℗

Podstawa prawna:

• art. 4 pkt 11, art. 6 ust. 1 lit. c, lit. e, art. 9 ust. 1 i 2 RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),

• art. 150, art. 155 ustawy z 14 grudnia 2016 r. – Prawo oświatowe (t.j. Dz.U. z 2020 r. poz. 910; ost. zm. Dz.U. z 2020 r. poz. 1378),

• rozporządzenie ministra edukacji narodowej z 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkole, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2017 r. poz. 1646),

• par. 6 ust. 2 rozporządzenia ministra edukacji narodowej z 1 lutego 2013 r. w sprawie szczegółowych zasad działania publicznych poradni psychologiczno-pedagogicznych, w tym publicznych poradni specjalistycznych (Dz.U. z 2013 r. poz. 199).

Magdalena Czaplińska
radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p.