Przetwarzanie danych osobowych dzieci, czyli RODO w placówkach oświatowych
Placówki oświatowe jakimi są przedszkola i szkoły ze względu na swój charakter działalności przetwarzają dane osobowe dzieci na wielu płaszczyznach. W niniejszym wpisie wskażemy najważniejsze czynności, wykonywane w placówce oświatowej, które wiążą się z przetwarzaniem danych osobowych dzieci.
Proces rekrutacji
Placówka oświatowa zaczyna przetwarzać dane osobowe dzieci i ich rodziców już na etapie rekrutacji. Zgodnie bowiem z art. 150 i 151 ustawy Prawo oświatowe we wniosku o przyjęcie do szkoły lub przedszkola wymagane są takie dane jak m.in. imię i nazwisko, data urodzenia, PESEL kandydata, adres zamieszkania, imiona i nazwiska rodziców. W niektórych przypadkach ponadto istnieje konieczność dołączenia do wniosku np. prawomocnego wyroku sądu rodzinnego orzekającego rozwód lub separację lub aktu zgonu oraz oświadczenia o samotnym wychowywaniu dziecka oraz niewychowywaniu żadnego dziecka wspólnie z jego rodzicem, oświadczenia o dochodzie na osobę w rodzinie kandydata – jeżeli organ prowadzący określił kryterium dochodu na osobę w rodzinie kandydata.
Zbieranie powyższych danych oznacza, że placówka oświatowa musi spełnić obowiązek informacyjny wobec kandydatów i ich rodziców już na etapie rekrutacji.
Informowanie osób, których dane dotyczą, o przetwarzaniu ich danych, stanowi jeden z podstawowych obowiązków administratora określonych w art. 13 i 14 RODO. Obowiązek informacyjny należy spełnić w sposób jasny, przejrzysty i łatwo dostępny dla osoby, której dane dotyczą. Należy unikać języka prawniczego i dostosować treść do odbiorcy. Realizacja obowiązku informacyjnego wymaga analizy wszystkich kanałów komunikacji między placówką oświatową a różnymi osobami, których dane dotyczą.
Publikacja listy kandydatów przyjętych do przedszkola lub szkoły
Zgodnie z art. 157 ust. 2 pkt 2 i art. 158 ust. 1, 3 i 4 ustawy Prawo oświatowe, szkoły i placówki publikują listy kandydatów zakwalifikowanych i niezakwalifikowanych oraz przyjętych i nieprzyjętych w swojej siedzibie. Publikacja jest ograniczona w czasie. Listy powinny zawierać imiona i nazwiska kandydatów uszeregowane w kolejności alfabetycznej oraz najniższą liczbę punktów, która uprawnia do przyjęcia.
Powyższe oznacza, że ustawodawca wprost zdecydował, w jakim zakresie oraz w jaki sposób powinny zostać opublikowane listy uczniów. Publikowanie wyników procesu rekrutacyjnego na stronie internetowej szkoły jest niedopuszczalne, niezależnie od tego, czy na taką publikację wyraził zgodę uczeń lub opiekun prawny ucznia.
Monitoring w szkole
Szkoła, jako podmiot odpowiedzialny za instalację monitoringu, a następnie za gromadzenie i przechowywanie zapisów z kamer, musi stosować się wprost do przepisów Prawa oświatowego i rozporządzenia RODO 2016/679. Podstawowym warunkiem stosowania monitoringu wizyjnego w szkole jest uprzednie poinformowanie całej społeczności szkolnej o instalacji tego systemu poprzez wywieszenie w widocznych miejscach tablic informacyjnych. Powinny one informować nie tylko o obecności kamer monitoringu wizyjnego i jego zasięgu, ale m.in. również o celu ich instalacji i warunkach, na jakich szkoła stosuje to narzędzie nadzoru. Ważne jest również poinformowanie o przysługującym osobie monitorowanej prawie do kontroli dotyczących jej danych osobowych.
Zgodnie z art. 39 ust. 1 pkt 5a ustawy o systemie oświaty, to dyrektor szkoły wykonuje zadania związane z zapewnieniem bezpieczeństwa uczniom i nauczycielom w czasie zajęć organizowanych przez szkołę, a zgodnie z ust. 4 przywołanego przepisu, przy wykonywaniu swoich zadań współpracuje z radą pedagogiczną, rodzicami i samorządem uczniowskim. Zasada ta została zachowana w art. 108a Prawa oświatowego, zgodnie z którym cała społeczność szkolna powinna współpracować z dyrektorem i organem prowadzącym w kwestii podjęcia decyzji o uruchomieniu monitoringu wizyjnego na terenie placówki. Niezależnie od powyższego dyrektor powinien przeprowadzić ocenę ryzyka. Pamiętać przy tym także należy, że wprowadzenie monitoringu powinno być poprzedzone analizą w zakresie możliwości zastosowania innych, mniej ingerujących w prywatność środków. Wpływ systemu monitoringu na bezpieczeństwo powinien być okresowo badany, celem stwierdzenia, czy rozwiązanie takie przynosi zamierzone skutki i nie narusza w sposób nadmierny praw osób obserwowanych.
Przepisy ustawy Prawo oświatowe wskazują obszary zakazane, które nie mogą być objęte monitoringiem. Należą do nich:
-pomieszczenia, w których odbywają się zajęcia dydaktyczne, wychowawcze i opiekuńcze,
-pomieszczenia, w których uczniom jest udzielana pomoc psychologiczno – pedagogiczna,
-pomieszczenia przeznaczone do odpoczynku i rekreacji pracowników, sanitarnohigieniczne, gabinet profilaktyki zdrowotnej
-szatnie i przebieralnie.
Miejsca monitorowane powinny być wyznaczone tam, gdzie dochodzi do incydentów albo istnieje realne zagrożenie dla bezpieczeństwa, zaś niemożliwe jest objęcie takich miejsc innymi formami nadzoru, jak np. w przypadku szkół dyżurami nauczycieli czy pracowników.
Pozostawianie w szkole podpisanych podręczników
Administratorem danych osobowych ucznia jest szkoła i to na niej spoczywa obowiązek odpowiedniego zabezpieczenia danych osobowych przed ich dostępem przez osoby nieuprawnione. Jeżeli zatem szkoła przewiduje możliwość pozostawiania przez uczniów podręczników w szkole, to uwzględniając ryzyko naruszenia praw lub wolności uczniów o różnym prawdopodobieństwie i wadze zagrożenia, musi wdrożyć właściwe środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Zabezpieczenia powinny zapobiegać dostępowi do danych przez osobę nieuprawnioną, a także chronić dane przed uszkodzeniem, zniszczeniem lub utratą.
Przykładem zabezpieczenia danych, które znajdują się m.in. na podręcznikach czy też innych przyborach szkolnych, jest możliwość korzystania przez uczniów z indywidualnych szafek, które są zamykane na klucz lub za pomocą szyfru, który ustala indywidualnie uczeń.
Przetwarzanie danych osobowych przez pielęgniarkę szkolną
Co do zasady pielęgniarka lub higienistka szkolna nie jest pracownikiem szkoły oraz nie jest podległa służbowo dyrektorowi szkoły. Realizacja jej obowiązków wynika z porozumienia zawartego pomiędzy podmiotem leczniczym i szkołą oraz umowy o udzielanie świadczeń opieki zdrowotnej zawartej między podmiotem leczniczym i Narodowym Funduszem Zdrowia.
Obowiązek właściwego przechowywania dokumentacji medycznej ciąży na podmiocie leczniczym świadczącym opiekę zdrowotną w szkole. Zasady obchodzenia się z tego typu dokumentacją określają zwłaszcza przepisy ustawy o prawach pacjenta oraz rozporządzeń wykonawczych. W związku z niezależnością świadczenia opieki zdrowotnej, zarówno szkołę, jak i podmiot leczniczy należy traktować jako odrębnych administratorów danych.
Wykonywanie przez nauczyciela obowiązków służbowych poza szkołą
Nadal dość częstą praktyką stosowaną przez nauczycieli jest zabieranie do domu np. kartkówek w celu ich sprawdzenia. Należy przy tym zaznaczyć, że wynoszenie do domu przez nauczycieli arkuszy ocen, dzienników lekcyjnych czy klasówek stwarza ryzyko naruszenia ochrony danych osobowych poprzez ich utratę, zniszczenie, zmianę treści, uszkodzenie czy też udostępnienie osobom nieupoważnionym (chociażby innym domownikom). Prezes Urzędu Ochrony Danych Osobowych wskazuje, że w przypadku wykonywania obowiązków służbowych poza siedzibą administratora, należy w każdym przypadku rozważyć możliwości odpowiedniego zabezpieczenia danych osobowych, uwzględniając stopień ryzyka naruszenia ochrony danych osobowych i ewentualnie wdrożyć odpowiednie środki minimalizujące to ryzyko lub zrezygnować z tego rodzaju praktyki.
Prowadzenie e-dziennika
Dziennik elektroniczny może być prowadzony w szkole na podstawie rozporządzenia Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji. Jeżeli szkoła zleca zapewnienie funkcjonowania dziennika elektronicznego podmiotowi zewnętrznemu, to przetwarzanie danych przez ten podmiot ma miejsce na podstawie umowy. Zgodnie z art. 28 ust. 1 RODO, jeśli przetwarzanie danych osobowych ucznia ma być dokonywane w imieniu administratora (szkoły i placówki oświatowej), korzysta on jedynie z usług takich podmiotów przetwarzających, które zapewniają wy-starczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie chroniło prawa uczniów, których dane dotyczą.
RODO w swoich postanowieniach wskazuje na formę pisemną umowy powierzenia przetwarzania danych osobowych, w tym formę elektroniczną. Zgodnie z art. 28 ust. 3 RODO, koniecznymi elementami umowy powierzenia są określenie przedmiotu i czasu trwania przetwarzania, charakter oraz cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Publikacja zdjęć dzieci na stronie internetowej przedszkola lub szkoły
Publikacja zdjęć dziecka na stronie internetowej ułatwia identyfikację konkretnego ucznia i powiązanie go z konkretną szkołą, co rodzi różnego rodzaju niebezpieczeństwa. Z tego względu niezbędne jest umożliwienie rodzicom/ opiekunom podjęcia swobodnej decyzji w tym zakresie. Zgoda ta jednak nie może być ogólna, lecz precyzyjnie określać, jakie dane i w jakim celu mają zostać udostępnione w konkretnym przypadku. Jeżeli zatem szkoła będzie chciała opublikować wizerunek ucznia na stronie internetowej, do tego rodzaju działania wymagana będzie odrębna zgoda. Trzeba przy tym pamiętać, że zgodnie z art. 7 ust. 3 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Powyższy przepis nakłada na administratora obowiązek poinformowania osoby, której dane dotyczą, o tym prawie zanim wyrazi zgodę. Wycofanie zgody musi być zaś równie łatwe, jak jej wyrażenie.