Placówki oświatowe corocznie przeprowadzają rekrutację dzieci. Z uwagi na rozpoczęcie rekrutacji w szkołach podstawowych, oddziałach przedszkolnych, przedszkolach oraz planowanie otwarcia postępowania elektronicznego dla szkół ponadpodstawowych, warto przypomnieć podstawowe obowiązki na gruncie ochrony danych osobowych.
Zasady przeprowadzenia rekrutacji zostały uregulowane w ustawie z dnia 14 grudnia 2016 r. prawo oświatowe oraz w odpowiednich aktach wykonawczych. Podstawą przeprowadzenia postępowania rekrutacyjnego jest analiza spełnianych przez kandydata kryteriów, określonych w przywołanej ustawie, a następnie złożenie wniosku do dyrektora placówki. Dane osobowe, jakie będą zawarte w takim wniosku, obejmują podstawowe dane indentyfikacyjne kandydata, jak również jego rodziców bądź innych opiekunów prawnych oraz pozostałe dane zawarte w załączonych do wniosku dokumentach i oświadczeniach. Jednocześnie placówka oświatowa uprawniona jest do przetwarzania innych, niż wyraźnie wskazanych w przepisach, danych osobowych, jakie zostały uznane przez rodzica bądź innego opiekuna prawnego za istotne i z tego powodu zostały przekazane jednostce. Mogą to być dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym, przekazane celem zapewnienia odpowiedniej opieki, odżywiania oraz dostosowania metod opiekuńczo – wychowawczych.
Podstawą przetwarzania danych osobowych nie jest zgoda, lecz w zależności od rodzaju pobieranych danych i regulacji prawnych w tym zakresie, będzie to obowiązek prawny bądź działalność w interesie publicznym lub w ramach sprawowania władzy publicznej. Dodatkowo, wszystkie osoby pełniące funkcje lub wykonujące pracę w placówkach oświatowych, są obowiązane do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą.
Administratorem danych zgromadzonych w procesie rekrutacji będzie odpowiednio miasto/gmina i placówki oświatowe, a jest to uzależnione od etapu postępowania rekrutacyjnego. W ramach rekrutacji, prowadzonej przy użyciu elektronicznego systemu rekrutacji, Administratorem tak pozyskanych danych, będzie miasto/gmina, a dokładnie organ w postaci Prezydenta/Wójta. Natomiast dane osobowe zawarte we wnioskach składanych do dyrekcji placówki, staną się danymi odrębnego Administratora, jakim w tym przypadku będzie placówka oświatowa (nie dyrektor).
Ważne, z perspektywy regulacji w obszarze ochrony danych osobowych, jest zidentyfikowanie podstawowych obowiązków, ciążących na każdym z wymienionych powyżej administratorów. Oznacza to, że zarówno miasto/gmina, jak i placówka oświatowa są zobligowani do spełniania obowiązku informacyjnego w związku z przetwarzaniem danych osobowych na kolejnych etapach rekrutacji. Przekazanie klauzuli informacyjnej przez miasto/gminę, nie zwalnia placówki oświatowej z wykonania tego obowiązku we własnym zakresie.
Wprowadzenie stanu zagrożenia epidemiologicznego znacząco ograniczyło i zmieniło sposób funkcjonowania placówek oświatowych – na mocy rozporządzenia Ministra Edukacji Narodowej z dnia 11 marca 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19. Zmiana organizacji pracy placówek, nie pozostaje bez znaczenia dla procesu rekrutacji. Obecnie, celem zminimalizowania ryzyka rozprzestrzeniania się COVID-19, niektóre dokumenty niezbędne w postępowaniu rekrutacyjnym, będą mogły być zastąpione oświadczeniem, skanem, wiadomością od podmiotu, który zaświadczenie winien wystawić (np. zaświadczenie o zatrudnieniu, zaświadczenie z poradni o potrzebie kształcenia specjalnego). Po ustaniu stanu zagrożenia epidemiologicznego, pojawi się prawdopodobnie obowiązek przedłożenia oryginałów bądź uwierzytelnionych kopii.