Rozpoczął się nowy rok szkolny, a wraz z nim prawdziwy test dla dyrektorów i nauczycieli. Okaże się, czy w ich placówkach przestrzega się przepisów dotyczących danych osobowych.
dr Edyta Bielak-Jomaa prezes Urzędu Ochrony Danych Osobowych / Dziennik Gazeta Prawna
RODO, czyli unijne rozporządzenie o ochronie danych osobowych (nr 2016/679 z 27 kwietnia 2016 r.; Dz.Urz. UE z 2016 r. L 119, s. 1) zaczęło być stosowane od 25 maja, czyli na chwilę przed wakacjami. To spowodowało, że miały one nieco więcej czasu niż inne podmioty na zmianę procedur.
Szkoła jest administratorem wielu danych osobowych – swoich pracowników, uczniów, a nawet rodziców. Musi więc m.in. stosować odpowiednie środki techniczne i organizacyjne, by te informacje zabezpieczyć, wypełniać obowiązki informacyjne, a w przypadku kontroli wykazać, że przestrzega zasad określonych przez unijne przepisy.
– Jesteśmy przekonani, że mamy właściwie skonstruowane przepisy oświatowe dotyczące przetwarzania danych osobowych. Zdajemy sobie jednak sprawę, że praktyczne ich stosowanie może wywoływać wiele wątpliwości – przyznaje Anna Zalewska, minister edukacji narodowej.
Przedstawiamy więc odpowiedzi na pytania, które mogą się pojawić się w związku z RODO w codziennych sytuacjach w szkole.

PYTANIA I ODPOWIEDZI

Czy organ prowadzący ma dostęp do wszystkich danych osobowych gromadzonych przez szkołę?
NIE W kontekście RODO rozróżnienie pojęć – szkoła i organ prowadzący – ma istotne znaczenie. Organem prowadzącym jest minister, jednostka samorządu terytorialnego, inne osoby prawne i fizyczne. Nie pełni on jednak roli administratora danych osobowych. Jest nim szkoła, którą reprezentuje dyrektor. Organ prowadzący nie może uzyskać automatycznie dostępu do wszystkich danych osobowych gromadzonych przez szkołę, mimo że jest ona jednostką mu podlegającą. Żądanie takie szkoła powinna najpierw przeanalizować od strony prawnej, a same dane przekazać dopiero wtedy, gdy ustali, że są one organowi prowadzącemu niezbędne, np. by przeprowadzić kontrolę jednostki.
Czy obowiązek informacyjny dotyczy wszystkich placówek?
TAK Obowiązek informacyjny to konieczność przekazania osobie fizycznej informacji na temat przetwarzania jego danych osobowych (zakresu, celu, sposobach itp.). Wokół jego wypełniania przez sektor publiczny narosło sporo wątpliwości. Zarówno bowiem przepisy RODO, jak i ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) przewidują zwolnienia dla podmiotów publicznych z realizacji tego obowiązku. W praktyce nie będą one jednak dotyczyły szkół. Dlaczego? Bo w zdecydowanej większości przypadków pozyskują one dane bezpośrednio od osób fizycznych na etapie rekrutacji i później – w toku codziennej działalności, np. na zebraniach z rodzicami. To zdecydowanie prostsza sytuacja niż wtórne uzyskiwanie danych, czyli od innego podmiotu. Szkoły powinny więc spełniać obowiązek informacyjny, np. umieszczając stosowne klauzule informacyjne w formularzach rekrutacyjnych czy też dokumentach, które rodzice wypełniają w czasie roku szkolnego. Zakres niezbędnych do przekazania informacji o przetwarzaniu danych osobowych określa art. 13 RODO.
Czy szkoła odpowiada za dane gromadzone przez pielęgniarkę?
NIE Zgodnie z przepisami uczniowie w szkole objęci są podstawową opieką zdrowotną. Na dyrekcji spoczywa obowiązek zapewnienia dzieciom dostępu do gabinetu profilaktyki medycznej z pielęgniarką bądź higienistką. Jest on tworzony na mocy porozumienia z podmiotem leczniczym. I to właśnie ten podmiot, a nie szkoła, odpowiada za prowadzenie dokumentacji medycznej i zgodne z prawem przetwarzanie zawartych w niej zawartych. W związku z tym to podmiot leczniczy jest administratorem tych danych i ponosi związaną z tym odpowiedzialność. Dokumentacja medyczna uczniów jest przechowywana w gabinecie profilaktyki zdrowotnej znajdującym się w szkole przez okres pobierania przez nich nauki. Jeżeli określony podmiot leczniczy kończy współpracę z placówką oświatową, to przekazuje dokumentację swojemu następcy, a nie dyrektorowi szkoły.
Czy dyrektor powinien zakazać nauczycielom wynoszenia klasówek do domu?
TAK Szkoła jest zobowiązana zapewnić bezpieczeństwo przetwarzania danych osobowych poprzez wdrożenie środków technicznych i organizacyjnych odpowiadających występującemu ryzyku. Czasem wystarczą proste środki, aby np. uniemożliwić osobom nieuprawnionym dostęp do danych. Wynoszenie przez nauczycieli dzienników lekcyjnych czy też sprawdzianów poza szkołę stwarza ryzyko naruszenia ochrony danych osobowych poprzez ich utratę, zniszczenie, zmianę treści czy też udostępnienie osobom nieupoważnionym, jak np. domownicy nauczyciela. Jeżeli dyrektor szkoły zgodzi się na praktykę wykonywania przez nauczycieli obowiązków służbowych poza szkołą (np. sprawdzanie klasówek), to tak naprawdę nie ma pewności, co poza murami szkoły dzieje się z materiałami zawierającymi dane osobowe, za które jako administrator tych danych odpowiada.
Czy szkoła może przez telefon przekazać rodzicowi informacje na temat dziecka?
TAK Rodzice są uprawnieni do pozyskiwania informacji na temat swoich dzieci. Problem polega na tym, że w rozmowie telefonicznej pracownik szkoły nie ma pewności, czy rzeczywiście rozmawia z rodzicem określonego ucznia. Dlatego też, przed przekazaniem jakichkolwiek informacji, może dokonać weryfikacji dzwoniącego, np. pytając o imię i nazwisko dziecka, jego wiek, imiona rodziców, w której jest klasie, a nawet w co jest ubrane danego dnia. Szkoła ma prawo udzielać przez telefon również informacji dotyczących sytuacji nagłych, jak wypadki.
Czy szkoła może wykorzystywać nazwisko nauczyciela?
TAK Szkoła, jako pracodawca nauczyciela, ma prawo posługiwać się jego nazwiskiem, nawet bez jego zgody, o ile jest to niezbędne do prawidłowego funkcjonowania placówki oświatowej. Przykładem takiej sytuacji może być konieczność poinformowania uczniów albo ich rodziców o tym, kto zastąpi nieobecnego nauczyciela.
Czy można publikować nazwiska wyróżnionych uczniów?
TAK Należy pamiętać, że zgoda ucznia lub rodzica nie jest jedyną przesłanką legalizującą przetwarzanie danych osobowych przez szkołę. Oznacza to, że placówka oświatowa może wykorzystywać dane również w oparciu o inne podstawy prawne. Tak jest w tym przypadku. Praktyka umieszczania na tablicach na terenie szkoły prac uczniów czy też informacji o ich wyróżnieniu w konkursach wraz z podaniem takich danych dzieci, jak imiona, nazwiska i wiek, jest związana z zadaniem realizowanym przez placówkę oświatową w interesie publicznym, ponieważ szkoła ma zapewniać każdemu uczniowi warunki niezbędne do kształcenia się oraz do jego wychowania i opieki. A wówczas nie trzeba pytać o zgodę. Należy jednak pamiętać, że jeżeli rodzice uznają, iż wystawienie prac uczniów godzi w dobro ich dzieci, mogą oni skorzystać z uprawnienia do złożenia sprzeciwu przetwarzania danych osobowych z przyczyn związanych ze szczególną sytuacją takiego ucznia.
Czy można publikować zdjęcia dzieci na stronie internetowej szkoły bez zgody rodziców?
NIE Część placówek oświatowych publikuje na swoich witrynach internetowych informacje o wybitnych uczniach nagrodzonych w olimpiadach i konkursach szkolnych. Często towarzyszy temu upublicznianie wizerunku. W takim przypadku niezbędne jest uzyskanie zgody rodzica na publikację zdjęcia dziecka. Jeśli uczeń jest pełnoletni, to zgodę powinno otrzymać się od samego zainteresowanego. Zgoda musi być całkowicie dobrowolna. Może być także w każdym czasie wycofana. Konieczność jej uzyskania wynika zarówno z RODO, jak i ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz.U. z 2018 r. poz. 1191 ze zm.), która reguluje problematykę wykorzystywania wizerunku osób fizycznych. Przepisy te wskazują, że zezwolenia na publikację nie wymaga rozpowszechnianie zdjęć osoby stanowiącej jedynie szczegół większej całości, jak np. zgromadzenie.
Czy podpisane podręczniki uczniowie mogą zostawiać w szkole?
TAK Nie ma przeszkód ku temu, aby placówka oświatowa zastosowała tego typu ułatwienie dla uczniów. Jeśli jednak książki są podpisane imieniem, nazwiskiem i numerem klasy, musi przyjąć takie rozwiązania, które zapobiegną dostępowi do nich osób nieuprawnionych. Można więc zabezpieczyć dane osobowe znajdujące się na podręcznikach przez umożliwienie uczniom korzystania z indywidualnych szafek zamykanych na klucz. W przypadku młodszych dzieci rozwiązaniem może być przechowywanie książek w specjalnej szafce w sali lekcyjnej. Po zakończeniu zajęć szafkę na klucz zamyka nauczyciel. W ten sposób osoby trzecie korzystające z takiego pomieszczenia nie mają dostępu do tych danych.
Czy RODO wyklucza prowadzenie e-dzienników?
NIE Unijne rozporządzenie dopuszcza powierzenie przez administratora przetwarzania danych osobowych podmiotom trzecim, a skorzystanie z oferowanych na rynku e-dzienników jest przykładem takiego właśnie powierzenia przez placówkę oświatową. Powinno się ono odbywać na mocy pisemnej umowy dyrekcji szkoły z podmiotem dostarczającym e-dziennik, w której jest określony m.in. czas i zakres przetwarzanych danych. Szkoła powinna zweryfikować, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych chroniło prawa uczniów, których dane dotyczą.
Czy w szkołach mogą być kamery?
TAK Jednak ponieważ monitoring wizyjny jest inwazyjną formą przetwarzania danych osobowych, to administrator powinien szczególnie wnikliwie przeanalizować potrzebę jego stosowania i poradzić się całej społeczności szkolnej. Jeśli jest to zasadne i niezbędne do zapewnienia uczniom i pracownikom szkoły bezpieczeństwa, to dyrektor może podjąć decyzję o zainstalowaniu kamer. Każdorazowo musi to się jednak wiązać z poszanowaniem praw i wolności osoby obserwowanej oraz wypełnianiem obowiązków ustawowych.

opinia eksperta

Wiedza pozwala na zbudowanie prawidłowego systemu

Mamy świadomość, że wątpliwości w zakresie stosowania RODO będą się pojawiały w nowym roku szkolnym, bo przepisy są skomplikowane, a szkoły przetwarzają dane wielu osób i są to dane o różnym charakterze. W związku z tym zapraszam placówki oświatowe, by kierować do Urzędu Ochrony Danych Osobowych swoje wątpliwości czy też wnioski. Na naszej stronie internetowej (Uodo.gov.pl) znajdują się już poradniki oraz materiały, które dotyczą wielu szczegółowych kwestii przedyskutowanych ze środowiskami szkolnymi, np. monitoringu wizyjnego.
Właściwa wiedza pozwala na zbudowanie prawidłowego systemu zarządzania ochroną danych osobowych w placówkach oświatowych, co ma pierwszorzędne znaczenie dla zarządzania tą placówką. Zależy nam na tym, by dyrektorzy znali przepisy, ale również, aby dbali o podnoszenie wiedzy w tym zakresie przez kadrę i kształtowali odpowiednie postawy u uczniów oraz rodziców. Dlatego też już od wielu lat organizujemy program edukacyjny „Twoje dane – Twoja sprawa”, którego uczestnikami były już setki szkół, a także tysiące nauczycieli i uczniów. Obecnie ruszyły zapisy do dziewiątej edycji.