5 absurdów w stosowaniu RODO w szkole

Marcin Sarna

Autor: Marcin Sarna

Dodano: 11 kwietnia 2019
Zielona szkoła

Stosowanie RODO w szkołach i placówkach oświatowych jest szczególnie trudne z uwagi na dużą liczbę i różne cele przetwarzanych danych osobowych. Na podstawie praktycznych doświadczeń we wprowadzaniu RODO w szkołach możemy wskazać najczęściej spotykane potknięcia, pomyłki i mity związane z nową unijną regulacją dotyczącą ochrony danych osobowych. Sprawdź, jakich rozwiązań unikać w szkole.

Bez zgody ucznia szkoła nie może przetwarzać jego danych?

Błędnym podejściem do tematyki danych osobowych jest uznanie iż szkoła może przetwarzać dane osobowe wyłącznie gdy ma na to zgodę osoby, której dane dotyczą. Tymczasem zarówno obowiązujące przed RODO przepisy jak i samo RODO przewidują cały katalog sytuacji, w których administrator może przetwarzać dane osobowe bez zgody podmiotu danych. Szkoły nie wiedziały, że przetwarzając dane osobowe mogą powołać się nie tylko na zgodę podmiotu danych ale także np. na obowiązek prawny, swoje prawnie uzasadnione interesy czy wykonywanie zadania realizowanego w interesie publicznym. Skutkowało to między innymi:

  • żądaniami udzielenia zgody na przetwarzania danych osobowych - co było absurdalne bo zgoda na przetwarzanie danych osobowych musi być dobrowolna;
  • zaniechaniem przetwarzania danych osobowych z braku zgody i mimo posiadania przez szkołę innej przesłanki przetwarzania danych osobowych – tu przykładami był anonimizowanie klasówek czy list obecności a także usuwanie zdjęć uczniów ze szkolnych gablot.

Niestety tendencje do wymagania zgody tam, gdzie nie jest ona konieczna, są nadal widoczne. Zgoda jest postrzegana przez administratorów danych (w tym przez szkoły) jako najprostsze i najlepsze zabezpieczenie interesów tego administratora. Najłatwiej bowiem wykazać swojemu inspektorowi ochrony danych lub Prezesowi Urzędu Ochrony Danych Osobowych (w razie kontroli), że posiada się zgodę na określone przetwarzanie danych osobowych.

Uzasadnienie istnienia innej przesłanki z art. 6 ust. 1 RODO jest niewątpliwie trudniejsze, ale nie może prowadzić do bezrefleksyjnego żądania zgody od podmiotu danych tam gdzie nie jest ona wymagana. Takie proszenie o zgodę, gdy administrator ma spełnioną inną przesłankę przetwarzania danych może być potraktowane przez podmiot danych jako próba wyłudzenia zgody, która powinna być dobrowolna.

Przykład

Błędnym rozwiązaniem jest pobieranie zgody na przetwarzanie danych osobowych od strony umowy zawartej ze szkołą - w takim przypadku przetwarzanie danych osobowych nie wymaga zgody bowiem spełniona jest przesłanka z art. 6 ust. 1 lit. b RODO (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba).

Pobieranie zgody „na zapas” lub „z daleko idącej ostrożności” jest wreszcie nieprawidłowe dlatego, że wprowadza podmiot danych w błąd. Podmiot danych (np. uczeń) ma bowiem wówczas poczucie, że odmawiając udzielenia zgody spowoduje, że przetwarzanie jego danych osobowych przez szkołę będzie niemożliwe. Tymczasem szkoła będzie przecież dysponowała inną przesłanką przetwarzania danych osobowych. Jeżeli więc do przetwarzania będzie dochodziło mimo odmowy udzielenia zgody lub jej cofnięcia, wówczas dojdzie do niepotrzebnych, konfliktowych sytuacji. Podmiot danych może być bowiem przekonany, że wskutek braku zgody jego dane nie są przetwarzane, a po jakimś czasie dowie się, że jednak były. Konsekwencje mogą być nieprzyjemne dla szkoły gdyż w przypadku gdy podmiot danych zawiadomi Prezesa UODO ten będzie mógł wszcząć kontrolę (nawet całościową) w danej szkole.

Nie sprawdzę obecności czytając imiona i nazwiska dzieci?

Jednym z powszechniejszych mitów był też rzekomy zakaz wynikający z RODO a dotyczący odczytywania imion lub nazwisk osób bez ich zgody. Zdaniem osób propagujących tą osobliwą interpretacje unijnego rozporządzenia, wyczytywania danych personalnych osób nie jest możliwe np. przy odczytywaniu listy obecności w klasie, sprawdzaniu czy wszyscy uczniowie wrócili do autokaru z przerwy w podróży czy chociażby przy zbieraniu pieniędzy od rodziców na zebraniu szkolnym. Był to zresztą mit obecny także w innych dziedzinach życia, np. w wariancie dotyczącym wywoływania pacjentów w przychodniach.

Tymczasem art. 6 ust. 1 lit. c RODO wyraźnie pozwala na przetwarzanie danych osobowych  gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Szkoła ma na podstawie Prawa oświatowego realizować program nauczania oraz zasady oceniania, klasyfikowania i promowania uczniów oraz przeprowadzania egzaminów. Realizacja tych obowiązków prawnych nie jest możliwa bez przetwarzania danych osobowych uczniów pozwalających na ich identyfikację – tj. imienia i nazwiska. Tak samo wystawianie prac (np. plastycznych) dzieci mieści się w uprawnieniu nadanym szkole przez Prawo oświatowe do wyróżniania uczniów za ich osiągnięcia.

Natomiast faktycznie przetwarzanie pozostałych danych ucznia (np. jego prywatnego adresu e-mail czy numeru telefonu) wymaga już wyrażenia zgody przez niego gdyż nie są to dane niezbędne do sprawdzenia klasówki czy weryfikacji obecności ucznia na lekcji.

Piszesz o chorobie krewnego – czy masz na to jego zgodę?

Obawa przed bezpodstawnym przetwarzaniem danych osobowych, w tym zwłaszcza wrażliwych (np. odnoszących się do stanu zdrowia) przyjmowała niekiedy postać:

  • próśb kierowanych do rodziców aby w usprawiedliwieniach nie wskazywali w żaden sposób na chorobę dziecka;
  • poleceń kierowanych do dzieci aby w wypracowaniach nie wskazywały na choroby swoich bliskich;
  • nie wywieszania prac dzieci wskazujących np. na niepełnosprawność jednego z członków rodziny.

Dziś znacznie więcej nauczycieli i dyrektorów jest świadomych, że obawy te wynikały ze skrajnie radykalnych, by nie rzec absurdalnych, interpretacji RODO.

Czy babcia lub dziadek powinni się stawić osobiście aby wyrazić zgodę?

W przypadku upoważniania członków rodziny innych niż przedstawiciele ustawowi (np. dziadków dzieci) do odbierania dzieci ze szkoły część placówek wymagała aby dziadek lub babcia osobiście wyrazili zgodę na upoważnienie ich do takiego odbierania dzieci.

Tymczasem administrator danych osobowych (szkoła) może otrzymywać te dane nie tylko od podmiotu danych ale także z innych źródeł. I tak w szczególności rodzice dzieci mogą upoważnić dziadków tych dzieci do odbierania dzieci ze szkoły, podając dane osobowe dziadków. Nie jest potrzebne jakiekolwiek dalsze działanie ze strony dziadków, w szczególności szkoła nie potrzebuje zgody dziadków na przetwarzanie ich danych osobowych. Dziadkowie upoważnieni przez rodziców dziecka mogą po prostu odbierać dzieci ze szkoły. Natomiast należy pamiętać o dwóch sprawach:

  • w takiej sytuacji na szkole ciąży wobec dziadków obowiązek informacyjny z art. 14 RODO bowiem szkoła otrzymała dane dziadków nie od nich samych - w takim przypadku można klauzulę informacyjną wręczyć dziadkom za potwierdzeniem odbioru np. przy pierwszym odebraniu dzieci ze szkoły ale nie później niż w ciągu miesiąca od pozyskania danych (czyli np. w 3-cim tygodniu od złożenia upoważnienia należy już wysłać do dziadków list polecony z klauzulą informacyjną wysłany za potwierdzeniem nadania);
  • dziadkowie mają wszelkie prawa podmiotu danych więc mogą np. sprzeciwić się przetwarzaniu ich danych osobowych przez szkołę i zażądać ich usunięcia.

Nie możemy publikować wyników rekrutacji?

Część szkół zdecydowała się także na zaniechanie publikowania po 25 maja 2018 roku wyników rekrutacji w gablotach szkolnych. Informacje o tym czy dana osoba  dostała się czy nie do szkoły miały być udostępniane telefonicznie lub wręcz osobiście w sekretariacie szkoły po okazaniu dowodu osobistego przez rodzica czy legitymacji poprzedniej szkoły (przez ucznia).

RODO nie daje podstaw do takiego postępowania. Nadal na gruncie art. 157 ust. 2 pkt 2 i art. 158 ust. 1, 3 i 4 Prawa oświatowego możliwe jest czasowe (art. 158 ust. 10 Prawa oświatowego) podawanie list kandydatów zakwalifikowanych i niezakwalifikowanych w siedzibie szkoły a więc np. w gablocie. Natomiast nie było i nadal nie ma podstaw do publikowania takich informacji poza siedzibą szkoły, w szczególności poprzez podawanie ich do publicznej wiadomości w sieci Internet – chociażby chodziło wyłącznie o stronę internetową szkoły.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel