Ochrona danych osobowych w szkole: RODO i prawo oświatowe w praktyce
Ochrona prywatności ucznia to dziś temat pierwszoplanowy w każdej placówce edukacyjnej. RODO oraz ustawa – Prawo oświatowe tworzą ramy, które każde przedszkole, szkoła czy placówka wychowawcza musi stosować w praktyce. Jak zatem wygląda ochrona danych osobowych w szkole? Jakie dane placówka oświatowa może gromadzić, a jakie pozostają poza jej zakresem? Jakie są konsekwencje naruszenia RODO w szkole? Jakie dane osobowe przetwarza placówka oświatowa? Szkoły i inne instytucje oświatowe posiadają uprawnienie do gromadzenia oraz przetwarzania danych osobowych, o ile są one konieczne do wykonywania zadań wynikających z przepisów prawa. Proces ten rozpoczyna się już w chwili składania wniosku o przyjęcie dziecka do danej placówki – wtedy przekazywane są zarówno informacje dotyczące ucznia, jak i jego opiekuna prawnego. W przypadku dziecka są to m.in.: Jeśli chodzi o opiekuna prawnego, wymagane dane obejmują: Rodzic bądź opiekun prawny, zapisując dziecko do szkoły, zobowiązany jest do przekazania dyrekcji informacji dotyczących stanu zdrowia ucznia oraz jego rozwoju psychofizycznego. Dane te służą zapewnieniu dziecku właściwej opieki oraz umożliwiają dobranie adekwatnych metod pracy wychowawczej i opiekuńczej, dostosowanych do jego indywidualnych potrzeb. Definicja danych osobowych według RODO – co musisz wiedzieć? Dane osobowe to wszelkiego rodzaju informacje odnoszące się do osoby fizycznej, która została zidentyfikowana lub może zostać zidentyfikowana. Za możliwą do ustalenia uznaje się osobę, którą da się rozpoznać bezpośrednio bądź pośrednio, np. poprzez imię i nazwisko, numer identyfikacyjny, dane lokalizacyjne, identyfikator internetowy albo zestaw unikalnych cech związanych z jej tożsamością fizyczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną. RODO znajduje zastosowanie zarówno w odniesieniu do danych przetwarzanych automatycznie, jak i częściowo przy użyciu systemów informatycznych. Obejmuje także sytuacje, w których dane przetwarza się w sposób tradycyjny, np. w dokumentacji papierowej, o ile stanowią one część zbioru lub mogą do niego zostać włączone. W przypadku szkół przykładem takich zbiorów są m.in.: dzienniki lekcyjne, ewidencje pracowników, rejestry dzieci i uczniów, arkusze ocen czy dzienniki zajęć świetlicowych. Dokumentacja ta funkcjonuje zarówno w formie elektronicznej, jak i klasycznej – papierowej. Zasady przetwarzania danych osobowych ucznia – klucz do zgodności z RODO Każda szkoła czy placówka oświatowa ma obowiązek stosowania zasad wynikających z RODO i ustawy – Prawo oświatowe. W praktyce oznacza to m.in.: realizację wobec osób, których dane są przetwarzane, obowiązku informacyjnego, a także stosowanie odpowiednich rozwiązań technicznych i organizacyjnych, które zabezpieczają dane przed dostępem osób nieuprawnionych, ich utratą czy zniszczeniem. Mogą to być działania takie jak szyfrowanie, pseudonimizacja oraz dbanie o integralność i poufność informacji. Szkoła zobowiązana jest także do poszanowania praw osób, których dane dotyczą, np. poprzez udzielanie szczegółowych informacji o celach i zakresie przetwarzania, umożliwienie sprostowania czy aktualizacji danych, jak również czasowego wstrzymania ich przetwarzania na wniosek. Dodatkowym wymogiem jest powołanie inspektora ochrony danych (IOD). Jego dane kontaktowe powinny zostać opublikowane przez placówkę, a o wyznaczeniu inspektora należy poinformować Prezesa UODO. Funkcja ta wymaga specjalistycznej znajomości przepisów prawa oraz praktyki związanej z ochroną danych osobowych w szkole. Samo stanowisko ma charakter niezależny i samodzielny. Legalność i rzetelność – dlaczego to podstawa? Jedną z podstawowych reguł dotyczących przetwarzania danych osobowych jest zasada legalności. Oznacza ona, że administrator – czyli szkoła, przedszkole i inna placówka oświatowa – może je przetwarzać wyłącznie wtedy, gdy posiada tzw. podstawę prawną, czyli przesłankę uzasadniającą takie działanie. Zarówno obowiązująca ustawa o ochronie danych osobowych w szkole, jak i RODO precyzuje sytuacje oraz okoliczności, w których przetwarzanie danych ucznia staje się dopuszczalne i zgodne z prawem. Dlaczego legalność i rzetelność gromadzenia danych osobowych jest tak istotna? Ponieważ chroni prywatności i zapewnia bezpieczeństwo uczniom, a także kształtuje zaufanie rodziców do placówki oświatowej. Stosowanie się do regulacji RODO w szkole pozwala unikać nadużyć, ogranicza ryzyko wycieku danych, gwarantuje zgodność z obowiązującym prawem, chroni przed nałożeniem sankcji finansowych oraz wspiera tworzenie bezpiecznych warunków do nauki i wychowania. Ograniczenie celu i minimalizacja – zbieraj tylko to, co niezbędne Zasada ograniczenia celu dotyczy momentu gromadzenia danych osobowych. Jej istotą jest obowiązek określenia jasnych, jednoznacznych i prawnie uzasadnionych celów, dla których dane są zbierane, a następnie wykorzystywane wyłącznie zgodnie z tymi celami. Na zasadę ograniczenia składają się dwie reguły – oznaczoności i wykorzystywania danych zgodnie z celem. Administrator danych zobowiązany jest precyzyjnie wskazać, jakie są powody pozyskiwania danych osobowych. Cel nie może być sformułowany zbyt ogólnie – musi jednoznacznie określać, w jakim zakresie i w jakim kontekście dane będą przetwarzane. Poprzez wskazanie celu administrator wyznacza granice przetwarzania – nie może zbierać informacji „na zapas”, wychodząc z założenia, że mogą się kiedyś przydać. Prawidłowość i ograniczenie przechowywania – zawsze aktualne i na czas Dane osobowe powinny być zawsze zgodne ze stanem faktycznym i w razie potrzeby aktualizowane, a wszelkie informacje błędne w odniesieniu do celu ich przetwarzania należy niezwłocznie poprawić lub usunąć. Dane osobowe uczniów mogą być gromadzone tylko tak długo, jak jest to konieczne do realizacji celu, dla którego zostały zebrane. Wdrożenie tej zasady ma wyeliminować praktyki przechowywania danych w sposób nieograniczony bez wyraźnego uzasadnienia. Prawo unijne wskazuje, że czas przetwarzania powinien zawsze pozostawać w ścisłym związku z konkretnym celem. RODO w szkole określa, że dane osobowe uczniów muszą być adekwatne i ograniczone do niezbędnego minimum. Obejmuje to także długość ich przechowywania. Administrator ma obowiązek ustalić terminy ich usunięcia lub cyklicznego przeglądu, aby upewnić się, że nie są magazynowane dłużej, niż to konieczne. Integralność i poufność – jak chronić dane przed wyciekiem? Środkami służącymi zabezpieczeniu danych osobowych ucznia jest integralność i poufność. Co to oznacza? Dane osobowe muszą być przetwarzane w warunkach gwarantujących ich właściwe zabezpieczenie, tak aby były chronione przed nieuprawnionym lub bezprawnym wykorzystaniem, a także przed przypadkowym zgubieniem, zniszczeniem bądź uszkodzeniem. Osiąga się to poprzez zastosowanie odpowiednich rozwiązań technicznych i organizacyjnych. Odpowiedzialność administratora: Bądź gotów do rozliczenia Administrator ponosi odpowiedzialność za stosowanie wspomnianych zasad i powinien być w stanie udokumentować ich realizację – to tzw. zasada rozliczalności. Podkreśla ona praktyczny wymiar wdrażania RODO w szkole, który polega na tworzeniu i stosowaniu na co dzień odpowiednich procedur oraz mechanizmów gwarantujących zgodność z przepisami z zakresu ochrony danych osobowych. Prawo oświatowe a RODO – podstawy prawne przetwarzania danych Główną podstawą przetwarzania danych osobowych w szkołach jest obowiązek prawny wynikający z przepisów RODO oraz ustawy – Prawo oświatowe, a nie zgoda rodzica czy
Zgoda na przetwarzanie danych osobowych
Przetwarzanie danych osobowych osób fizycznych przez administratora danych osobowych wiąże się z koniecznością spełnienia określonych obowiązków na gruncie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 2016 Nr 119, s. 1, zwanego dalej RODO), ustawy z dn. 10.05.2018 r. o ochronie danych osobowych (Dz. U. z 2019, poz. 1781 tj. z późn. zm.), a także innych ustaw szczególnych. Już na wstępie warto zaznaczyć, iż dla zgodnego z prawem przetwarzania danych osobowych konieczne jest wskazanie podstawy prawnej przetwarzania danych osobowych. Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych jest zgodne z prawem wyłącznie wtedy, gdy spełniony jest co najmniej jeden z poniższych warunków: Jedną z podstaw prawnych, w wyniku których przetwarzanie danych osobowych danej osoby fizycznej staje się legalne – jest zgoda osoby, której dane dotyczą, na przetwarzanie danych osobowych. Choć zgoda wymieniona została w Rozporządzeniu RODO jako pierwsza, to zazwyczaj nie jest najlepszą i najpewniejszą przesłanką legalnego przetwarzania danych. Generalnie przyjmuje się zasadę, zgodnie z którą zgodę odbieramy wówczas, gdy w danym stanie faktycznym i prawnym nie ma innej podstawy, która pozwoliłaby zalegalizować przetwarzanie danych osobowych. Innymi słowy, jeśli konieczność przetwarzania określonych danych wynika wprost z obowiązujących przepisów to nie musimy w tym zakresie uzyskiwać zgody od osoby, której dane zamierzamy przetwarzać. Zgodnie z art. 4 pkt 11 RODO zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia woli lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych. Zatem prawidłowo udzielona zgoda musi spełniać następujące warunki: Zgodnie z RODO, nie można mówić o udzieleniu zgody, a już na pewno wiążącej – jeśli zgoda zostanie pozyskana w wyniku manipulacji, sugestii, wstępnego zaznaczenia pożądanej opcji czy milczenia. W motywie 42 preambuły RODO wskazano również, że „Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych”. Przedstawiona powyżej definicja zgody (art. 4 pkt 11 RODO) wskazuje, że występują dwie formy wyrażenia zgody: oświadczenie woli lub wyraźne działanie potwierdzające. Złożeni e oświadczenie jest raczej zrozumiałe. Jeśli zaś mowa o wyraźnym działaniu potwierdzającym, to oznacza ono, że osoba przez czynność dorozumianą, np. zaznaczenie okna wyboru na stronie internetowej (tzw. checkboxa)- zaakceptowała proponowane jej warunki przetwarzania danych osobowych. Warto zauważyć, iż w motywie 32 preambuły RODO wskazano, że: „Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody”. Tak w przypadku zgody, jak i innych podstaw zbierania danych osobowych – Administrator obowiązany jest spełnić obowiązek informacyjny w stosunku do osób, których dane dotyczą. Klauzula informacyjna ma szczególne znaczenie w przypadku gromadzenia danych osobowych na podstawie zgody, gdyż prawidłowo zrealizowany obowiązek informacyjny może istotnie wpływać na powyższe warunki jej wyrażenia, tj. dobrowolność, świadomość, konkretność i jednoznaczność. To właśnie bowiem z klauzuli informacyjnej dana osoba pozyskuje wiedzę m.in. na temat celu i warunków przetwarzania, a także swoich praw, przez co w konsekwencji może w pełni świadomie wyrazić zgodę, rozumiejąc, na co się zgadza. Warto pamiętać, iż w myśl art. 7 RODO, osoba udzielająca zgody ma prawo w dowolnym momencie ją wycofać, przy czym wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed jej wycofaniem. Innymi słowy, wycofanie zgody ma skutek jedynie na przyszłość – nie delegalizuje przetwarzania dokonanego na jej podstawie przed jej wycofaniem, o czym również należy poinformować zanim dana osoba wyrazi zgodę. Co więcej i co należy podkreślić, zgodnie z RODO odwołanie zgody powinno przebiegać w równie łatwy sposób, co wyrażenie zgody oraz za pomocą tego samego kanału informacyjnego, który użyty został do pozyskania zgody. Tym co należy podkreślić, jest fakt, iż udzielenie zgody na określone czynności związane z przetwarzaniem danych osobowych może wynikać również z innych przepisów niż RODO. Przykładowo, w myśl RODO zapis do newslettera jest formą marketingu bezpośredniego i w tym przypadku przetwarzanie danych zalegalizowane jest przez prawnie uzasadniony interes administratora (przetwarzanie danych na podstawie art. 6 ust. 1 lit. f RODO). W konsekwencji czego nie jest wymagana zgoda na podstawie art. 6 ust. 1 lit. a RODO. Niemniej jednak, do legalnego przetwarzania danych w przypadku newslettera konieczne jest uprzednie pozyskanie wyraźnej zgody na podstawie innych przepisów prawa, a konkretnie na podstawie ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego.