CORE CONSULTING

Tag: Szkoły

Jak długo publikować dane uczniów na stronie internetowej?

W dzisiejszych czasach posiadanie przez placówkę oświatową strony internetowej to praktycznie standard. Strona służy do udzielania informacji, do prowadzenia komunikacji z uczniami i rodzicami, do promowania działalności placówki oraz sukcesów jej uczniów. Nierzadko strona internetowa szkoły stanowi elektroniczny odpowiednik kroniki szkolnej, w której przechowywane są zdjęcia czy artykuły z lat poprzednich. Publikacja takich materiałów, wiąże się jednak z koniecznością ich weryfikacji. Nasuwa się zatem pytanie, jak długo można publikować dane uczniów na stronie internetowej? Poniżej przedstawiamy Państwu odpowiedzi.

Na wstępie należy zaznaczyć, że przepisy prawa nie mówią jednoznacznie, jak długo możemy publikować dane (zwłaszcza wizerunek) uczniów na stronie internetowej. Oznacza to, że odpowiedzi musimy udzielić sobie sami w oparciu o zasady wynikające z RODO. Przede wszystkim musimy spełnić dwa warunki: posiadać ważną (aktualną) podstawę przetwarzania danych oraz kierować się zasadą ograniczenia przechowywania danych.

1. Podstawa przetwarzania

Publikacja wizerunku ucznia, możliwa jest dopiero po pobraniu zgody od jego rodziców (lub samego ucznia, gdy jest osobą pełnoletnią). Taka zgoda jest najbardziej adekwatną podstawą prawną, ponieważ prowadzenie strony internetowej (i zamieszczanie na niej materiałów) nie jest ani uprawnieniem, ani obowiązkiem placówki oświatowej. Krótko mówiąc, przepisy prawa ani nie zobowiązują, ani nie zabraniają placówce stworzyć strony. Co do zasady, nie możemy więc oprzeć publikowania danych uczniów o przepis prawa, ani o działanie w interesie publicznym (w tym drugim przypadku, sytuacja przedstawia się nieco odmiennie w przypadku kadry pedagogicznej).

2. Ograniczenie przechowywania danych

Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jeśli więc przy przyjmowaniu nowych uczniów do szkoły, zbieramy od ich rodziców zgody na publikację wizerunku na stronie, to powinniśmy przyjąć, że zgoda obowiązuje do momentu jej odwołania i nie dłużej niż przez okres, niezbędny do realizacji celu w postaci, np. zamieszczania wiadomości o bieżących wydarzeniach (a w przypadku np. ukończenia edukacji w placówce przez danego ucznia, należy zastanowić się, czy dalsza publikacja danych, nadal służy do spełnienia przyjętego przez placówkę celu).

Często zadawane pytania

Czy w takim razie dane uczniów mogą być publikowane na stronie w nieskończoność?


Nie. Już na etapie pozyskiwania zgody powinniśmy wiedzieć, jak długo chcemy przetwarzać dane osobowe. Możemy na przykład wewnętrznie ustalić, że zakładka „Aktualności” (również „Galeria” czy „Archiwum”) nie zawiera wpisów starszych niż 3-4 lata. Nie trzeba tego robić w żaden oficjalny sposób (dyrektor nie musi w tym celu wydawać zarządzenia). Najważniejsze, by każda osoba zaangażowana w tworzenie strony wiedziała, jakie zasady zostały przyjęte.

Nasza szkoła ma kilkuletnią tradycję chwalenia się osiągnięciami uczniów – niektóre informacje o naszych sportowcach lub laureatach olimpiad tematycznych sięgają daleko wstecz (8-10 lat). Czy musimy teraz usunąć zakładkę z wybitnymi uczniami i zrezygnować z naszego dorobku?

To zależy. Jeśli przed wejściem RODO do stosowania (czyli przed 25 maja 2018 roku) nie zbieraliśmy zgód od uczniów, mamy dwa wyjścia: skontaktować się z absolwentami, w celu uzyskania od nich zgody na dalszą publikację danych lub, jeżeli nie jest to możliwe, dopiero wtedy usunąć ich dane. Nie możemy przetwarzać danych bezpodstawnie – czyli nie możemy publikować wizerunku lub innych danych uczniów bez ich zgody (lub zgody ich rodziców).

W takim razie chcemy rozpocząć „kolekcjonowanie” sukcesów uczniów od nowa (tzn. odkąd obowiązuje RODO). Czy zgoda, którą zbieramy od każdego nowego ucznia wystarczy, by przez kolejne 5-10 lat publikować informacje o jego wybitnych osiągnięciach?

Rekomendujemy zbieranie osobnej zgody od konkretnych uczniów. Jeżeli chcemy utworzyć specjalną zakładkę lub listę wybitnych uczniów, tak naprawdę tworzymy nowy cel przetwarzania ich danych. Ten cel nie polega już na raportowaniu bieżących wydarzeń, lecz długofalowym promowaniu działalności (jakości nauczania, tradycji) szkoły. Dlatego też uczniowie udzielający zgody powinni mieć świadomość, do czego informacje o nich będą wykorzystywane i przez jaki czas.

Wykorzystywanie prywatnych skrzynek e-mail

Pytanie: wszyscy nauczyciele przedszkola mają założone służbowe e-maile, ale nie mamy możliwości założenia służbowych e-maili dla pracowników niepedagogicznych. Chcielibyśmy zebrać od pracowników obsługi ich prywatne adresy e-mail żeby móc im wysyłać elektronicznie, np. prezentacje ze szkolenia BHP, szkolenia dotyczące PPK, informacje dotyczące organizacji pracy itp. W jaki sposób możemy to zrobić, aby było to zgodne z RODO? Czy na jakimś specjalnym formularzu? Czy możemy od pracownika wymagać podania prywatnego adresu e-mail czy jest to tylko jego dobra wola?

Odpowiedź: W przypadku prywatnych adresów e-mail ich podanie przez pracowników jest możliwe tylko za ich zgodą. Oznacza to, że pracownik powinien mieć realną możliwość odmowy jej udzielenia (bez negatywnych konsekwencji). Co z kolei oznacza, że brak zgody nie uniemożliwi mu dostępu do szkoleń i informacji. W przypadku relacji pracownik – pracodawca dobrowolność takiej zgody może być poddana pod wątpliwość przez Urząd Ochrony Danych Osobowych z uwagi na to, iż pracownik może czuć przymus jej udzielenia i obawiać się odmówić (co sprawia, iż zgoda taka nie jest dobrowolna).

Z uwagi na to, że przesyłane informacje mają mieć charakter jedynie organizacyjny – proponuję dwa rozwiązania, które pomogą nam uniknąć pobierania i posługiwania się adresami prywatnymi:

  1. Jeden wspólny mail – w celu umieszczania informacji można rozważyć założenie przez Placówkę jednej wspólnej skrzynki e-mail, na którą mogliby logować się pracownicy i korzystać z przesyłanych na nią szkoleń i innych informacji.
  2. Drugim rozwiązaniem jest założenie indywidualnego maila dla każdego pracownika na komercyjnej skrzynce e-mail. Skrzynka taka służyłaby jedynie do przesyłania wspomnianych treści. Zalecam, aby w takim przypadku w adresie e-mail nie podawać imienia i nazwiska pracownika, a ewentualnie posłużyć się inicjałami.

Oczywiście zakładanie takiej jednej zbiorczej lub kilku indywidualnych skrzynek wiąże się z korzystaniem ze skrzynek darmowych i komercyjnych, korzystania z których zawsze Państwu odradzamy. Jednak w tym konkretnym przypadku można wyjść z założenia, że prywatne skrzynki pracowników również założone są na kontach komercyjnych i darmowych, po drugie zaś na skrzynki te nie będą Państwo przesyłać korespondencji zawierającej dane osobowe.

Ustawa o ochronie sygnalistów – znamy założenia do projektu

17 grudnia 2021 r. mija termin na przyjęcie przepisów krajowych implementujących dyrektywę unijną o ochronie sygnalistów[1]. Poznaliśmy istotę rozwiązań, które mają zostać przyjęte w ustawie.

Zakres zgłoszeń

Zakres możliwych zgłoszeń naruszeń prawa przez sygnalistów nie zostanie rozszerzony na inne obszary niż zakłada to dyrektywa. Nie jest zaskoczeniem, że zakres ten będzie jednak obejmował również naruszenie przepisów krajowych (a nie tylko unijnych) z dziedzin określonych w dyrektywie. Dla przypomnienia, są to obszary:

– zamówień publicznych,

– usług, produktów i rynków finansowych,

– zapobiegania praniu pieniędzy i finansowaniu terroryzmu,

– bezpieczeństwa produktów,

– bezpieczeństwa transportu,

– ochrony środowiska,

– ochrony radiologicznej i bezpieczeństwa jądrowego,

– bezpieczeństwa żywności i pasz,

– zdrowia i dobrostanu zwierząt,

– zdrowia publicznego, w tym praw pacjentów i kontroli wyrobów tytoniowych,

– ochrony konsumentów,

– ochrony prywatności i danych osobowych,

– bezpieczeństwa sieci i systemów teleinformatycznych.

Ponadto zakresem dyrektywy objęte są naruszenia mające wpływ na interesy finansowe UE, dotyczące rynku wewnętrznego, w tym naruszenia unijnych zasad konkurencji i pomocy państwa oraz naruszenia krajowych przepisów regulujących opodatkowanie osób prawnych.

Podmioty zobowiązane do wdrożenia procedur

Ważnym założeniem do projektu ustawy jest to, że w sektorze publicznym obowiązek wdrożenia procedur zostanie ograniczony do jednostek zatrudniających co najmniej 50 pracowników. Nasz ustawodawca planuje zatem skorzystać z uprawnienia nadanego mu przez dyrektywę do ograniczenia kręgu podmiotów zobowiązanych.

W obrębie podmiotów z sektora prywatnego nie zakłada się modyfikacji na poziomie krajowym. Zobowiązani do wdrożenia procedur zgłaszania naruszeń będą przedsiębiorcy zatrudniający co najmniej 249 pracowników. Podmioty zatrudniające od 50 do 249 pracowników także będą musiały wdrożyć procedury, ale dopiero pod koniec 2023 r. Co ważne, podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek stosowania przepisów już w tym roku – niezależnie od liczby zatrudnionych osób.

Niestety na tym etapie założeń do projektu nadal nie wiemy czy i jak należy definiować pojęcie pracownika. Wydaje się, że ustalając stan zatrudnienia trzeba będzie brać pod uwagę również osoby wykonujące zadania na podstawie umów zlecenia.

Sygnaliści

Ustawa ma zapewnić ochronę sygnalistom niezależnie od podstawy i formy świadczenia pracy (umowa o pracę, cywilnoprawna, w ramach własnej działalności gospodarczej, kontrakt menedżerski, wolontariat, staż, praktyka). Ochroną objęte będą również osoby świadczące pracę na rzecz wykonawców, podwykonawców lub dostawców podmiotu, którego dotyczyć będzie zgłoszenie. Za sygnalistów uważani będą również akcjonariusze, wspólnicy oraz członkowie organów osób prawnych oraz byli pracownicy i kandydaci do pracy.

Założenia do projektu ustawy są takie, że sytuacja prawna sygnalisty ma zostać wzmocniona na gruncie ewentualnych postępowań sądowych poprzez odwrócenie ciężaru dowodu. Sygnalista ma mieć prawo do dochodzenia odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę.

Wewnętrzne procedury

Przewiduje się w ustawie, że procedura zgłaszania naruszeń będzie miała charakter wewnątrzzakładowego aktu prawnego objętego zakresem definicji prawa pracy. Treść procedury będzie zatem przedmiotem uzgodnień z zakładowymi organizacjami związkowymi albo konsultacji z przedstawicielami pracowników.

Na tym etapie zakłada się, że procedura – w wersji minimalnej – będzie musiała obejmować swoim zakresem pracowników. Co za tym idzie, przepisy krajowe mają dawać swobodę podmiotom zobowiązanym w wyborze czy będą chcieli umożliwić skorzystanie z wewnętrznych kanałów zgłoszeń przez np. byłych pracowników, wolontariuszy, stażystów czy też dostawców lub podwykonawców. Należy jednak pamiętać, że brak umożliwienia zgłoszenia kanałem wewnętrznym nie wyłączy możliwości dokonania zgłoszenia przez te osoby w innym trybie tj. zgłoszenia zewnętrznego (do organu centralnego).

Organ centralny – Rzecznik Praw Obywatelskich

Polski ustawodawca chce wyznaczyć na organ centralny Rzecznika Praw Obywatelskich, który będzie udzielał wsparcia sygnalistom i przyjmował zgłoszenia (kanał zewnętrzny). 

Wiemy również, że Rzecznik nie będzie organem rozpatrującym zgłoszenia, a jego rola będzie sprowadzała się do nadania zgłoszeniu właściwego biegu czyli tak faktycznie przekazania sprawy do właściwego organu (w zależności od tego czy konieczne okaże się postępowanie kontrolne, wyjaśniające czy np. złożenie zawiadomienia o przestępstwie). W konsekwencji należy założyć, że ustawa raczej nie będzie zawierała niezależnej procedury postępowania w zakresie merytorycznego rozstrzygania zgłoszeń.

Odrębna ustawa

Nie jest również zaskoczeniem, że z uwagi na szeroki zakres koniecznych do wdrożenia rozwiązań przepisy związane z ochroną sygnalistów zostaną ujęte w formie odrębnej ustawy.

Kary

Z dotychczas opublikowanych informacji nie wynika, jakie kary będą wiązały się z naruszeniem przepisów o ochronie sygnalistów. Dyrektywa wymaga, aby ustawodawca krajowy zapewnił skuteczność stosowania przepisów poprzez wprowadzenie sankcji o charakterze karnym, cywilnym i/lub administracyjnym. Przewidujemy, że podobnie jak w przypadku kar za naruszenie przepisów o ochronie danych osobowych, sankcje te mogą być dotkliwe. Z tego powodu zalecamy nie czekać z decyzją o wdrożeniu wymaganych procedur do ostatniej chwili.

Pamiętajmy, że powyższe założenia są wstępne i mogą ulec zmianie na dalszych etapach. Z niecierpliwością czekamy na projekt ustawy. Zmiany można śledzić tutaj: https://archiwum.bip.kprm.gov.pl/kpr/form/r230343592,Projekt-ustawy-o-ochronie-osob-zglaszajacych-naruszenia-prawa.html

[1] Dyrektywa Parlamentu Europejskiego i Rady UE (2019/1937) z dnia 23 października 2019 w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Konkurs międzyszkolny – o czym należy pamiętać

Placówka będąca organizatorem konkursów międzyszkolnych, powinna odpowiednio zadbać o ochronę danych osobowych, zarówno uczestników, jak i ich opiekunów oraz nauczycieli. Poniższe zalecenia,
dotyczą każdej placówki, która kieruje konkurs do uczniów (podopiecznych / słuchaczy) spoza swojej organizacji, czyli zbiera zgłoszenia osób z zewnątrz.

ORGANIZATOR KONKURSU POWINIEN
PAMIĘTAĆ O:
A. ZEBRANIU ODPOWIEDNICH ZGÓD.
B. PRZEKAZANIU KLAUZULI INFORMACYJNEJ.
C. UREGULOWANIU PRZETWARZANIA DANYCH
PRZEZ INNE PLACÓWKI.
D. NADANIU UPOWAŻNIEŃ.

A. ODPOWIEDNIO SFORMUŁOWANA ZGODA
Pamiętajmy, aby zadbać o następujące zgody:
• Na przetwarzanie danych osobowych uczestnika – w celu wzięcia udziału w konkursie.
• Wykorzystanie wizerunku – zarówno uczestników, jak
i ich nauczycieli i opiekunów – jeśli chcemy umieszczać zdjęcia z przebiegu konkursu lub jego laureatów na stronie internetowej lub mediach społecznościowych.
• Na umieszczenie danych takich jak imię i nazwisko, klasa, wiek oraz miejsce zajęte w klasyfikacji konkursu na stronie internetowej organizatora – jeśli chcemy takie informacje zamieścić w Internecie.

B. KLAUZULA INFORMACYJNA
Każdy konkurs wiąże się z przetwarzaniem danych osobowych – nie tylko uczestników, ale także rodziców (opiekunów prawnych), w przypadku niepełnoletnich dzieci oraz nauczycieli. Każda z tych osób, powinna zostać poinformowana o tym, w jaki sposób przetwarzane będą jej dane.
Jak optymalnie przekazać klauzulę informacyjną?
• Pełna klauzula, powinna być dostępna na stronie internetowej i w sekretariacie organizatora. Najlepiej, jeśli klauzula ta, stanowi załącznik do regulaminu konkursu.
• Skróconą klauzulę informacyjną – najlepiej umieścić na formularzach (przykładowo w stopce dokumentu). Niemniej, aby wspomniane rozwiązanie było skuteczne, musimy pamiętać o tym, by klauzula w wersji pełnej, była łatwo dostępna – patrz punkt wyżej.

C. REGULACJA SPOSOBU PRZETWARZANIA
DANYCH POMIĘDZY PLACÓWKAMI
Jeśli zgłoszenia uczestników dokonywane są poprzez inne placówki, należy uregulować sposób, w jaki będą one przetwarzać dane osobowe. Pamiętajmy, że placówki te, zbierają dane osobowe w imieniu organizatora, na przygotowanych przez niego formularzach. W takim przypadku, niezbędne jest wskazanie przynajmniej ogólnych reguł takiego przetwarzania, już w ramach regulaminu konkursu. Docelowo szczegółowe
uregulowanie sposobu przetwarzania, powinno nastąpić przy użyciu umowy powierzenia, bądź innego instrumentu prawnego, jakim może być regulamin przetwarzania.
Jeśli uczestnicy samodzielnie i bezpośrednio zgłaszają się do nas – nie ma konieczności, aby dodatkowo regulować te zasady (nikt bowiem nie pośredniczy w przekazywaniu wypełnionych zgód i zgłoszeń).

D. UPOWAŻNIENIA DO PRZETWARZANIA
DANYCH OSOBOWYCH
Jeśli w komisji konkursowej znajdują się osoby spoza placówki (nie będące pracownikiem organizatora konkursu), przykładowo przedstawiciel sponsora lub organizacji wspierającej konkurs merytorycznie, to w takim przypadku, osobom tym należy nadać stosowne Jedyną niezbędną zgodą jest upoważnienie.

Jedyną niezbędną zgodą jest zgoda na udział w konkursie i na przetwarzanie danych osobowych, w celu jego realizacji. Zgoda na wykorzystanie wizerunku lub na udostępnienie danych na stronie
internetowej, nie powinna być obowiązkowa, a niewyrażenie tych
zgód, nie może mieć wpływu na możliwość udziału w konkursie.

Dane niechciane

CZYM SĄ I CO Z NIMI ZROBIĆ?

Kiedy mamy do czynienia z „danymi niechcianymi”
Przetwarzanie danych osobowych stanowi pewien proces, który powinien być zaplanowany, mieć swój początek oraz koniec. Zadaniem administratora jest określenie tego, jakie informacje, na jakiej podstawie, w jakim celu i w jaki sposób będą przetwarzane oraz wskazanie, w miarę możliwości, okresu ich przechowywania. Innymi słowy, dane osobowe przetwarzane w ramach organizacji, powinny być przyporządkowane do konkretnego procesu (lub procesów) i nie powinny znajdować się w niej przez przypadek. W praktyce zdarza się jednak, że organizacja wchodzi w posiadanie danych osobowych wbrew własnej woli. Pojawiają się wówczas kwestie problemowe – co z takimi danymi zrobić, jak je przetwarzać, czy należy spełnić obowiązek informacyjny. Przykładem otrzymania takich danych jest otrzymanie wiadomości e-mail zawierającej CV, podczas gdy nie jest prowadzona rekrutacja, a placówka nie jest zainteresowana zatrudnianiem nowego pracownika. Inną sytuacją jest składanie przez pracownika wniosku do ZFŚS i załączanie kserokopii dokumentów np. wypisu ze szpitala. Takie dane określa się właśnie mianem „danych niechcianych”.

JEŚLI ADMINISTRATOR PODEJMIE DECYZJĘ O USUNIĘCIU BĄDŹ ZNISZCZENIU DANYCH NIECHCIANYCH, WÓWCZAS NIE BĘDZIE ZOBLIGOWANY DO SPEŁNIENIA OBOWIĄZKU INFORMACYJNEGO WOBEC OSOBY, KTÓRA PRZEKAZAŁA DANE WBREW JEGO WOLI.

Jak dalej postąpić?
Pamiętajmy, że to administrator decyduje o tym jakie dane osobowe przetwarza – część z tych danych pojawia się w organizacji na podstawie przepisów prawa (np. w przypadku zatrudnienia pracowników), a część z nich w wyniku działalności administratora (np. na podstawie zgody na otrzymywanie newslettera lub umowy na wykonanie usługi). Nie można natomiast niejako zmusić daną organizację do administrowania naszymi danymi osobowymi np. przesyłając CV w wiadomości e-mail lub przekazując nadmiarową dokumentację. W przypadku otrzymania takich „nadprogramowych” danych osobowych administrator ma prawo po prostu je usunąć, jako że są one dla niego zbędne. W tym przypadku też, nie ma konieczności aby spełniać obowiązek informacyjny wobec osoby, która przekazała swoje dane.

TAK ZWANE: „DANE NIECHCIANE” NALEŻY PO PROSTU USUNĄĆ BĄDŹ ZNISZCZYĆ.

PODSUMOWUJĄC:
Wiadomości e-mail zawierające dane niechciane należy pozostawiać bez odpowiedzi oraz usunąć je ze skrzynki.
Natomiast w przypadku dokumentów zwrócić je właścicielowi bądź (jeśli są to kserokopie) zniszczyć.

Spełnianie obowiązku informacyjnego wobec stron umowy

Zaktualizowanie się obowiązku przedłożenia klauzuli informacyjnej (czyli spełnienia obowiązku informacyjnego) stronie umowy zależy od rodzaju podmiotu, z którym placówka nawiązuje współpracę. RODO swym zakresem, bowiem obejmuje tylko osoby fizyczne. W niniejszym artykule znajdują się informacje o tym, wobec jakich konkretnie podmiotów administrator powinien ten obowiązek spełnić.

Kiedy klauzula informacyjna jest konieczna…

Administrator danych powinien spełnić obowiązek informacyjny wobec:

1. osoby fizycznej – czyli w każdym przypadku kiedy stroną umowy jest konkretna osoba np. Jan Kowalski i to z tą osobą placówka zawiera umowę (a nie przykładowo z firmą, którą Jan Kowalski reprezentuje).

2. osoby fizycznej prowadzącej jednoosobową działalność gospodarczą (przedsiębiorcy) – zgodnie z przepisami Kodeksu cywilnego (art. 43k.c.) firmą osoby fizycznej jest jej imię i nazwisko. Aby ustalić, czy stroną umowy jest przedsiębiorca wystarczy przeanalizować nazwę firmy – przykładowo: Przedsiębiorstwo usługowe ABC Jan Kowalski wskazuje, iż kontrahent Placówki przedsiębiorcą, ergo, należy spełnić wobec niego obowiązek informacyjny.

3. wspólników spółki cywilnej – spółka cywilna (skrót: s.c.) jest umową pomiędzy wspólnikami. W wyniku jej zawarcia nie powstaje nowy podmiot prawa (wspólników łączy stosunek zobowiązaniowy). Reprezentujący ją wspólnicy powinni być więc traktowani jak wskazane wyżej podmioty: osoby fizyczne albo przedsiębiorcy.

… a kiedy jest zbędna

Klauzuli informacyjnej nie przekazujemy pozostałym podmiotom – firmom, które są spółkami prawa handlowego (wskazuje na to element nazwy: sp. z o.o., S.A., sp.j., sp.p., sp.k., S.K.A.), stowarzyszeniom, fundacjom, spółdzielniom, urzędom (uściślając: osobom prawnym oraz tak zwanym jednostkom organizacyjnym niebędącym osobami prawnymi, którym ustawa przyznaje zdolność prawną).

Czy jeśli placówka podpisuje cyklicznie umowę najmu z tym samym przedsiębiorcą, to za każdym razem należy spełniać obowiązek informacyjny?

Nie, w takim przypadku wystarczy, że obowiązek został spełniony za pierwszym razem. Zgodnie z art. 13 ust 4 RODO jeśli osoba, której dane przetwarzamy dysponuje już informacjami zawartymi w klauzuli – nie ma konieczności przedkładać jej po raz kolejny. Administrator powinien jednak móc wykazać, iż obowiązek ten został pierwotnie spełniony (zgodnie z zasadą rozliczalności).

Placówka zawiera umowę z fundacją ale w jej imieniu występuje osoba fizyczna – czy wobec tej osoby należy spełnić obowiązek informacyjny?

Nie, ponieważ stroną umowy jest osoba prawna jaką jest fundacja. Nie ma w tym przypadku znaczenia, że umowa podpisywana jest przez osobę fizyczną. Osoba ta, bowiem działa i wykonuje czynności służbowe w ramach organizacji, którą reprezentuje.

Obowiązek informacyjny należy spełnić wobec: osób fizycznych, przedsiębiorców oraz wspólników spółek cywilnych.

Niezbędne dane kandydatów w toku rekrutacji do placówek oświatowych

Rekrutacja do placówek oświatowych zarówno w wersji elektronicznej, jak i papierowej , jest w toku, bądź niebawem się rozpocznie. Warto przypomnieć kilka podstawowych zasad, o których należy pamiętać podczas gromadzenia danych osobowych kandydatów oraz ich rodziców bądź innych opiekunów prawnych.

Jakie dane mogę zbierać?

Zakres danych osobowych, jakie mogą być pobierane przez placówki oświatowe w toku rekrutacji został wyraźnie sprecyzowany w przepisach prawa oświatowego. Wśród tych danych wyszczególnione zostały dane osobowe ucznia oraz jego rodziców albo innych opiekunów prawnych. I tak, pobiera się:

  • w przypadku kandydata niepełnoletniego: imię, nazwisko, datę urodzenia oraz numer PESEL, a w przypadku jego braku serię i numer paszportu lub innego dokumentu potwierdzającego tożsamość, imiona i nazwiska rodziców, adres miejsca zamieszkania rodziców i kandydata, adres poczty elektronicznej i numery telefonów rodziców kandydata – o ile je posiadają.
  • w przypadku kandydata pełnoletniego: imię, nazwisko, datę urodzenia oraz numer PESEL, a w przypadku jego braku serię i numer paszportu lub innego dokumentu potwierdzającego tożsamość, imiona rodziców, adres miejsca zamieszkania kandydata; adres poczty elektronicznej i numer telefonu kandydata – o ile je posiada.

Do wniosków należy dołączyć także inne dokumenty wymagane przepisami prawa oświatowego, jak np. oświadczenia o samotnym wychowywaniu dziecka, czy wyrok sądu rodzinnego orzekającego rozwód lub separację. 

Czy mogę zbierać dane identyfikacyjne opiekunów prawnych? 

Zbieranie przez placówki oświatowe numeru PESEL czy serii i numeru dowodu osobistego rodziców kandydata nie zostało ujęte w przepisach prawa oświatowego, jako niezbędne działanie w procesie rekrutacji. Pobieranie tych danych nie będzie zatem zgodne z prawem. Działanie takie będzie stanowić naruszenie przepisów prawa oświatowego oraz zasady minimalizacji, legalizmu oraz proporcjonalności, wyrażonych w art. 5 RODO. Nie zależy zatem pobierać od rodziców ich numeru PESEL czy serii i numeru dowodu osobistego.

Jak długo można przetwarzać dane osobowe zgromadzone w toku rekrutacji?

Okres przechowywania danych osobowych zależny jest od wyniku postępowania rekrutacyjnego. Sposób postępowania w przypadku kandydatów przyjętych jest odmienny niż wobec tych, którzy negatywnie przeszli rekrutację. Poniżej rozróżnienie okresu przechowywania danych wobec:

  • kandydata przyjętego: dane osobowe przechowujemy nie dłużej niż przez okres, w który uczeń uczęszcza do placówki.
  • kandydata nieprzyjętego: dane osobowe przechowujemy przez rok, chyba że na rozstrzygnięcie dyrektora  wniesiona została skarga do sądu administracyjnego i postępowanie nie zostało zakończone prawomocnym wyrokiem.

A co z publikacją wyników rekrutacji?

Wyniki postępowania rekrutacyjnego podaje się do publicznej wiadomości. Lista osób zakwalifikowanych, zawierająca imię i nazwisko kandydata, posegregowana alfabetycznie, zawierać musi także minimalną liczbę punktów, która uprawnia do przyjęcia do placówki.

Zgodnie z przepisami prawa oświatowego listę, o której mowa powyżej, podaje się do publicznej wiadomości poprzez umieszczenie w siedzibie placówki oświatowej, w widocznym miejscu.

Obecnie dopuszczalne jest również publikowanie wyników rekrutacji na stronie internetowej placówki z uwagi na wyjątkową sytuację w kraju (zgodnie z nowymi przepisami wydanymi na podstawie przepisów specustawy dotyczącej koronawirusa).

Stanowisko Urzędu Ochrony Danych Osobowych

Zgodnie z wytycznymi UODO nie jest dopuszczalne podanie do publicznej wiadomości wyników rekrutacji za pośrednictwem kont na portalach społecznościowych czy fanpage’ach placówki.

Zamieszczanie danych osobowych w internecie wiąże się z ryzykiem, które należałoby oszacować dokonując jego analizy. Podczas publikowania list uczniów należy kierować się zasadą minimalizacji, jak również ograniczenia przechowywania danych osobowych, wyrażonych w RODO.

Z uwagi na powyższe, Urząd rekomenduje by dyrektorzy informowali kandydatów indywidualnie o wynikach rekrutacji, korzystając ze środków komunikacji elektronicznej.

Po zakończeniu czasowego ograniczenia funkcjonowania placówek oświatowych należy usunąć listy kandydatów ze strony internetowej i pozostawić jedynie na tablicy ogłoszeń na terenie placówki.

Czy posiadam jeszcze inne obowiązki?

Rekrutacja do placówki oświatowej wiąże się także z koniecznością spełnienia obowiązku informacyjnego wobec osób, których dane gromadzimy, co wynika z art. 13 oraz 14 RODO. Dokonać można tego za pomocą klauzuli informacyjnej umieszczonej na wniosku do placówki lub przekazując rodzicom czy pełnoletnim kandydatom klauzuli jako odrębnego dokumentu. Może to być pełna treść klauzuli informacyjnej lub odpowiednio skrócona wersja, przy czym kompletny dokument należy umieścić na stronie internetowej i wywiesić na terenie placówki. Należy również pamiętać, że w przypadku ewentualnej kontroli ze strony organu nadzoru, placówka powinna być w stanie wykazać spełnienie obowiązku informacyjnego na gruncie RODO. Rozliczyć się ze swoich działań można przykładowo poprzez przedstawienie klauzuli informacyjnej, opatrzonej podpisem rodzica czy innego opiekuna prawnego.

Podstawa prawna

Zgodnie z ustawą z dnia 14 grudnia 2016 r. Prawo oświatowe, rodzice albo inni opiekunowie prawni składają do dyrektorów wniosek o przyjęcie ich dziecka do wybranej placówki oświatowej. Treść wniosku wraz z rodzajem załączników uregulowana została w art. 150 i 151 przywołanej ustawy. Co istotne – pozyskiwanie danych nie będzie następować na podstawie zgody, lecz z uwagi na uregulowane ich zakresu w przepisach prawa (art. 150 ust. 1) – na potrzeby realizacji obowiązku prawnego ciążącego na administratorze (placówce oświatowej).

Rekrutacja dzieci do placówek oświatowych

Placówki oświatowe corocznie przeprowadzają rekrutację dzieci. Z uwagi na rozpoczęcie rekrutacji w szkołach podstawowych, oddziałach przedszkolnych, przedszkolach oraz planowanie otwarcia postępowania elektronicznego dla szkół ponadpodstawowych, warto przypomnieć podstawowe obowiązki na gruncie ochrony danych osobowych.

Zasady przeprowadzenia rekrutacji zostały uregulowane w ustawie z dnia 14 grudnia 2016 r. prawo oświatowe oraz w odpowiednich aktach wykonawczych. Podstawą przeprowadzenia postępowania rekrutacyjnego jest analiza spełnianych przez kandydata kryteriów, określonych w przywołanej ustawie, a następnie złożenie wniosku do dyrektora placówki. Dane osobowe, jakie będą zawarte w takim wniosku, obejmują podstawowe dane indentyfikacyjne kandydata, jak również jego rodziców bądź innych opiekunów prawnych oraz pozostałe dane zawarte w załączonych do wniosku dokumentach i oświadczeniach. Jednocześnie placówka oświatowa uprawniona jest do przetwarzania innych, niż wyraźnie wskazanych w przepisach, danych osobowych, jakie zostały uznane przez rodzica bądź innego opiekuna prawnego za istotne i z tego powodu zostały przekazane jednostce. Mogą to być dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym, przekazane celem zapewnienia odpowiedniej opieki, odżywiania oraz dostosowania metod opiekuńczo – wychowawczych.  

Podstawą przetwarzania danych osobowych nie jest zgoda, lecz w zależności od rodzaju pobieranych danych i regulacji prawnych w tym zakresie, będzie to obowiązek prawny bądź działalność w interesie publicznym lub w ramach sprawowania władzy publicznej. Dodatkowo, wszystkie osoby pełniące funkcje lub wykonujące pracę w placówkach oświatowych, są obowiązane do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą.

Administratorem danych zgromadzonych w procesie rekrutacji będzie odpowiednio miasto/gmina i placówki oświatowe, a jest to uzależnione od etapu postępowania rekrutacyjnego. W ramach rekrutacji, prowadzonej przy użyciu elektronicznego systemu rekrutacji, Administratorem tak pozyskanych danych, będzie miasto/gmina, a dokładnie organ w postaci Prezydenta/Wójta. Natomiast dane osobowe zawarte we wnioskach składanych do dyrekcji placówki, staną się danymi odrębnego Administratora, jakim w tym przypadku  będzie placówka oświatowa (nie dyrektor).

Ważne, z perspektywy regulacji w obszarze ochrony danych osobowych, jest zidentyfikowanie podstawowych obowiązków, ciążących na każdym z wymienionych powyżej administratorów. Oznacza to, że zarówno miasto/gmina, jak i placówka oświatowa są zobligowani do spełniania obowiązku informacyjnego w związku z przetwarzaniem danych osobowych na kolejnych etapach rekrutacji. Przekazanie klauzuli informacyjnej przez miasto/gminę, nie zwalnia placówki oświatowej z wykonania tego obowiązku we własnym zakresie.

Wprowadzenie stanu zagrożenia epidemiologicznego znacząco ograniczyło i zmieniło sposób funkcjonowania placówek oświatowych – na mocy rozporządzenia Ministra Edukacji Narodowej z dnia 11 marca 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19. Zmiana organizacji pracy placówek, nie pozostaje bez znaczenia dla procesu rekrutacji. Obecnie, celem zminimalizowania ryzyka rozprzestrzeniania się COVID-19, niektóre dokumenty niezbędne w postępowaniu rekrutacyjnym, będą mogły być zastąpione oświadczeniem, skanem, wiadomością od podmiotu, który zaświadczenie winien wystawić (np. zaświadczenie o zatrudnieniu, zaświadczenie z poradni o potrzebie kształcenia specjalnego). Po ustaniu stanu zagrożenia epidemiologicznego, pojawi się prawdopodobnie obowiązek przedłożenia oryginałów bądź uwierzytelnionych kopii.

Przetwarzanie danych osobowych ucznia w procesie nauki zdalnej

Nauka zdalna stawia przed systemem oświaty nowe wyzwania, zarówno w zakresie formy jej prowadzenia, wykorzystywanych narzędzi, jak i weryfikacji pracy uczniów. Pamiętajmy jednak, że ta nadzwyczajna sytuacja nie zwalnia placówek z przestrzegania zasad ochrony danych osobowych.

Podstawy przetwarzania danych uczniów przy wykorzystaniu metod kształcenia na odległość

Wynikiem obecnej sytuacji oraz obowiązku prowadzenia nauki w trybie zdalnym, jest poszukiwanie przez jednostki oświatowe nowych sposobów komunikacji pomiędzy nauczycielami, a uczniami. Wymaga to wykorzystania nowych narzędzi – takich jak platformy, aplikacje czy portale społecznościowe. Bardzo często konieczne jest założenie każdemu z uczniów indywidulanego konta w wybranym programie, czy aplikacji co wiąże się z przekazywaniem danych osobowych. W związku z tym, może pojawić się pytanie, czy szkoła powinna uzyskać zgodę rodziców na takie przetwarzanie. Warto pamiętać, że placówka przetwarza dane osobowe wykonując zadania realizowane w interesie publicznym (art. 6 ust. 1 lit e RODO), do których należy świadczenie usług edukacyjnych i opiekuńczo – wychowawczych.

Dlatego też, zgoda na przetwarzanie danych osobowych nie znajdzie tutaj zastosowania – ponieważ świadczenie tych usług nie ma charakteru dobrowolnego, a obowiązkowy. Obowiązek realizowania zadań jednostek z wykorzystaniem metod i technik kształcenia na odległość, lub w inny odpowiedni sposób, został uregulowany w rozporządzeniu Ministra Edukacji Narodowej z dnia 11 marca 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Wybór stosowanych narzędzi powinien być jednak rozsądny – należy przeanalizować transparentność wybranych aplikacji oraz, w miarę możliwości, korzystać z jak najmniejszej ich ilości tak, aby nie mnożyć kont zakładanych uczniom, a dane udostępniać jak najmniejszej liczbie podmiotów.

Pamiętajmy, że przetwarzanie danych osobowych uczniów na podstawie interesu publicznego obejmuje tylko te dane, które są niezbędne do osiągnięcia tego celu. Przykładowo do założenia konta i skutecznego kontaktowania się z uczniem wystarczy jego imię, nazwisko oraz klasa – wizerunek będzie stanowił dane nadmiarowe. Co nie znaczy, że szkoła w ogóle nie może go wykorzystywać.

Wizerunek ucznia – czy potrzebna jest zgoda?

O ile zadania z matematyki, czy biologii łatwo sprawdzić na podstawie przesłanych przez uczniów rozwiązań zadań, o tyle niełatwa jest weryfikacja zadań plastycznych, technicznych, czy tez wykonania ćwiczeń w ramach domowych zajęć z wychowania fizycznego. Wyzwaniem jest również utrzymanie poczucia wspólnoty uczniów i nauczycieli.

Rozwiązaniem tej sytuacji stało się dokumentowanie pracy uczniów przez rodziców za pomocą zdjęć, które następnie przesyłane są do nauczycieli – często znajdują się na nich również sami uczniowie. Czynność przesyłania fotografii nie budzi zastrzeżeń (jest to udokumentowanie zrealizowanych zadań), jednak zdarza się, że zostają one umieszczone na stronie internetowej szkoły lub na profilu na portalu Facebook. Pamiętajmy jednak, że przetwarzanie wizerunku na publicznych stronach nie jest niezbędne do osiągnięcia celu, jakim jest edukacja w trybie zdalnym. Dlatego też, takie przetwarzanie nie znajdzie oparcia w realizacji interesu publicznego i w tym przypadku niezbędna będzie zgoda rodzica na wykorzystanie wizerunku.

Nauczyciel zamieszczający fotografie powinien zatem zweryfikować, czy i w jakim zakresie została ona wyrażona. Zgoda ta powinna wskazywać w swej treści na jakich stronach lub portalach szkoła może zamieścić wizerunek. Dlatego też, jeśli w ramach nauki zdalnej placówka zaczęła korzystać z nowego narzędzia np. założyła fanpage na wspomnianym już portalu Facebook i zamierza zamieszczać tam zdjęcia uczniów – niezbędne będzie wcześniejsze zebranie zgód na takie przetwarzanie.

Podobnie – jeśli na fotografii znajduje się rodzic dziecka – takie wykorzystanie wizerunku będzie wymagało jego zgody.

Mając na uwadze, że zebranie zgody w formie pisemnej w obecnych warunkach jest w praktyce niemożliwe, dopuszczalne i wskazane jest zbieranie zgód za pośrednictwem komunikacji elektronicznej (e-mail, dziennik elektroniczny). Zgoda taka może mieć charakter jednorazowy („Czy mogę zamieścić zdjęcie Piotrka z lekcji WF-u na naszym profilu na Facebook’u?”), jak też może mieć charakter ogólny (na wszystkie tego rodzaju działania). W przypadku zgody ogólnej sugerujemy wykorzystać wzór zgody opracowany przez Inspektora Ochrony Danych (poprzez przeklejenie jej treści odpowiednio do wiadomości e-mai / dziennika elektronicznego z prośbą o potwierdzenie przez rodziców).

Podsumowanie

Pamiętajmy, że przetwarzanie danych osobowych przez placówkę odbywa się w celu realizacji procesu nauki zdalnej – realizacji interesu publicznego (art. 6 ust.1 lit e RODO). Niemniej, placówka powinna przetwarzać tylko te dane które są niezbędne do tego celu – zgodnie z zasadą minimalizacji.

Natomiast przetwarzanie wizerunku w celu jego wykorzystania w mediach społecznościowych lub na stronie internetowej nie jest konieczne do realizacji tego celu i musi być oparte na zgodzie (art. 6 ust. 1 lit. a RODO), która swym zakresem obejmuje stronę internetową, portal lub platformę, na której placówka zamierza umieścić zdjęcia.