Ochrona danych osobowych w placówkach oświatowych

Nauczyciele, jako jedna z nielicznych grup zawodowych, w swojej pracy nieustannie mają bezpośredni kontakt z ludźmi.

Z racji bardzo specyficznego charakteru pracy mają oni, jak mało która inna grupa zawodowa, dostęp do różnego rodzaju danych dotyczących bezpośrednio podmiotów, z którymi pracują (współpracują) lub wchodzą w bezpośrednie relacje, niezastąpione w trakcie prawidłowego realizowania różnych zadań o charakterze służbowym (zawodowym), w tym zwłaszcza do wyjątkowej grupy danych posiadających charakter stricte osobowy. Dane te podlegają różnym procesom przetwarzania, a także są wykorzystywane do różnych celów, nie mówiąc już o tym, że są przekazywane czy chociażby udostępniane innym (trzecim) podmiotom. Tego typu działania muszą być podporządkowane ścisłym regułom prawnym. Niestety, wiedza nauczycieli i wielu dyrektorów szkół i placówek oświatowych na temat postępowania z danymi chronionymi jest wyjątkowo uboga, co niejednokrotnie prowadzi do różnego rodzaju nieprawidłowości.

Kluczową rolę w zakresie prawnej regulacji ochrony danych osobowych w Polsce odgrywa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w skrócie okreś­lana jako u.o.d.o.[1]. Ustawa ta określa m.in., w jakich sytuacjach i jakie rodzaje danych mogą podlegać przetwarzaniu. Precyzuje również wymogi stawiane osobom będącym administratorami tych danych, a także określa prawne konsekwencje naruszenia postanowień w niej zawartych. Na podstawie art. 3 u.o.d.o. odpowiednie regu­lacje ustawowe stosuje się do takich podmiotów, jak: organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne. Przepisy ustawy znajdują także zastosowanie, z nielicznymi wyjątkami, w odniesieniu do: podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Z prezentowanego zapisu art. 3 wynika jednoznacznie, że przepisy u.o.d.o. znajdują zastosowanie także w działalności szkół oraz jednostek, które przetwarzają dane osobowe w ramach działalności na polu oświaty (np. organów prowadzących).

RODO, które weszło w życie w dniu 24 maja 2016 r., obowiązuje w polskim porządku prawnym od dnia 25 maja 2018 r. Założeniem RODO jest ujednolicenie przepisów dotyczących ochrony danych we wszystkich 28 państwach członkowskich Unii Europejskiej.

Do zagadnień podlegających regulacji w nowym prawie ochrony danych osobowych należą w szczególności: pozycja ustrojowa organu nadzorczego, zasady nadzoru nad zapewnieniem ochrony danych osobowych, zasady współpracy na rzecz ochrony danych osobowych oraz kary niezbędne dla zapewnienia efektywnego wykonywania nadzoru. Regulacji podlegają również bardziej szczegółowe zagadnienia dotyczące ochrony danych osobowych, jak np. zasady akredytacji podmiotów certyfikujących uczestniczących w nowej procedurze certyfikacji. Ponadto konieczne stało się opracowanie zmian przepisów sektorowych obejmujących ponad 150 ustaw.

Projekt tych zmian (pod względem ilości zmienianych aktów prawnych) jest jednym z największych w ciągu ostatnich lat. Polska stała się tym samym pierwszym państwem w Unii Europejskiej, które wdrażając nowe unijne prawo o ochronie danych osobowych, zmienia cały krajowy system prawny.

Przedmiotowa regulacja od maja 2018 r. nakłada szereg nowych obowiązków na organizacje i firmy, które gromadzą i przetwarzają informacje o swoich klientach. Muszą one m.in. każdorazowo uzyskiwać zgodę swoich klientów na przetwarzanie ich danych osobowych, raportować każdy wyciek danych oraz wdrożyć cały szereg rozwiązań technicznych i organizacyjnych, które zagwarantują wysoki poziom bezpieczeństwa danych osobowych.

Dane osobowe – to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio lub pośrednio osoby fizycznej. Zaliczyć do nich należy w szczególności:

  • numery PESEL, NIP, paszportu, dowodu osobistego;
  • cechy fizyczne;
  • cechy fizjologiczne: grupa krwi, kod genetyczny;
  • cechy ekonomiczne: status majątkowy, lista zaległości finansowych;
  • cechy umysłowe, kulturowe, społeczne: poglądy, wyznanie, przynależność;
  • adres mailowy: a.kwiatkowska@szpitalna.ngo.pl (ale nie: kwiatuszek@onet.pl); adres mailowy będzie daną osobową wówczas, gdy zawiera takie informacje, dzięki którym bez nadmiernych kosztów, działań i czasu można ustalić tożsamość osoby (jeśli zawiera np. imię i nazwisko osoby);
  • adres IP komputera danej osoby.

Danymi osobowymi w placówkach oświatowych będą zatem np. obrazy zarejestrowane przez szkolny monitoring, jeżeli na ich podstawie możliwa jest identyfikacja konkretnej osoby. Takimi informacjami mogą być również: komunikat w formie pisemnej, np. jakaś notatka pisemna, która pozwoli daną osobę zidentyfikować, fotografie, zdjęcia rentgenowskie, DNA, komunikat lub inne treści w formie elektronicznej. Natomiast osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić pośrednio lub bezpośrednio. Do danych osobowych zalicza się nie tylko imię, nazwisko i adres osoby, ale również przypisane jej ważne numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych. Natomiast informacji nie uważa się za umożliwiającej określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Danymi osobowymi nie będą również informacje o dużym stopniu ogólności, np. nazwa ulicy, na której dana osoba mieszka. Lecz jeżeli tę informację zestawi się z innymi danymi, np. z imieniem i nazwiskiem lub numerem PESEL osoby, to już ten zestaw danych pozwoli tę osobę zidentyfikować. W niektórych sytuacjach wystarczy jedna informacja, aby kogoś zidentyfikować (np. numer PESEL osoby), w innych potrzeba kilku cech, informacji, które razem pozwolą określić tożsamość osoby. Dane osobowe dotyczą tylko osoby fizycznej (a nie np. firmy, stowarzyszenia, organizacji), czyli nie można powiedzieć, że „posiadamy dane osobowe Spółki X lub Organizacji Y”. Dane osobowe dotyczą tylko osób żyjących, dane osób zmarłych nie są danymi osobowymi – takie stanowisko zajął Generalny Inspektor Ochrony Danych Osobowych[2].

W przepisach nie pojawiają się takie pojęcia, jak: dane „zwykłe” i „wrażliwe”, chociaż są one w bezpośrednim użyciu, także w wyjaśnieniach stosowanych przez GIODO. Dane „wrażliwe” – to takie dane, które podlegają szczególnym zasadom przetwarzania i ochrony. Wszelkie inne dane osobowe nazywane są „zwykłymi”. Przykładowymi danymi „zwykłymi” są: imię i nazwisko, adres miejsca zamieszkania, wykształcenie, numer PESEL czy też adres poczty elektronicznej. Natomiast do tzw. „danych wrażliwych” należy zaliczyć takie informacje, które:

  • ujawniają pochodzenie rasowe lub etniczne,
  • ujawniają poglądy polityczne,
  • ujawniają przekonania religijne lub filozoficzne,
  • ujawniają przynależność wyznaniową, związkową lub partyjną,
  • określają stan zdrowia, kod genetyczny,
  • informują o nałogach lub życiu seksualnym,
  • informują o preferencjach seksualnych,
  • dotyczą skazań, orzeczeń o ukaraniu i mandatach karnych,
  • dotyczą innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Warto przypomnieć o kilku kwestiach dotyczących ochrony danych osobowych w szkołach i placówkach oświatowych. Otóż ustawowym administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, która decyduje o celach i środkach przetwarzania danych osobowych. W przypadku przedszkoli, szkół i innych placówek oświatowych to właśnie te podmioty są administratorami danych osobowych. Obowiązki administratora wykonuje dyrektor, jako osoba kierująca działalnością szkoły lub placówki. Status administratora nie przysługuje natomiast takim jednostkom, jak występujące w wielu miejscowościach zakłady obsługi administracyjno-ekonomicznej szkół (lub podobne). Tego typu jednostki należy traktować jak podmioty, o których mowa w art. 31 u.o.d.o., czyli podmioty przetwarzające dane osobowe właśnie na zlecenie właściwego administratora. Stosuje się do nich zatem przepisy dotyczące powierzenia przetwarzania danych osobowych. Administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi na drodze umowy zawartej wyłącznie w formie pisemnej. Wspomniany podmiot może przetwarzać dane wyłącznie w zakresie przewidzianym w umowie. Zanim jednak w ogóle dojdzie do przetwarzania przezeń danych, musi on podjąć wszystkie środki zabezpieczające określony zbiór danych.

 Wynika to z faktu, że każdy właściciel danych (jest nim osoba, której dane dotyczą) ma prawo do ochrony danych osobowych zawartych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych oraz systemach informatycznych (art. 1, 2 u.o.d.o.). Dlatego też ich przetwarzanie, czyli wykorzystywanie do różnych celów, musi odbywać się na ściśle określonych warunkach. Przetwarzanie „zwykłych” danych osobowych jest co do zasady dopuszczalne, ale by było ono zgodne z prawem, konieczne jest wystąpienie przynajmniej jednej z wymienionych w u.o.d.o. przesłanek:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (zgoda może obejmować także przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania);
  • wyjątkowo można przetwarzać dane bez zgody, gdy jest ona wymagana – jeżeli pozyskanie zgody jest niemożliwe, a przetwarzanie danych jest niezbędne dla ochrony interesów osoby, której dane dotyczą, można przetwarzać dane bez zgody aż do czasu, gdy uzyskanie zgody stanie się możliwe;
  • jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonywania określonych prawem działań realizowanych dla dobra publicznego;
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przetwarzanie jest dopuszczalne także wtedy, gdy jest ono niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z odrębnego przepisu prawa. Powołanie się na przepis mówiący o niezbędności przetwarzania z racji uprawnienia lub konieczności spełnienia obowiązku wynikającego z przepisu prawa nie będzie jednak uzasadnione, jeżeli przetwarzanie dotyczy danych wykraczających poza zakres określony przepisami.
Zatem to do administratora należą decyzje w przedmiocie celów przetwarzania i użytych do tego środków. Zgodnie z art. 26 u.o.d.o. powinien on przede wszystkim dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane były:

  • przetwarzane zgodnie z prawem,
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  • przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Przetwarzanie danych osobowych przez szkoły i placówki odbywa się na ogół w oparciu o następujące przesłanki: przetwarzanie jest niezbędne do realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie. Prawidłowa ocena zgodności przetwarzania danych zgodnie z prawem wymaga niekiedy znajomości przepisów zawartych w innych aktach prawnych. Przepisy dotyczące tych kwestii zawarte są m.in. w ustawie o systemie oświaty, ustawie Prawo oświatowe, a także w rozporządzeniu MEN z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji[3].

Zgodnie z przepisami ww. rozporządzenia szkoły i placówki oświatowe mają za zadanie prowadzić dokumentację wymagającą pozyskiwania danych osobowych, np.:

  • przedszkole lub szkoła podstawowa, w której zorganizowano oddział przedszkolny, prowadzą dla każdego oddziału dziennik zajęć przedszkola; do dziennika zajęć wpisuje się nazwiska i imiona dzieci, daty i miejsca ich urodzenia, nazwiska i imiona rodziców (prawnych opiekunów) i adresy ich zamieszkania;
  • szkoła podstawowa prowadzi księgę ewidencji dzieci podlegających obowiązkowi odbycia rocznego przygotowania przedszkolnego i obowiązkowi szkolnemu, zamieszkałych w obwodzie szkoły, gimnazjum natomiast prowadzi księgę ewidencji dzieci i młodzieży będących absolwentami szkoły podstawowej, podlegających obowiązkowi szkolnemu, zamieszkałych w obwodzie gimnazjum (obecnie również innej szkole z oddziałami gimnazjalnymi); księga zawiera informacje o imieniu (imionach) i nazwisku, dacie i miejscu urodzenia, numerze PESEL i adresie zamieszkania dziecka, a także o imionach i nazwiskach rodziców (prawnych opiekunów) oraz adresach ich zamieszkania.

Zbliżony do powyższego zakres danych osobowych obejmują także inne przewidziane rozporządzeniem zbiory, tj.: prowadzone przez szkoły księgi uczniów, dzienniki lekcyjne, księgi wychowanków, dzienniki zajęć wychowawczych prowadzone przez ośrodki szkolno-wychowawcze oraz placówki zapewniające opiekę i wychowanie ucz­niom w okresie pobierania nauki poza miejscem stałego zamieszkania, dzienniki innych zajęć oraz (w sposób szczególny) indywidualna teczka ucznia[4]. Możliwość pozyskiwania danych osobowych do tego typu dokumentów szkolnych nie może być przez nikogo kwestionowana. Jest to przypadek z dopuszczalnością przetwarzania danych jako niezbędnych dla spełnienia obowiązku wynikającego z przepisu prawa.

Natomiast w sytuacji, w której szkoła zamierza przetwarzać dane osobowe w zakresie szerszym niż wynikający z przepisów prawa, konieczne staje się uzyskanie zgody zainteresowanej osoby na przetwarzanie tych danych.

Oświadczenie o zgodzie powinno wskazywać: podmiot, który ma dane przetwarzać, a także zakres danych oraz cel ich przetwarzania. Zgody nie można domniemywać w oparciu o oświadczenie woli innej treści, nie może ona być także „dorozumiana”. Należy ponadto pamiętać o tym, że zgodę w odniesieniu do przetwarzania danych osoby niepełnoletniej należy uzyskać od rodziców osoby niepełnoletniej (opiekunów prawnych). Uzyskanie zgody jest potrzebne np. na publikowanie na stronie internetowej, w placówce (np. na tablicy ogłoszeń itp.) i w mediach informacji o dzieciach lub ich wizerunku oraz na udostępnianie danych osobowych zewnętrznym firmom lub organizacjom (np. w związku z zawarciem umowy ubezpieczenia, organizacją zajęć dodatkowych, wyjazdów i wycieczek), fundacjom, stowarzyszeniom i innym organizacjom działającym na rzecz dzieci i młodzieży lub wspierania oświaty. Zgody wymaga ponadto umieszczanie na stronie internetowej szkoły nie tylko informacji o osiąg­nięciach dziecka, ale również jego prac, jeżeli ich podanie pozwala na jego identyfikację, ale również informacji o działalności jednostki, jeśli jednocześnie dotyczy ona możliwego do zidentyfikowania dziecka. Zamieszczanie tego typu informacji powinno zawsze zapewniać ochronę prywatności dziecka. Natomiast placówka nie musi uzyskiwać zgody na publikowanie zdjęć lub innych materiałów, w których dzieci są częścią zbiorowości, zgromadzenia, krajobrazu bądź biorą udział w publicznej imprezie[5]. Zawsze lepiej jednak uprzedzić każdorazowo, w jaki sposób materiały te będą wykorzystywane.

W przypadku szkoły szczególnie należy pamiętać o tym, że dane uczniów podlegają w jednostkach oświatowych przetwarzaniu w najszerszym zakresie. Ale jednocześnie dane osobowe uczniów mogą być jednak udostępniane tylko wówczas, gdy zachodzą określone przesłanki dotyczące przetwarzania. Dla przykładu, na mocy rozporządzenia MEN w sprawie szczegółowych warunków i sposobu oceniania, klasyfikowania i promowania uczniów i słuchaczy w szkołach publicznych[6] dane dotyczące ocen ucznia mają prawo poznać jego rodzice (prawni opiekunowie), jednak prawo takie nie przysługuje już innym niż uczeń i rodzice (opiekunowie prawni) osobom, które są tzw. opiekunami faktycznymi (np. babci), bez względu na stopień pokrewieństwa między nimi a uczniem. Bardzo podobnie sprawa wygląda w przypadku danych dotyczących pomocy psychologiczno-pedagogicznej udzielanej uczniowi.

Nauczyciele (bardzo ważna grupa osób w szkole) są zatrudnieni w szkole lub placówce, w związku z czym placówka jako pracodawca musi przetwarzać ich dane osobowe, ale tylko w sposób dopuszczalny prawem. Dla przykładu, przekazanie przez dyrektora organowi prowadzącemu danych osobowych nauczyciela w związku z prowadzonym postępowaniem o nadanie stopnia awansu zawodowego nie narusza przepisów u.o.d.o., o ile przekazaniu podlegają tylko dane adekwatne do celu ich późniejszego przetwarzania. W tym wypadku przetwarzanie jest niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego. Należy jednak pamiętać o tym, że żadne przepisy nie uzasadniają przekazywania organowi prowadzącemu pełnych akt osobowych pracowników zatrudnionych w placówkach oświatowych. Wynika to z faktu, że nauczyciel jest zatrudniony w przedszkolu (które jest de facto jego zakładem pracy), a kierownikiem zakładu pracy jest w tym wypadku dyrektor i to on jest administratorem danych osobowych pracowników związanych ze stosunkiem pracy.

Rodzice są trzecią kategorią osób, których dane często podlegają przetwarzaniu przez jednostki działające na podstawie przepisów ustawy Prawo oświatowe. Dla przykładu, publikując adresy zamieszkania członków rady
rodziców, dyrektor ingeruje w sferę życia prywatnego wspomnianych osób. Rada rodziców powinna określić zasady kontaktowania się z nią w stosownym regulaminie. Natomiast dyrektor likwidowanej placówki nie może odmówić organowi prowadzącemu udostępnienia adresów korespondencyjnych rodziców (prawnych opiekunów) dzieci, jeżeli organ zamierza wykorzystać adresy do poinformowania ww. osób o planach likwidacyjnych – obowiązujące prawo nakłada na organ prowadzący obowiązek powiadomienia rodziców dzieci o planowanej likwidacji placówki co najmniej na 6 miesięcy przed planowanym terminem likwidacji.

Możliwość przetwarzania danych osobowych rodziców (ich adresy korespondencyjne) jest w tym wypadku niezbędna dla wykonania obowiązku, jaki ciąży na organie prowadzącym w świetle obowiązujących przepisów ustawowych, tym samym zachodzi jedna z wymienionych w art. 23 u.o.d.o. przesłanek uzasadniających przetwarzanie danych osobowych.

I jeszcze kilka zdań o ochronie danych w procesie rekrutacji. Otóż wyjątkowo zamknięty katalog danych osobowych może być prowadzony w związku z pracami rekrutacyjnymi. Zawiera on takie rodzaje informacji, jak: imię i nazwisko, data urodzenia, PESEL kandydata (lub seria i nr paszportu lub innego dokumentu potwierdzającego tożsamość); imiona i nazwiska rodziców kandydata, a w przypadku kandydata pełnoletniego – imiona rodziców; adres miejsca zamieszkania rodziców i kandydata, a w przypadku kandydata pełnoletniego – adres zamieszkania kandydata; adres poczty elektronicznej i numery telefonów rodziców kandydata, a w przypadku kandydata pełnoletniego – adres poczty elektronicznej i numer telefonu kandydata (o ile je posiadają). Spełnienie kryteriów rekrutacyjnych potwierdzają stosowne dokumenty, które również zawierają dane osobowe. Natomiast jakiekolwiek inne dane osobowe nie mogą być pobierane w związku z rekrutacją bez stosownej zgody dziecka lub jego rodzica (opiekuna prawnego). Należy przy tym pamiętać, że lista kandydatów zakwalifikowanych i niezakwalifikowanych zawiera wyłącznie imiona i nazwiska kandydatów oraz informację o zakwalifikowania lub niezakwalifikowaniu. Natomiast lista kandydatów przyjętych i nieprzyjętych zawiera wyłącznie imiona i nazwiska kandydatów oraz informację o przyjęciu lub nieprzyjęciu. Inne dane osobowe dzieci oraz ich rodziców, a także dokumentacja zgromadzona w toku postępowania rekrutacyjnego, pozostają do wyłącznej wiadomości dyrektora oraz komisji rekrutacyjnych. Z kolei dyrektor szkoły musi zapewnić przetwarzanie danych osobowych i dokumentacji rekrutacyjnej tylko przez wyznaczone okresy:

  • dane dotyczące przyjętych dzieci i ich rodziców – nie dłużej niż do końca okresu, w którym dziecko korzysta z wychowania przedszkolnego lub uczy się w danej jednostce oświatowej,
  • dane dotyczące nieprzyjętych kandydatów i ich rodziców – przez określony czas, chyba że na rozstrzygnięcie dyrektora została wniesiona skarga do sądu administracyjnego w związku z odmową przyjęcia i postępowanie nie zostało zakończone prawomocnym wyrokiem.

Ponadto dyrektor szkoły lub placówki oświatowej, jako administrator danych, powinien mieć na względzie to, że do przetwarzania danych mogą zostać dopuszczone wyłącznie osoby posiadające upoważnienie, które nadał administrator danych. Dlatego administrator jest zobowiązany do prowadzenia ewidencji osób upoważnionych do przetwarzania danych, zawierającej:

  • imię i nazwisko osoby upoważnionej,
  • datę nadania i ustania upoważnienia oraz zakres upoważnienia do przetwarzania danych osobowych,
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Samo upoważnienie do przetwarzania danych powinno zostać wydane w formie pisemnej. W upoważnieniu takim powinna się znaleźć wzmianka o okresie, na jaki zostaje wydane, o zakresie danych, które mogą podlegać przetwarzaniu przez określoną osobę, a także o zakresie czynności podejmowanych przez nią w związku ze wspomnianymi danymi. Wymóg uzyskania upoważnienia dotyczy tylko tych osób, które przetwarzają dane osobowe. Administrator nie jest zatem obowiązany do wydania upoważnienia osobom, które w szkole lub placówce mają jedynie dostęp do pomieszczeń, w których dane osobowe są przechowywane, ale ich nie przetwarzają. Należy przy tym pamiętać, że dane te muszą zostać w należyty sposób zabezpieczone, tak by osoby nieupoważnione nie miały do nich dostępu. Natomiast administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

W związku ze zmianami, które zostały wprowadzone w maju 2018 r., zalecane jest wykonanie audytu przygotowawczego i udokumentowanie:

  • jakie dane osobowe są przetwarzane,
  • skąd pochodzą przetwarzane dane osobowe,
  • co uprawnia do wykorzystywania tych danych,
  • czy te dane są komuś udostępniane (jeżeli tak, to komu),
  • jak zabezpieczane są dane osobowe.

Przed 25 maja 2018 r. nieletni nie mógł wyrazić sam zgody na przetwarzanie danych osobowych. Zgody udzielał jego rodzic lub opiekun prawny. RODO wprowadza możliwość uzyskania takiej zgody od samego dziecka, ale tylko wówczas gdy ukończyło ono 16. rok życia, z tym że obowiązkiem firmy będzie zweryfikowanie, czy zgoda taka jest wiarygodna. Dlatego też od dnia 25 maja 2018 roku zgody na przetwarzanie danych osobowych dziecka, które ukończyło 16. rok życia, nie musi udzielić rodzic lub opiekun prawny.

Jak łatwo zauważyć, niuansów związanych z gromadzeniem, przetwarzaniem i zabezpieczeniem danych osobowych jest sporo. A przecież zasygnalizowane powyżej kwestie to jeszcze nie wszystko w tym obszarze. Dlatego też bardzo zachęcam wszystkich dyrektorów do szczegółowego zapoznania się z wprowadzanymi zmianami oraz do przeszkolenia swoich pracowników w tym bardzo istotnym zakresie.                                                                             


[1]  Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z dnia 28 czerwca 2016 r., poz. 922) – tekst jednolity ogłoszony obwieszczeniem Marszałka Sejmu RP z dnia 13 czerwca 2016 r.

[2]  Zobacz: //www.giodo.gov.pl/317/id_art/974/j/pl/

[3]  Rozporządzenie Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. z dnia 31 sierpnia 2014 r., poz. 1646) – obowiązuje od dnia 1 września 2017 r.

[4]  Zobacz stosowne regulacje dotyczące organizacji pomocy psychologiczno-pedagogicznej.

[5]  Zgodnie z art. 81 ust. 2 ustawy z dnia 4 lutego 1994 r. o prawie autor­skim i prawach pokrewnych (Dz. U. z dnia 5 maja 2017 r., poz. 880).

[6]  W zakresie oceniania szkolnego w aktualnym obrocie prawnym znajdują się aż trzy rozporządzenia:

1)  rozporządzenie Ministra Edukacji Narodowej z dnia 10 czerwca 2015 r. w sprawie szczegółowych warunków i sposobu oceniania, klasyfikowania i promowania uczniów i słuchaczy w szkołach pub­licznych (Dz. U. z dnia 18 czerwca 2015 r., poz. 843 z późn. zm.),

2)  rozporządzenie Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. zmieniające rozporządzenie w sprawie warunków i sposobu oceniania, klasyfikowania i promowania uczniów i słuchaczy w szkołach publicznych (Dz. U. z dnia 31 sierpnia 2017 r., poz. 1651),

3)  rozporządzenie Ministra Edukacji Narodowej z dnia 3 sierpnia 2017 r. w sprawie oceniania, klasyfikowania i promowania uczniów i słuchaczy w szkołach publicznych (Dz. U. z dnia 16 sierpnia 2017 r., poz. 1534).