BLOG CORE CONSULTING

Dzielimy się naszą wiedzą

Spełnianie obowiązku informacyjnego wobec stron umowy

Zaktualizowanie się obowiązku przedłożenia klauzuli informacyjnej (czyli spełnienia obowiązku informacyjnego) stronie umowy zależy od rodzaju podmiotu, z którym placówka nawiązuje współpracę. RODO swym zakresem, bowiem obejmuje tylko osoby fizyczne. W niniejszym artykule znajdują się informacje o tym, wobec jakich konkretnie podmiotów administrator powinien ten obowiązek spełnić.

Kiedy klauzula informacyjna jest konieczna…

Administrator danych powinien spełnić obowiązek informacyjny wobec:

1. osoby fizycznej – czyli w każdym przypadku kiedy stroną umowy jest konkretna osoba np. Jan Kowalski i to z tą osobą placówka zawiera umowę (a nie przykładowo z firmą, którą Jan Kowalski reprezentuje).

2. osoby fizycznej prowadzącej jednoosobową działalność gospodarczą (przedsiębiorcy) – zgodnie z przepisami Kodeksu cywilnego (art. 43k.c.) firmą osoby fizycznej jest jej imię i nazwisko. Aby ustalić, czy stroną umowy jest przedsiębiorca wystarczy przeanalizować nazwę firmy – przykładowo: Przedsiębiorstwo usługowe ABC Jan Kowalski wskazuje, iż kontrahent Placówki przedsiębiorcą, ergo, należy spełnić wobec niego obowiązek informacyjny.

3. wspólników spółki cywilnej – spółka cywilna (skrót: s.c.) jest umową pomiędzy wspólnikami. W wyniku jej zawarcia nie powstaje nowy podmiot prawa (wspólników łączy stosunek zobowiązaniowy). Reprezentujący ją wspólnicy powinni być więc traktowani jak wskazane wyżej podmioty: osoby fizyczne albo przedsiębiorcy.

… a kiedy jest zbędna

Klauzuli informacyjnej nie przekazujemy pozostałym podmiotom – firmom, które są spółkami prawa handlowego (wskazuje na to element nazwy: sp. z o.o., S.A., sp.j., sp.p., sp.k., S.K.A.), stowarzyszeniom, fundacjom, spółdzielniom, urzędom (uściślając: osobom prawnym oraz tak zwanym jednostkom organizacyjnym niebędącym osobami prawnymi, którym ustawa przyznaje zdolność prawną).

Czy jeśli placówka podpisuje cyklicznie umowę najmu z tym samym przedsiębiorcą, to za każdym razem należy spełniać obowiązek informacyjny?

Nie, w takim przypadku wystarczy, że obowiązek został spełniony za pierwszym razem. Zgodnie z art. 13 ust 4 RODO jeśli osoba, której dane przetwarzamy dysponuje już informacjami zawartymi w klauzuli – nie ma konieczności przedkładać jej po raz kolejny. Administrator powinien jednak móc wykazać, iż obowiązek ten został pierwotnie spełniony (zgodnie z zasadą rozliczalności).

Placówka zawiera umowę z fundacją ale w jej imieniu występuje osoba fizyczna – czy wobec tej osoby należy spełnić obowiązek informacyjny?

Nie, ponieważ stroną umowy jest osoba prawna jaką jest fundacja. Nie ma w tym przypadku znaczenia, że umowa podpisywana jest przez osobę fizyczną. Osoba ta, bowiem działa i wykonuje czynności służbowe w ramach organizacji, którą reprezentuje.

Obowiązek informacyjny należy spełnić wobec: osób fizycznych, przedsiębiorców oraz wspólników spółek cywilnych.

Czy przetwarzanie przez pracodawcę danych biometrycznych pracowników może służyć celowi, jakim jest ewidencja czasu pracy?

Dane biometryczne są to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego i dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej w taki sposób, że umożliwiają jednoznaczną identyfikację tej osoby. 

Przykładem są odciski palców, o ile administrator jest w stanie połączyć je z konkretną osobą – czyli dysponuje technologią, która mu to umożliwia np. czytnikiem linii papilarnych. Dane biometryczne są danymi szczególnej kategorii (danymi wrażliwymi) i podlegają szczególnej ochronie, a ich przetwarzanie musi znajdować oparcie w przepisach prawa 

W dniu 11 maja br. Prezes Urzędu Ochrony Danych Osobowych zajął jednoznaczne stanowisko, zgodnie z którym przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy. PUODO natomiast wskazał, iż przepisy prawa pracy nie dają podstawy prawnej do takiego przetwarzania. Zgodnie bowiem z art. 22¹ᵇ Kodeksu pracy pracodawca może przetwarzać dane biometryczne: 

  • za zgodą pracownika i wyłącznie, gdy ich przekazanie następuje z jego inicjatywy, 
  • wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. 

Jako że ewidencjonowanie czasu pracy nie spełnia powyższych przesłanek – przetwarzanie takie należy uznać za niezgodne z RODO. 

Uwaga: zgoda pracownika nie jest w tym przypadku wystarczającą podstawą prawną. Po pierwsze, jak wskazuje PUODO, zgoda nie powinna stanowić podstawy prawnej przetwarzania danych osobowych w relacji pomiędzy pracodawcą, a pracownikiem, ponieważ rzutuje to na dobrowolność jej wyrażenia. Po drugie zaś, przetwarzanie danych wrażliwych na podstawie zgody musi nastąpić z inicjatywy pracownika, a wprowadzenie danego systemu ewidencjonowania czasu pracy jest odgórną decyzją pracodawcy. 

Jakich narzędzi używać 

Pracodawca może wybrać spośród dostępnych narzędzi, takich jak listy obecności prowadzone w formie papierowej, karty magnetyczne lub programy i aplikacje komputerowe. 

Proces przetwarzania danych osobowych

W kontekście ochrony danych osobowych często pojawia się pojęcie procesu przetwarzania. RODO definiuje „przetwarzanie” jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (…).  Szukając  definicji „procesu” warto sięgnąć do normy ISO 27000, która definiuje go jako: „zbiór działań wzajemnie powiązanych lub wzajemnie oddziałujących, które przekształcają wejścia w wyjścia”.

Rezultatem (wyjściem) procesu przetwarzania danych osobowych jest osiągnięcie celu przetwarzania. Informacjami wejściowymi są natomiast dane osobowe. Zmiennymi, które kształtują ten proces, oprócz danych wejścia i wyjścia jest między innymi kategoria podmiotów, których dane dotyczą; sposób przetwarzania – w szczególności użyta technologia; zakres i zasięg przetwarzania, podmioty zaangażowane oraz otoczenie prawne.

Otoczenie prawne procesu

Myśląc o ochronie danych osobowych w organizacji należy brać pod uwagę nie tylko przepisy RODO oraz krajowych ustaw dotyczących ochrony danych osobowych, ale także inne obowiązujące akty prawne.

Jako przykład posłużyć może proces rekrutacji. Zakres danych osobowych, których pracodawca może żądać od kandydatów jest wskazany wprost przepisami Kodeksu pracy (art. 22k.p.). Planując więc ten proces, należy zaimplementować do niego ograniczenia, które narzucił na administratora ustawodawca. Oczywiście, kandydaci bardzo często podają dane, które wychodzą poza ten katalog – w takim przypadku jednak robią to z własnej inicjatywy, a przetwarzanie odbywa się na podstawie zgody. Po zakończeniu rekrutacji i wyborze pracownika, pracodawca rozpoczyna nowy proces przetwarzania danych, jakim jest zatrudnienie. Po raz kolejny proces ten powinien zostać „dopasowany” do przepisów prawa (przykładowo w zakresie 10. letniego okresu przechowywania teczek osobowych). Dlatego też ważne jest zaplanowanie procesu niejako „z góry”.

Planowanie i budowa procesu

Zasady planowania i budowy procesu przetwarzania danych osobowych wynikają z Rozporządzenia – w szczególności administrator powinien kierować się ujętymi w art. 5 RODO zasadami: rzetelności, przejrzystości, minimalizacji, prawidłowości, integralności i poufności oraz zgodności z prawem, ograniczenia celu i ograniczenia przechowywania danych. Zasady te są równoważne – oznacza to, że administrator nie może dowolnie wybrać, które z nich będą miały zastosowanie do danego procesu. Budując proces należy również uwzględnić wskazane z art. 25 RODO privacy by design oraz privacy by default (ochrona danych w fazie projektowania oraz domyślna ochrona danych).

W praktyce dane wejścia bardzo często będą służyć różnym celom, a więc będą przetwarzane w kilku procesach. Przykładem jest zawieranie umowy pomiędzy stronami (np. umowa sprzedaży w sklepie internetowym). Przetwarzanie danych osobowych na potrzeby zawarcia lub realizacji umowy znajduje podstawę prawną w art. 6 ust. 1 lit b RODO. Jednak  administrator może zdecydować o przetwarzaniu pozyskanych danych również na potrzeby marketingu własnych produktów, w oparciu o swój prawnie uzasadniony interes (art. 6 ust 1 lit f RODO). O takiej decyzji należy jednak poinformować podmiot danych w treści klauzuli informacyjnej. 

Istotną cechą procesu przetwarzania danych osobowych jest jego zmienność. Procesy zmieniają się wraz z rozwojem organizacji, co często umyka uwadze administratorów. Wdrożenie nowej technologii w firmie, wymiana sprzętu IT, korzystanie z nowego rodzaju usług, a czasem także zmiany personalne wpływają na sposób przetwarzania danych, a co za tym idzie, zmieniają się elementy procesu – pomimo, że dane wejścia i wyjścia pozostają niezmienne. Wracając ponownie do procesu rekrutacji – zmiana sposobu zbierania CV od kandydatów (np. rezygnacja z przesyłania CV na adres e-mail pracodawcy na rzecz korzystania z dedykowanej aplikacji, która zapisuje dane w chmurze) będzie istotną zmianą procesu przetwarzania i powinna znaleźć swoje odbicie w analizie ryzyka (lub konieczności przeprowadzenia DPIA). W pewnych przypadkach zmiana taka pociągnie za sobą konieczność spełnienia na nowo (aktualizacji) obowiązku informacyjnego.

Rola klauzuli informacyjnej w procesie przetwarzania danych

Administrowanie danymi osobowymi wiąże się z obowiązkiem przekazania podmiotom danych informacji na temat dokonywanego procesu przetwarzania –  jej minimalny zakres określają art. 13 i 14 RODO. Klauzula informacyjna jest więc swoistą „metryczką” procesu przetwarzania dla osób, których dane dotyczą. Na jej podstawie osoba ta, powinna być w stanie podjąć świadomą decyzję dotyczącą przekazania administratorowi swoich danych osobowych oraz wiedzieć, jakie prawa jej w związku z tym przetwarzaniem przysługują i jak je egzekwować.

Ponowne spełnianie (aktualizacja) obowiązku informacyjnego

Wspomniane zmiany procesu mogą powodować zmianę treści i zakresu klauzuli informacyjnej, co pociąga za sobą konieczność powtórnego spełnienia obowiązku informacyjnego. Konieczność tą zawsze trzeba zbadać pod kątem przesłanek art. 13 i 14 RODO oraz wpływu zmiany procesu na prawa i wolności osób, których dane są przetwarzane w ramach procesu.

Przykładowo – jeśli administrator wykorzystuje rozwiązanie chmurowe i w związku z tym, przesyła dane do państwa trzeciego, jakim są Stany Zjednoczone i zawarł tę informację w klauzuli informacyjnej, to sama zmiana dostawcy oprogramowania w ramach tego państwa trzeciego nie wpłynie na aktualizację obowiązku informacyjnego. Wynika to między innymi z tego, iż po pierwsze w myśl art. 13 i 14 RODO administrator nie ma konieczności wskazywać jakim konkretnym podmiotom dane będą udostępniane – istotną informacją dla podmiotu danych jest natomiast sam fakt przesyłania danych poza Europejski Obszar Gospodarczy do konkretnego państwa oraz informacja na temat poziomu ochrony danych osobowych na jego terytorium. Po drugie zaś, zmiana ta nie powinna wpływać na prawa i wolności podmiotów danych, bowiem każdy z tych dostawców powinien spełniać te same warunki dotyczące ochrony danych. W takim przypadku więc, obowiązek aktualizacji klauzuli informacyjnej zrodziłby się, gdyby nowy dostawca oprogramowania pochodził z innego państwa trzeciego.

Kolejnym przykładem, tym razem ilustrującym konieczność dokonania aktualizacji obowiązku informacyjnego jest sytuacja, w której administrator, w ramach rozwoju organizacji zaczyna korzystać z programu dokonującego profilowania klientów w sposób zautomatyzowany. W takim przypadku na gruncie art. 13 i 14 RODO administrator ma obowiązek poinformować o takim przetwarzaniu osobę, której dane dotyczą. Zmiana przetwarzania ma również istotny wspływ na prawa i wolności, osób których dane dotyczą – decyzja bowiem pozbawiona jest czynnika ludzkiego i oparta jedynie na zmiennych przetworzonych przez algorytm. Co więcej, w związku z profilowaniem, osobie która mu podlega, przysługują szersze uprawnienia wynikające z art. 22 RODO. Z analizy tego przypadku wynika, iż administrator powinien zaktualizować obowiązek informacyjny.


Podstawa prawna:

art. 5, 6, 13, 14, 22, 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

art. 22ustawy z dnia 26 czerwca 1974 r. Kodeks pracy.

Narzędzia kontroli jakimi dysponuje pracodawca podczas wykonywania pracy w formie zdalnej

Ogłoszenie stanu epidemii w Polsce spowodowało wiele zmian w życiu codziennym, w tym również w środowisku pracy. Pracodawcy stanęli przed zadaniem zorganizowania bezpiecznych warunków pracy, a jeśli to możliwe, z uwagi na profil działalności zakładu pracy, również polecenia swoim pracownikom wykonywania pracy w trybie zdalnym. Tak zorganizowana praca, może przysporzyć problemów organizacyjnych, dlatego też postaramy się odpowiedzieć na jedno z ważniejszych pytań – jakie narzędzia kontroli może wykorzystać pracodawca, celem podnoszenia efektywności pracy swoich pracowników, wykonujących zadania na odległość.

Wprowadzenie pracy zdalnej (tzw. home office), niezależnie do tego, czy będzie ona dedykowana dla części, czy też dla wszystkich pracowników, winno być oparte na formalnych regułach jej wykonywania. Reguły te określają czas na jaki wprowadza się pracę zdalną (przynajmniej przybliżony okres obowiązywania tejże formuły), rodzaj środków, narzędzi wykorzystywanych przez pracownika do wykonywania zadań służbowych i komunikowania się z pracodawcą oraz współpracownikami na odległość (będą to różnego rodzaju środki komunikacji elektronicznej albo podobne środki indywidualnego porozumiewania się na odległość). Formalny dokument, określający podstawowe zasady, jest pierwszym narzędziem mogącym posłużyć pracodawcy do weryfikowania wykonywanych zadań przez pracowników. Zasady pracy zdalnej mogą również, a wręcz powinny, zawierać określenie sposobu i formy kontroli pracy świadczonej przez pracownika, jak również dopuszczalne metody potwierdzania przez pracownika obecności na stanowisku pracy oraz wskazywania ram czasowych swojej dostępności dla pracodawcy.

Nowe przepisy wydane w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, co prawda przewidują możliwość polecenia pracownikom pracy zdalnej, jednakże nie precyzują sposobu jej organizacji. Dlatego też na pracodawcy ciąży obowiązek odpowiedniego uregulowania trybu zdalnego tak, by nie zaburzyło to sprawnego wykonywania zadań, przy jednoczesnym zachowaniu wysokiego poziomu merytorycznego. Home office wykazuje podobieństwo do telepracy, przewidzianej w kodeksie pracy, jako jednej z dopuszczalnych form. Warto podkreślić, iż obie formy nie są ze sobą tożsame, dlatego też przepisów o telepracy nie stosuje się odpowiednio do pracy zdalnej. Jednakże pewne reguły można zaczerpnąć, by uporządkować system realizacji zadań na odległość.

Sposób kontroli obowiązków pracowniczych powinien być dostosowany do obecnej sytuacji i wydanych zaleceń sanitarnych, obejmujących ograniczenie kontaktów personalnych. Kontrola zatem będzie odbywać się zdalnie przy użyciu środków komunikacji elektronicznej albo podobnych środków indywidualnego porozumiewania się na odległość. Jako przykład takiego rozwiązania można wskazać narzędzia bądź oprogramowanie dedykowane do tzw. time trackingu  – monitorowania czasu pracy poprzez ewidencję zadań i czasu ich wykonywania. Duże znaczenie w sukcesie tego procesu ma zaangażowanie pracownika, który poza bieżącym uzupełnianiem wspomnianego zestawienia, zobligowany będzie do regularnego raportowania (w systemie dziennym, tygodniowym).

Jednocześnie w przypadku problemów technicznych, czy też potrzeby dokonania instalacji nowego oprogramowania, w trakcie wykonywania pracy, pracodawca powinien również w formule zdalnej zapewnić wsparcie techniczne, posługując się rozwiązaniami na zasadzie help desku.

Poza starannością po stronie pracodawcy, mającą zapewnić sprawne funkcjonowanie firmy w trybie zdalnym, niezbędna jest należyta staranność pracowników, którzy będą wykonywać swoje obowiązki w zgodzie z zasadami panującymi standardowo w organizacji. Ponadto w wyznaczonych godzinach pracy pracownik powinien być dostępny dla pracodawcy, nie wykluczając również jego gotowości do stawiennictwa w siedzibie pracodawcy na uzasadnione wezwanie skierowane w trakcie tych godzin. Wśród pozostałych obowiązków pracowników można wymienić:

  1. wykorzystywanie powierzonego sprzętu wyłączenie w celach służbowych, w zgodzie z jego przeznaczeniem i w sposób bezpieczny, tak by nie dopuścić do uszkodzenia, kradzieży czy nieuprawnionego dostępu;
  2. ochronę danych osobowych, jak również informacji, mogących stanowić tajemnicę przedsiębiorstwa przed dostępem innych osób (np. domowników).

Wykonywanie pracy na odległość stało się nową rzeczywistością, a czy będzie to wygodniejsza forma współpracy, czas pokaże. Ważne z perspektywy racjonalnego organizowania pracy jest wprowadzenie prostych, transparentnych zasad, usprawniających cały proces, będąc tym samym dobrą inwestycją w opracowanie systemu, który niejednokrotnie może być przydatnym w przyszłości.

Podstawy prawne:

art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (polecenie wykonywania pracy zdalnej);

art. 675i n. ustawy z dnia 27 czerwca 1974 r. Kodeks pracy (zatrudnianie pracowników w formie telepracy).

Niezbędne dane kandydatów w toku rekrutacji do placówek oświatowych

Rekrutacja do placówek oświatowych zarówno w wersji elektronicznej, jak i papierowej , jest w toku, bądź niebawem się rozpocznie. Warto przypomnieć kilka podstawowych zasad, o których należy pamiętać podczas gromadzenia danych osobowych kandydatów oraz ich rodziców bądź innych opiekunów prawnych.

Jakie dane mogę zbierać?

Zakres danych osobowych, jakie mogą być pobierane przez placówki oświatowe w toku rekrutacji został wyraźnie sprecyzowany w przepisach prawa oświatowego. Wśród tych danych wyszczególnione zostały dane osobowe ucznia oraz jego rodziców albo innych opiekunów prawnych. I tak, pobiera się:

  • w przypadku kandydata niepełnoletniego: imię, nazwisko, datę urodzenia oraz numer PESEL, a w przypadku jego braku serię i numer paszportu lub innego dokumentu potwierdzającego tożsamość, imiona i nazwiska rodziców, adres miejsca zamieszkania rodziców i kandydata, adres poczty elektronicznej i numery telefonów rodziców kandydata – o ile je posiadają.
  • w przypadku kandydata pełnoletniego: imię, nazwisko, datę urodzenia oraz numer PESEL, a w przypadku jego braku serię i numer paszportu lub innego dokumentu potwierdzającego tożsamość, imiona rodziców, adres miejsca zamieszkania kandydata; adres poczty elektronicznej i numer telefonu kandydata – o ile je posiada.

Do wniosków należy dołączyć także inne dokumenty wymagane przepisami prawa oświatowego, jak np. oświadczenia o samotnym wychowywaniu dziecka, czy wyrok sądu rodzinnego orzekającego rozwód lub separację. 

Czy mogę zbierać dane identyfikacyjne opiekunów prawnych? 

Zbieranie przez placówki oświatowe numeru PESEL czy serii i numeru dowodu osobistego rodziców kandydata nie zostało ujęte w przepisach prawa oświatowego, jako niezbędne działanie w procesie rekrutacji. Pobieranie tych danych nie będzie zatem zgodne z prawem. Działanie takie będzie stanowić naruszenie przepisów prawa oświatowego oraz zasady minimalizacji, legalizmu oraz proporcjonalności, wyrażonych w art. 5 RODO. Nie zależy zatem pobierać od rodziców ich numeru PESEL czy serii i numeru dowodu osobistego.

Jak długo można przetwarzać dane osobowe zgromadzone w toku rekrutacji?

Okres przechowywania danych osobowych zależny jest od wyniku postępowania rekrutacyjnego. Sposób postępowania w przypadku kandydatów przyjętych jest odmienny niż wobec tych, którzy negatywnie przeszli rekrutację. Poniżej rozróżnienie okresu przechowywania danych wobec:

  • kandydata przyjętego: dane osobowe przechowujemy nie dłużej niż przez okres, w który uczeń uczęszcza do placówki.
  • kandydata nieprzyjętego: dane osobowe przechowujemy przez rok, chyba że na rozstrzygnięcie dyrektora  wniesiona została skarga do sądu administracyjnego i postępowanie nie zostało zakończone prawomocnym wyrokiem.

A co z publikacją wyników rekrutacji?

Wyniki postępowania rekrutacyjnego podaje się do publicznej wiadomości. Lista osób zakwalifikowanych, zawierająca imię i nazwisko kandydata, posegregowana alfabetycznie, zawierać musi także minimalną liczbę punktów, która uprawnia do przyjęcia do placówki.

Zgodnie z przepisami prawa oświatowego listę, o której mowa powyżej, podaje się do publicznej wiadomości poprzez umieszczenie w siedzibie placówki oświatowej, w widocznym miejscu.

Obecnie dopuszczalne jest również publikowanie wyników rekrutacji na stronie internetowej placówki z uwagi na wyjątkową sytuację w kraju (zgodnie z nowymi przepisami wydanymi na podstawie przepisów specustawy dotyczącej koronawirusa).

Stanowisko Urzędu Ochrony Danych Osobowych

Zgodnie z wytycznymi UODO nie jest dopuszczalne podanie do publicznej wiadomości wyników rekrutacji za pośrednictwem kont na portalach społecznościowych czy fanpage’ach placówki.

Zamieszczanie danych osobowych w internecie wiąże się z ryzykiem, które należałoby oszacować dokonując jego analizy. Podczas publikowania list uczniów należy kierować się zasadą minimalizacji, jak również ograniczenia przechowywania danych osobowych, wyrażonych w RODO.

Z uwagi na powyższe, Urząd rekomenduje by dyrektorzy informowali kandydatów indywidualnie o wynikach rekrutacji, korzystając ze środków komunikacji elektronicznej.

Po zakończeniu czasowego ograniczenia funkcjonowania placówek oświatowych należy usunąć listy kandydatów ze strony internetowej i pozostawić jedynie na tablicy ogłoszeń na terenie placówki.

Czy posiadam jeszcze inne obowiązki?

Rekrutacja do placówki oświatowej wiąże się także z koniecznością spełnienia obowiązku informacyjnego wobec osób, których dane gromadzimy, co wynika z art. 13 oraz 14 RODO. Dokonać można tego za pomocą klauzuli informacyjnej umieszczonej na wniosku do placówki lub przekazując rodzicom czy pełnoletnim kandydatom klauzuli jako odrębnego dokumentu. Może to być pełna treść klauzuli informacyjnej lub odpowiednio skrócona wersja, przy czym kompletny dokument należy umieścić na stronie internetowej i wywiesić na terenie placówki. Należy również pamiętać, że w przypadku ewentualnej kontroli ze strony organu nadzoru, placówka powinna być w stanie wykazać spełnienie obowiązku informacyjnego na gruncie RODO. Rozliczyć się ze swoich działań można przykładowo poprzez przedstawienie klauzuli informacyjnej, opatrzonej podpisem rodzica czy innego opiekuna prawnego.

Podstawa prawna

Zgodnie z ustawą z dnia 14 grudnia 2016 r. Prawo oświatowe, rodzice albo inni opiekunowie prawni składają do dyrektorów wniosek o przyjęcie ich dziecka do wybranej placówki oświatowej. Treść wniosku wraz z rodzajem załączników uregulowana została w art. 150 i 151 przywołanej ustawy. Co istotne – pozyskiwanie danych nie będzie następować na podstawie zgody, lecz z uwagi na uregulowane ich zakresu w przepisach prawa (art. 150 ust. 1) – na potrzeby realizacji obowiązku prawnego ciążącego na administratorze (placówce oświatowej).

Rekrutacja dzieci do placówek oświatowych

Placówki oświatowe corocznie przeprowadzają rekrutację dzieci. Z uwagi na rozpoczęcie rekrutacji w szkołach podstawowych, oddziałach przedszkolnych, przedszkolach oraz planowanie otwarcia postępowania elektronicznego dla szkół ponadpodstawowych, warto przypomnieć podstawowe obowiązki na gruncie ochrony danych osobowych.

Zasady przeprowadzenia rekrutacji zostały uregulowane w ustawie z dnia 14 grudnia 2016 r. prawo oświatowe oraz w odpowiednich aktach wykonawczych. Podstawą przeprowadzenia postępowania rekrutacyjnego jest analiza spełnianych przez kandydata kryteriów, określonych w przywołanej ustawie, a następnie złożenie wniosku do dyrektora placówki. Dane osobowe, jakie będą zawarte w takim wniosku, obejmują podstawowe dane indentyfikacyjne kandydata, jak również jego rodziców bądź innych opiekunów prawnych oraz pozostałe dane zawarte w załączonych do wniosku dokumentach i oświadczeniach. Jednocześnie placówka oświatowa uprawniona jest do przetwarzania innych, niż wyraźnie wskazanych w przepisach, danych osobowych, jakie zostały uznane przez rodzica bądź innego opiekuna prawnego za istotne i z tego powodu zostały przekazane jednostce. Mogą to być dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym, przekazane celem zapewnienia odpowiedniej opieki, odżywiania oraz dostosowania metod opiekuńczo – wychowawczych.  

Podstawą przetwarzania danych osobowych nie jest zgoda, lecz w zależności od rodzaju pobieranych danych i regulacji prawnych w tym zakresie, będzie to obowiązek prawny bądź działalność w interesie publicznym lub w ramach sprawowania władzy publicznej. Dodatkowo, wszystkie osoby pełniące funkcje lub wykonujące pracę w placówkach oświatowych, są obowiązane do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą.

Administratorem danych zgromadzonych w procesie rekrutacji będzie odpowiednio miasto/gmina i placówki oświatowe, a jest to uzależnione od etapu postępowania rekrutacyjnego. W ramach rekrutacji, prowadzonej przy użyciu elektronicznego systemu rekrutacji, Administratorem tak pozyskanych danych, będzie miasto/gmina, a dokładnie organ w postaci Prezydenta/Wójta. Natomiast dane osobowe zawarte we wnioskach składanych do dyrekcji placówki, staną się danymi odrębnego Administratora, jakim w tym przypadku  będzie placówka oświatowa (nie dyrektor).

Ważne, z perspektywy regulacji w obszarze ochrony danych osobowych, jest zidentyfikowanie podstawowych obowiązków, ciążących na każdym z wymienionych powyżej administratorów. Oznacza to, że zarówno miasto/gmina, jak i placówka oświatowa są zobligowani do spełniania obowiązku informacyjnego w związku z przetwarzaniem danych osobowych na kolejnych etapach rekrutacji. Przekazanie klauzuli informacyjnej przez miasto/gminę, nie zwalnia placówki oświatowej z wykonania tego obowiązku we własnym zakresie.

Wprowadzenie stanu zagrożenia epidemiologicznego znacząco ograniczyło i zmieniło sposób funkcjonowania placówek oświatowych – na mocy rozporządzenia Ministra Edukacji Narodowej z dnia 11 marca 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19. Zmiana organizacji pracy placówek, nie pozostaje bez znaczenia dla procesu rekrutacji. Obecnie, celem zminimalizowania ryzyka rozprzestrzeniania się COVID-19, niektóre dokumenty niezbędne w postępowaniu rekrutacyjnym, będą mogły być zastąpione oświadczeniem, skanem, wiadomością od podmiotu, który zaświadczenie winien wystawić (np. zaświadczenie o zatrudnieniu, zaświadczenie z poradni o potrzebie kształcenia specjalnego). Po ustaniu stanu zagrożenia epidemiologicznego, pojawi się prawdopodobnie obowiązek przedłożenia oryginałów bądź uwierzytelnionych kopii.