RODO wprowadziło niemałe zamieszanie w wielu instytucjach w kraju. Ochrona danych natychmiast stała się tematem najważniejszym, a nawet budzącym obawy dla wielu podmiotów z różnych sektorów. Tym bardziej, że za nieprzestrzeganie przepisów wynikających z RODO grożą potężne kary finansowe, które obecnie stały się faktem.
Szkoła jako placówka edukacyjna również przetwarza dane osobowe. Są to dane nie tylko uczniów, ale też rodziców czy opiekunów prawnych oraz pracowników, których dane dotyczą. Będąc Administratorem Danych Osobowych (ADO) szkoła ma szereg obowiązków wynikających z RODO, do których zalicza się np. spełnienie obowiązku informacyjnego. Co więcej, jest jednym z podmiotów, na których spoczywa obowiązek wyznaczenia Inspektora Ochrony Danych, który będzie wspomagał ADO w zakresie prawidłowego przetwarzania danych. Specyfika szkoły wymaga szczególnego podejścia do niektórych aspektów RODO, jednym z nich jest zgoda na przetwarzanie danych osobowych. Należy także pamiętać o spełnianiu obowiązku informacyjnego w stosunku do osób, które odwiedzają placówkę edukacyjną, np.: konkursy z udziałem uczniów spoza szkoły, zaproszeni goście, itp.).
RODO, czyli co dyrektor szkoły powinien wiedzieć
Zgodnie z art. 24 ust.1 podmiotem odpowiedzialnym za prawidłowe przetwarzanie danych osobowych jest Administrator Danych Osobowych (ADO). Czyli w przypadku przedszkola, Administratorem Danych jest Przedszkole, a w przypadku szkoły, Administratorem Danych Osobowych jest Szkoła. Każda z tych placówek jest reprezentowana przez dyrektora, na którego spadają obowiązki związane z realizacją zadań wynikających z RODO.
Zgodnie z zacytowanym rozporządzeniem ADO ma następujące obowiązki określone prawnie:
– ADO wdraża odpowiednie środki techniczne i organizacyjne, mając na uwadze charakter, zakres, kontekst, cele przetwarzania oraz ryzyko związane z przetwarzaniem danych (art. 24 ust. 1),
– ADO powinien wdrożyć system postępowania z danymi osobowymi – Politykę Ochrony Danych Osobowych, który ma ułatwić wdrażanie procedur ochrony danych w placówce, jak również stanowi dowód, że Administrator wywiązuje się ze swoich obowiązków (art. 24 ust. 2),
– ADO spełnia obowiązek informacyjny (art. 13 i 14 RODO) odnośnie osób, których dane dotyczą,
– ADO powinien powołać Inspektora Ochrony Danych (art. 37 ust. 1 lit. a).
Realizując swoje obowiązki wynikające z rozporządzenia, a dokładniej określone w art. 5 ust. 1, Administrator powinien stosować się do następujących zasad przetwarzania danych osobowych:
• zasada rzetelności, przejrzystości i legalności (zgodność z prawem)
• zasada ograniczenia celu przetwarzania danych (konkretne, wyraźne i prawnie uzasadnione cele)
• zasada minimalizacji danych (ograniczenie do celów przetwarzania)
• zasada prawidłowości (poprawności danych)
• zasada ograniczenia przechowania (nie dłużej niż to jest potrzebne)
• zasada integralności i poufności (bezpieczeństwa danych)
Dodatkowo zgodnie z art. 5 ust. 2 Administrator jest nie tylko zobowiązany do przestrzegania przepisów dotyczących przetwarzania danych zgodnie z prawem, ale również do wykazania, że tak właśnie czyni (zasada rozliczalności). Niektórymi z elementów rozliczalności jest posiadanie polityk ochrony danych wraz odpowiednimi wzorami dokumentacji stosowanej w szkole (upoważnienia, ewidencje, rejestr czynności, etc.), opublikowanie danych powołanego Inspektora Ochrony Danych, czy też dokumentacja z okresowych audytów.
Placówka edukacyjna, a obowiązek informacyjny w szkole
Skoro pierwszą karą w Polsce (o czym można przeczytać tutaj: LINK) była kara za niespełnienie obowiązku informacyjnego administratora wobec podmiotów, których dane osobowe nieprawnie przetwarzał, przedstawiamy Państwu to zagadnienie w kontekście funkcjonowania placówki edukacyjnej.
Na gruncie RODO placówka edukacyjna powinna spełnić obowiązek informacyjny, który wynika z art. 13 i 14 ustawy o RODO, w następujących obszarach:
1. Rekrutacja.
2. Wizerunek ucznia.
3. Konkursy międzyszkolne.
4. Monitoring wizyjny.
5. Zaproszenia na uroczystości.
6. Pracownicy szkoły.
Rekrutacja dzieci
Do prawidłowej realizacji obowiązku szkolnego niezbędne jest przetwarzanie danych osobowych. Mówi o tym Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe, a dokładnie art. 150 i 151 tejże Ustawy, które określają jakie dane są niezbędne w procesie rekrutacji. W przypadku szkół podstawowych realizacja obowiązku szkolnego oparta jest na przepisach prawa, dzieci zamieszkałe w obwodzie właściwym dla danej szkoły przyjmowane są do szkoły z urzędu. Szkoła podstawowa nie musi informować rodzica / opiekuna prawnego o pozyskaniu danych z gminy. Natomiast w szkołach ponadpodstawowych obowiązek informacyjny jest spełniany automatycznie, klauzula informacyjna jest dołączana do elektronicznej wersji wniosku i wraz z nim drukowana. W przypadku kiedy nie ma klauzuli dołączanej do wniosku, należy ją wręczyć w momencie składania dokumentów. Obowiązek informacyjny powinien być spełniony w momencie, gdy do szkoły zgłaszają się kandydaci.
Wizerunek ucznia
Jak wspomnieliśmy wcześniej, szkoła działa w oparciu o przepisy prawa, są to:
– Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe,
– Ustawa z dnia 7 września 1991 r. o systemie oświaty,
– Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela,
– Ustawa z dnia 27 października 2017 r. o finansowaniu zadań oświatowych,
– Ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej,
(wraz z rozporządzeniami do wyżej wymienionych ustaw).
Czyli podstawą prawną do przetwarzania danych na gruncie RODO jest art. 6 ust. 1 lit. c., co automatycznie powoduje, że zgoda nie jest wymagana, a jedynie spoczywa na administratorze obowiązek informacyjny. Natomiast wykorzystanie wizerunku ucznia np. do celów promocyjnych szkoły nie ma umocowania prawnego w powyższych ustawach, stąd jedyną zgodą jaka jest potrzebna do sprawnego funkcjonowania placówki edukacyjnej jest zgoda ucznia lub rodzica / opiekuna prawnego ucznia na wykorzystanie wizerunku (art. 81 prawa autorskiego). Placówki edukacyjne prowadząc działalność promocyjną swojej jednostki wielokrotnie wykorzystując zdjęcia lub nagrania, które umieszczają na stronie internetowej lub fanpage’u placówki, czy też serwisach internetowych takich jak YouTube.
Tak więc, należy pobrać zgodę na wykorzystywanie wizerunku ucznia od rodzica / opiekuna prawnego w celu jego publikacji w przypadku kiedy uczeń zostanie laureatem konkursu, uczniem miesiąca, czy w celach promocyjnych szkoły. Najlepiej zrobić to podczas pierwszego zebrania z rodzicami, gdzie jednocześnie spełniony zostanie obowiązek informacyjny w postaci odpowiednio sformułowanej klauzuli informacyjnej. Obowiązek informacyjny może być też spełniony poprzez umieszczenie i poinformowanie o dostępności klauzuli informacyjnej na stronie internetowej placówki.
Konkursy międzyszkolne
Ponieważ Administrator, czyli placówka edukacyjna, jest odpowiedzialny za legalność przetwarzania danych, dyrektor powinien zadbać o dane osób, które biorą udział w zawodach, konkursach, olimpiadach, itp. organizowanych przez podmiot, a które reprezentują inne placówki.
Często podczas tego typu wydarzeń wykonywane są zdjęcia, wyłaniani są zwycięzcy, wykonywane są fotografie pamiątkowe, nakręcane klipy wideo. Działania te mają na celu późniejszą działalność promocyjną szkoły, tak więc i w takim przypadku należy pobrać zgody uczestników na wykorzystanie ich danych osobowych, w tym ich wizerunku, a także spełnić wobec nich obowiązek informacyjny.
Najprościej można tego dokonać poprzez dołączenie do formularza zgłoszenia danego ucznia zgody oraz klauzuli informacyjnej. Oba załączniki powinny być odpowiednio sformułowane, ponieważ zgodę podpisuje albo pełnoletni uczeń, albo w przypadku ucznia niepełnoletniego jego rodzic lub opiekun prawny.
Monitoring wizyjny
W związku z tym, że monitoring wizyjny jest często obecny w jednostkach oświatowych z uwagi na potrzebę zwiększenia bezpieczeństwa w placówce, zarówno pod względem personalnym jak i ochrony mienia (podstawą jest tutaj art. 6 ust. 1 lit. f), a jednocześnie jest bardzo inwazyjną formą przetwarzania danych, należy pamiętać, że nie jest on niezbędny do funkcjonowania placówki. Według UODO należy każdorazowo przeanalizować stosowanie monitoringu wizyjnego.
Niemniej jednak monitoring jest obecny w wielu placówkach, a dodatkowo dane wizerunkowe osób przebywających na terenie szkoły znajdujących się w jego zasięgu są rejestrowane. Wobec tych osób należy oczywiście spełnić obowiązek informacyjny. Informację o przetwarzaniu danych w przypadku monitoringu wizyjnego należy umieścić na wszystkich drzwiach wejściowych do placówki, bramie wjazdowej w formie tabliczki informującej o istnieniu monitoringu. Powinna się na niej znaleźć informacja o monitorowaniu placówki, o tym kto jest administratorem, o tym że obraz jest rejestrowany i jak długo przetrzymywany, i co najważniejsze gdzie znajduje się regulamin monitoringu i pełna wersja klauzuli informacyjnej. Podobnie jak w przypadku poprzednich klauzul, może być umieszczona na stronie internetowej placówki.
UWAGA! Zgodnie z art. 9a ust. 3 Ustawy o samorządzie gminnym, nagrania z monitoringu wizyjnego nie mogą być przechowywane dłużej niż 3 miesiące.
Zaproszenia na wydarzenia szkolne
Jeśli chodzi o uroczystości szkolne i typowe czynności temu towarzyszące nie wymagają uprzedniej zgody ucznia lub ucznia/opiekuna prawnego. Czynności te znajdują się w zakresie prawnego funkcjonowania szkoły jako placówki oświatowej, stąd nie wymagają podejmowania działań na gruncie RODO. Oczywiście zdarzyć się może sytuacja, w której uczeń lub rodzic / opiekun prawny uznają, że wyróżnienie go na forum publicznym mogłoby naruszać jego dobro, czyli zaszkodzić mu w jakikolwiek sposób. W takim szczególnym przypadku mogą oni skorzystać z prawa do sprzeciwu wynikającego z art. 21 ust. 1 RODO.
Natomiast sytuacja zaproszeń osób z zewnątrz na uroczystości, czy wydarzenia szkolne wygląda zupełnie inaczej. Zważając oczywiście na to kogo zapraszamy, czym innym jest zaproszenie wójta gminy będącej organem prowadzącym danej szkoły (co reguluje art. 81 ust. 2 pkt 1 ustawy o prawie autorskim i prawach pokrewnych), a czym innym jest np.: zaproszenie sponsora, którego imię i nazwisko, oraz wizerunek będzie opublikowany na stronie internetowej szkoły. Jest rzeczą oczywistą, że w stosunku do zaproszonych osób należy również spełnić obowiązek informacyjny. Niewyobrażalne natomiast jest to, żeby do zaproszenia dodawana była klauzula informacyjna w pełnej treści. Rozwiązaniem w tym przypadku, sugerowanym przez UODO, jest tzw. warstwowe przekazywanie informacji, czyli na zaproszeniu powinny się znaleźć najistotniejsze informacje: kto jest administratorem, jaki jest cel przetwarzania, przysługujące osobie prawa związane z przetwarzaniem jej danych oraz odesłanie do pełnej treści klauzuli informacyjnej (umieszczonej na przykład na stronie internetowej placówki).
Pracownicy szkoły
Placówka edukacyjna to nie tylko uczniowie oraz rodzice / opiekunowie prawni wobec których należy spełnić obowiązek informacyjny. Szkoła to też inne osoby zaangażowane w jej prawidłowe funkcjonowanie, czyli personel dydaktyczny i administracyjny. Administrator powinien wywiązać się z obowiązku informacyjnego, także w stosunku do nich, czyli powinien poinformować pracowników o celach przetwarzania, odbiorcach danych, okresie przez który te dane będą przechowywane oraz o prawach osoby, której dane dotyczą. Odpowiednie klauzule informacyjne powinny być wręczone pracownikom.
Kiedy szkoła powinna poprosić o zgodę
RODO nakłada na podmioty przetwarzające dane pewne obowiązki, z których jednym jest przesłanka dotycząca legalności. Dane przetwarzane są zgodnie z prawem, tylko wtedy gdy został spełniony co najmniej jeden z poniższych warunków:
1. Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych (art. 6 ust. 1 lit. a).
2. Przetwarzanie danych jest konieczne do realizacji umowy, w której stroną jest dana osoba (art. 6 ust. 1 lit. b).
3. Dane przetwarzane są w oparciu o przepisy prawa (art. 6 ust. 1 lit. c).
4. Przetwarzanie danych zabezpiecza żywotne interesy osoby, której dane dotyczą lub innej osoby fizycznej (art. 6 ust. 1 lit. d).
5. Dane przetwarzane są podczas realizacji zadania publicznego lub podczas sprawowania władzy powierzonej administratorowi (art. 6 ust. 1 lit. e).
6. Przetwarzanie jest konieczne do realizacji prawnie uzasadnionych interesów administratora (art. 6 ust. 1 lit. f).
Zasadniczo zabrania się przetwarzania szczególnych kategorii danych osobowych (dawniej określanymi jako dane wrażliwe tj. pochodzenie rasowe / etniczne, przekonania religijne, dane dotyczące zdrowia, seksualności, etc.). Mówi o tym art. 9 ust 1, z wyłączeniem przypadków określonych w art. 9 ust. 2.
W związku z tym, że przetwarzanie danych w szkole odbywa się w oparciu o przepisy prawa, czyli art. 6 ust. 1 lit. c, a dla danych szczególnych art. 9 ust. 2 lit. h, nie pobiera się zgody od rodzica / opiekuna prawnego na przetwarzanie danych w ramach realizacji obowiązku szkolnego. Spełnić należy natomiast obowiązek informacyjny.
Szkoła to jednak nie tylko wypełnianie obowiązku szkolnego, ale także realizacja różnych innych zadań, które są dokumentowane za pomocą materiału zdjęciowego, filmowego lub nagrań radiowych, i następnie umieszczenie treści na stronie internetowej, fanpage’u szkoły, serwisie YouTube czy też publikowanie w ulotkach bądź folderach promujących szkołę. Wizerunek ucznia nie jest elementem niezbędnym do realizowania działań szkoły, ale biorąc pod uwagę specyfikę funkcjonowania wydaje się być elementem znacznie ułatwiającym pracę w placówce. Uczniowie również pragną uczestniczyć w życiu szkoły, chwalić się osiągnięciami w konkursach i zawodach; promując szkołę promują również siebie.
Ponieważ korzystanie z wizerunku ucznia nie ma umocowania prawnego w art. 6 ust. 1 lit. c (ani w innych przepisach prawa), należy pobrać zgodę na wykorzystanie wizerunku ucznia oraz spełnić obowiązek informacyjny. W stosunku do uczniów danej szkoły można to zrealizować podczas pierwszego zebrania z rodzicami, jednocześnie zaleca się też zamieszczenie klauzuli informacyjnej na stronie internetowej szkoły lub w inny dowolny sposób umożliwiający zapoznanie się z nią.
Należy pamiętać, że w przypadku konkursów z udziałem uczniów spoza szkoły również konieczne jest pobranie zgody na wykorzystanie imienia i nazwiska oraz wizerunku w celu późniejszej publikacji wyników np. na stronie internetowej.