Aktualny

„Szkolna RODO-wyprawka dla rodziców” – nowy przewodnik PUODO dla rodziców

Dodano: 23 września 2021
„Szkolna RODO-wyprawka dla rodziców” – nowy przewodnik PUODO dla rodziców

Prezes Urzędu Ochrony Danych Osobowych opublikował niewielki przewodnik dotyczący ochrony danych osobowych. Jest on przeznaczony głównie dla rodziców i opiekunów prawnych uczniów. Zawiera on odpowiedzi na najczęściej zadawane pytania przez tę grupę. Zawarte w nim informacje są jednak wartościowe także dla dyrektorów szkół. Poniżej prezentujemy jego treść.

Przetwarzanie danych osobowych w szkole

Czy szkoła i na jakiej podstawie może przetwarzać dane osobowe rodziców w dzienniku lekcyjnym?

W przypadku prowadzenia przez szkoły dzienników lekcyjnych podstawą do przetwarzania danych w dokumentacji szkolnej jest przepis prawa. Zgoda rodziców nie stanowi podstawy prawnej przetwarzania danych osobowych.

Sposób prowadzenia dokumentacji przez placówki oświatowe regulują przepisy ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe oraz akty prawne wydane na jej podstawie. Szkoły prowadzą dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym. Zasada ta wynika z § 8 ust. 1 rozporządzenia ministra edukacji narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji”)

Dziennik ten zawiera wiele informacji, w tym dane osobowe zarówno uczniów, jak i ich rodziców. Zgodnie z § 8 ust. 2 rozporządzenia w sprawie dokumentacji do dziennika lekcyjnego wpisuje się nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania (jeżeli są różne od adresu zamieszkania ucznia) oraz adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają.

Czy szkoła może przetwarzać dane osobowe rodziców w dzienniku elektronicznym?

Zgodnie z rozporządzaniem w sprawie dokumentacji dzienniki lekcyjne mogą być prowadzone także w postaci elektronicznej jako tzw. dzienniki elektroniczne (§ 21 ust. 1 rozporządzenia w sprawie dokumentacji), a za zgodą organu prowadzącego szkołę (np. gminy) mogą być prowadzone wyłącznie w tej postaci. Prowadzenie dzienników zarówno w formie papierowej, jak i elektronicznej wynika zatem wprost z regulacji prawnych.

Dziennik elektroniczny stanowi dokumentację prowadzoną przez szkołę, którego sposób prowadzenia, w tym zakres danych osobowych w nim zawartych, regulują przepisy prawa. Oznacza to, że zgodnie z RODO szkoła przetwarza dane osobowe w dziennikach elektronicznych na podstawie przepisów prawa.

Czy rodzice innych uczniów mogą mieć wgląd w dzienniku elektronicznym do informacji dotyczących nie swojego dziecka?

Przetwarzanie danych osobowych w dzienniku elektronicznym, do którego mają dostęp rodzice, nie oznacza, że dane te będą powszechnie dostępne w Internecie. Dziennik elektroniczny to rozwiązanie służące dokumentowaniu przebiegu nauczania, które umożliwia rodzicom m.in. bieżące śledzenie postępów w nauce ich dziecka. Prowadzenie dziennika elektronicznego wymaga zastosowania odpowiednich zabezpieczeń, co oznacza, że dostęp do danych w nim zawartych mają tylko osoby uprawnione, np. rodzice uczniów – w zakresie, który dotyczy wyłącznie ich dziecka/dzieci, i osoby upoważnione (np. nauczyciele).

Czy szkoła może przetwarzać dane etniczne ucznia na potrzeby organizacji kształcenia dzieci mniejszości narodowych i etnicznych?

Tak. Wynika to z regulacji prawnych dotyczących kształcenia dzieci mniejszości narodowych i etnicznych. Dodatkowo działanie to wiąże się z realizacją ważnego interesu publicznego, jakim jest prawo do podtrzymywania poczucia tożsamości narodowej, etnicznej i językowej oraz dostosowana do tego zadania organizacja procesu kształcenia.

Trzeba pamiętać, że uczniowie należący do mniejszości narodowych i etnicznych mają m.in. prawo do nauki języka danej mniejszości lub w języku mniejszości (art. 8. ustawy z 6 stycznia 2005 r. o mniejszościach narodowych i etnicznych oraz o języku regionalnym). Ponadto szkoła i placówka publiczna umożliwia uczniom podtrzymywanie poczucia tożsamości narodowej, etnicznej, językowej i religijnej, a w szczególności naukę języka oraz własnej historii i kultury (z art. 13 ustawy z dnia 7 września 1991 r. o systemie oświaty).

Czy szkoła może opublikować na stronie internetowej wyniki i osiągniecia uczniów zdobyte podczas różnych konkursów lub olimpiad?

Publikacja ogólnej informacji o wynikach, bez wyraźnego wskazania, który uczeń jaki wynik osiągnął, będzie możliwa bez uprzedniej zgody rodziców ucznia. Natomiast jeżeli opublikowanie informacji na stronie będzie się wiązało z podaniem danych osobowych ucznia/uczniów, dzięki którym będzie możliwa ich identyfikacja, wówczas jest potrzebna zgoda rodziców. Wynika to z faktu, że tego rodzaju działanie nie jest ani obowiązkiem, ani uprawnieniem szkoły. Ma to na celu np. wypromowanie konkretnej placówki oświatowej. Natomiast RODO jednoznacznie wskazuje, że dane osobowe muszą być przetwarzane zgodnie z prawem; zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przesłanką legalizującą publikowanie danych osobowych uczniów na stronie internetowej szkoły będzie art. 6 ust. 1 lit. a RODO, a zatem zgoda rodziców.

Czy szkoła możne informować o osiągnięciach uczniów podczas uroczystości szkolonych?

Publiczne wyczytywanie w czasie uroczystości szkolnej imion i nazwisk uczniów wyróżnionych za wybitne osiągnięcia edukacyjne uznać należy za czynności dozwolone i niewymagające uprzedniej zgody rodziców ucznia – albo w przypadku ucznia pełnoletniego – przez samego ucznia.

Zgodnie z ustawą o systemie oświaty i ustawą Prawo oświatowe, szkoła nie potrzebuje uzyskiwać zgód, jeśli przetwarza dane uczniów w celach oświatowych, wynikających z tych ustaw, i związanych z nauką i wychowaniem uczniów.

Czy szkoła może przetwarzać wizerunek ucznia utrwalony na fotografii?

Wykorzystywanie danych osobowych uczniów w postaci utrwalonego wizerunku– np. na stronie internetowej szkoły lub w mediach społecznościowych prowadzonych przez szkołę - i rozpowszechnianie go wymaga zezwolenia osoby, której wizerunek jest rozpowszechniany. Jeśli chodzi o ochronę danych osobowych, to podstawą prawną do publikowania wizerunku jest zgoda (określona w art. 6 ust. 1 lit. a RODO). Osoba, która ma udzielić takiej zgody, powinna być świadoma tego, w jakim celu jest jej to proponowane, jak długo i gdzie jej wizerunek będzie przetwarzany. Jeśli chodzi o publikację np. fotografii ucznia, to taką zgodę administrator powinien uzyskać od rodzica dziecka.

Uwaga

Rodzice chętnie publikują fotografie swoich pociech np. w mediach społecznościowych. Trzeba dodać, że gdy na fotografii będą widoczne wizerunki innych uczniów, osoba publikująca powinna uzyskać zgodę opiekunów prawnych tych uczniów.

Jednocześnie warto wspomnieć, że z wykorzystywaniem czyjegoś wizerunku utrwalonego na fotografii wiąże się również wiąże się także konieczność pozyskania zezwolenie na rozpowszechnienie tego wizerunku wynikająca z ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych. Nie bez znaczenia na powyższe ma uregulowanie art. 81 ust. 2 pkt 2 tej ustawy, zgodnie z którym zgoda uwidocznionych na nich osób lub rodziców tych osób nie jest konieczna, gdy sylwetka stanowi jedynie szczegół całości uwiecznionej na zdjęciu. Oznacza to, że możliwe jest rozpowszechnianie zdjęć z zabaw szkolnych, wycieczek, na których sylwetka osoby nie jest wyodrębniona, a jest jedynie elementem szerszego planu.

Czy szkoła może żądać przedstawienia upoważnienia do odbioru dziecka w przypadku gdy ta czynność realizowana jest np. przez babcię, dziadka?

W świetle obowiązujących przepisów to przede wszystkim rodzice mają prawo, w ramach wykonywania władzy rodzicielskiej (art. 93, 95 § 2 ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy), przyprowadzać i odbierać swoje dziecko/dzieci ze szkoły. Pozostałe osoby (np. babcia, dziadek) mogą wykonywać te czynności na podstawie upoważnienia udzielonego przez rodziców. Wobec osoby upoważnionej do odbioru dziecka, która wypełnia stosowne upoważnienie, należy pamiętać o realizacji obowiązku informacyjnego.

Czy przedstawiciel szkoły ma prawo prosić osobę upoważnioną do odbioru dziecka o okazanie dowodu osobistego w celu weryfikacji tożsamości?

W świetle ustawy Prawo oświatowe, dyrektor szkoły wykonuje zadania związane z zapewnieniem bezpieczeństwa uczniom i nauczycielom w czasie zajęć organizowanych przez szkołę lub placówkę. Jednak przedstawiciel szkoły nie ma podstaw do legitymowania osób, może co najwyżej zażądać uwiarygodnienia tożsamości. Takie uwiarygodnienie może następować w różny sposób, np. przez okazanie dowodu tożsamości lub innego dokumentu potwierdzającego tożsamość (paszport, legitymacja inwalidy itp.). Wybór środków dla uwierzytelnienia swej tożsamości należy do osoby, która posiada pełnomocnictwo do odbioru dziecka.

Udostępnianie danych osobowych ucznia

Rodzic chce uzyskać informacje na temat dziecka przez telefon. Czy może?

Przy przetwarzaniu danych osobowych zawsze należy wziąć pod uwagę to, czy przetwarzanie tych danych wiąże się lub może wiązać się z naruszeniem praw lub dóbr tej osoby. Najważniejsze jest zidentyfikowanie dzwoniącego oraz ustalenie, czy jest on uprawniony do pozyskania informacji o dziecku. Należy bowiem pamiętać, że szkoła jest zobowiązana zapewnić, aby dane nie były udostępniane osobom nieupoważnionym. Dlatego w takich sytuacjach ważne jest dążenie do potwierdzenia, że osoba dzwoniąca jest tą, za którą się podaje.

Informacjami, które mogą pozwolić na weryfikację dzwoniącego może być np.: imię i nazwisko dziecka, wiek dziecka, data urodzenia, imiona rodziców, a także informacje, w co dziecko jest ubrane, do której klasy uczęszcza, nazwisko wychowawcy itp.

Uwaga

W przypadku wątpliwości co do tożsamości osoby usiłującej pozyskać informacje dotyczące dziecka, powinno się odmówić ich udzielenia, ewentualnie podać informacje ogólne.

Najlepiej jednak kontaktować się ze szkołą za pośrednictwem ustalonego jako bezpieczny kanału komunikacji, np. dziennika elektronicznego, jeżeli taki jest w szkole przyjęty.

Szkoła nie prowadzi dziennika elektronicznego. Czy mogę się skontaktować z nauczycielem mailowo?

Tak, jest to możliwe. Rekomendowane jest, by nauczyciele do korespondencji e-mailowej, np. z uczniami czy rodzicami, korzystali ze służbowych adresów poczty elektronicznej. Szkoła może wykorzystywać adresy e-mail rodziców/opiekunów prawnych dzieci do kontaktu z nimi, jeżeli osoby te wyrażą na to zgodę. Szczególną uwagę należy zwrócić na zabezpieczenie danych osobowych udostępnianych w przesyłanych wiadomościach. Dlatego też wykorzystując pocztę elektroniczną do kontaktów z rodzicami, szkoła powinna wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiedni do ryzyka. Trzeba podkreślić, że to szkoła a nie nauczyciele są administratorami podejmującymi decyzję co do przyjmowanych w szkole kanałów komunikacji. Dlatego tak ważne jest, aby wdrażać odpowiednie procedury i przeprowadzać systematyczne szkolenia, w celu uświadamiania określonych ryzyk, jakie wiążą się z przetwarzaniem danych poza przyjętymi procedurami.

Czy szkoła ma prawo udostępnić informacje o postępach w nauce czy zachowaniu ucznia np. babci lub dziadkowi, których rodzice upoważnili do obioru danego ucznia ze szkoły?

Tylko osoby uprawnione otrzymają informacje o dziecku. Każdorazowe udostępnienie danych dotyczących ucznia musi mieć podstawę w obowiązujących przepisach prawa, na które powinny się one powołać. Udostępnienie danych może nastąpić na podstawie jednej z przesłanek określonych w art. 6 ust. 1 RODO. Wówczas decyzja będzie należała do administratora, który będzie musiał ocenić podstawy.

Aby babcia lub dziadek, nawet jeśli sprawują opiekę nad uczniem, ale nie na mocy obowiązku prawnego, mogli otrzymywać informacje o postępach w nauce czy zachowaniu ucznia, to muszą zostać do tego upoważnieni przez rodziców (opiekunów prawnych). Jeśli zakres upoważnienia obejmuje jedynie odbiór ucznia ze szkoły, to nie można zakładać, że na tej podstawie dziadek lub babcia będą mogli również otrzymywać informacje o postępach w nauce czy zachowaniu ucznia.

Co innego w sytuacji upoważnienia np. dziadków do uczestnictwa w wywiadówce, wówczas szkoła ma podstawę prawną do udostępnienia im danych jako wyznaczonym do tego celu przez rodziców (opiekunów prawnych) pełnomocnikom.

Czy policja ma prawo żądać od placówki oświatowej udostępniania danych osobowych ucznia?

Zgodnie z ustawą o Policji jej funkcjonariusze w zakresie wykonywania swoich czynności służbowych mają uprawnienie do żądania niezbędnej pomocy od instytucji państwowych, organów administracji rządowej i samorządu terytorialnego oraz przedsiębiorców prowadzących działalność w zakresie użyteczności publicznej. Jednocześnie wymienione powyżej podmioty mają obowiązek w zakresie swojego działania, do udzielenia tej pomocy, zgodnie z obowiązującymi przepisami prawa. Szkoła jako administrator, czyli podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych, przetwarzając dane osobowe musi czuwać nad tym, żeby dane te były przetwarzane (a więc również udostępniane) zgodnie z prawem, merytorycznie poprawne, adekwatne do celów, w jakich są przetwarzane (art. 5 ust. 1 lit. a, c, d RODO). Oznacza to w szczególności konieczność wnikliwej weryfikacji wniosków o udostępnienie danych wpływających do administratora. Jeśli wniosek będzie dotyczył zadań i obowiązków służbowych realizowanych przez policję, np. prowadzenia postępowania karnego, a spełni przy tym wyżej przywołane wymagania (m.in.: wskazuje właściwą podstawę prawną, cel i zakres wnioskowanych danych), to żądane dane powinny zostać udostępnione. Warto dodać, że właściwy organ Policji powinien wskazać na konkretny przepis prawa, regulujący daną sytuację w związku z którą zwraca się o dane ucznia. Sama tylko ogólnie wskazana podstawa prawna nie powinna być podstawą do udostępnienia jakichkolwiek danych ucznia, bo szkoła jako administrator nie ma wówczas możliwości dokonania oceny wniosku o udostępnienie danych Policji. Warto dodać, że proces pozyskiwania danych przez Policję będzie opierał się o przepisy ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Monitoring wizyjny w placówce oświatowej

W szkole wprowadzono monitoring wizyjny. Czy może on być stosowany?

Regulacje dotyczące stosowania monitoringu w placówkach oświatowych zostały ujęte w ustawie Prawo oświatowe i wprowadzają one szczególne warunki dla jego zastosowania w środowisku szkolnym. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). Stanowi tak art. 108a ust. 1 Prawa oświatowego.

Monitoring nie obejmuje pomieszczeń, w których odbywają się zajęcia dydaktyczne, wychowawcze i opiekuńcze oraz w których uczniom jest udzielana pomoc psychologiczno-pedagogiczna, czy przeznaczonych do odpoczynku i rekreacji pracowników. Nie może on obejmować również pomieszczeń sanitarno-higienicznych, gabinetu profilaktyki zdrowotnej, szatni i przebieralni. Przy czym prawo dopuszcza stosowanie monitoringu w takich miejscach, o ile jest on niezbędny ze względu na istniejące zagrożenie dla realizacji celu określonego w ust. 1, czyli np. zapewnienia bezpieczeństwa, ale rozwiązanie to nie naruszy godności oraz innych dóbr osobistych uczniów, pracowników i innych osób, w szczególności zostaną zastosowane techniki uniemożliwiające rozpoznanie przebywających w tych pomieszczeniach osób (art. 108a ust. 3 Prawa oświatowego).

Wprowadzenie monitoringu powinno być poprzedzone spełnieniem wszystkich warunków wynikających z Prawa oświatowego wraz z wykazaniem niezbędności dla takiej formy ingerencji w prywatność dzieci i innych osób (opinia EROD wprost wskazuje na konieczność udokumentowania, że zastosowano uprzednio inne środki ingerencji, których jednak okazały się nieefektywne, co zaskutkowało wprowadzeniem monitoringu).

Jeśli budynek szkolny lub jego najbliższe otocznie jest monitorowany, to czy miejsca te powinny być oznaczone graficznie?

Tak, obowiązek ten wynika z przepisów oświatowych. Ponadto ogólne przepisy RODO wskazują na konieczność respektowania zasady przejrzystości. Dyrektor działający w imieniu szkoły jako administrator danych rejestrowanych za pomocą monitoringu odpowiada za właściwe oznaczenie pomieszczenia i terenu objętego takim nadzorem. Oznaczenie powinno być widoczne i czytelne, może mieć postać graficzną lub dźwiękową, a ponadto musi być przygotowane nie później niż dzień przed uruchomieniem systemu monitorowania (art. 108 a ust. 8 ustawy Prawo oświatowe).

Uwaga

Szkoła, jako administrator, powinna w sposób przejrzysty informować o tym, że stosuje monitoring. Jak stanowi art. 12 ust. 7 RODO „informacje których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14 można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania”.

Czy rodzice mogą domagać się od dyrektora szkoły, aby tymczasowo w sali dydaktycznej zamontował monitoring, po to, aby obserwować wykonywanie pracy nauczyciela?

Przepisy prawa oświatowego regulują, w jakich miejscach nie może być zamontowany monitoring. Jednym z tych miejsc jest sala dydaktyczna. Prawo oświatowe również zastrzega, że założenie monitoringu nie może stanowić środka nadzoru nad jakością wykonywania pracy przez pracowników szkoły lub placówki. Ponadto zamontowanie kamer w sali dydaktycznej może naruszać dobra osobiste, w tym prywatność zarówno nauczyciela, jak i samych uczniów. Wola rodziców w tym zakresie nie będzie zatem wystarczającą podstawą dla wprowadzania monitoringu przez placówki oświatowe.

W szkole doszło do bójki z udziałem uczniów. Czy rodzice, którzy chcą dochodzić roszczeń na drodze sądowej, mogą dla celów dowodowych domagać się udostępnienia nagrania z monitoringu szkolnego?

Pamiętajmy, że administrator danych, do którego wpływa żądanie udostępnienia np. nagrania z monitoringu musi też chronić dane osób trzecich, których wizerunek mógł zostać zarejestrowany kamerą, dlatego jest uprawniony do oceny, czy w określonych okolicznościach udostępnienie danych nie naruszy praw innych osób i gdyby to miało miejsce odmówić udostępnienia np. zarejestrowanego filmu. Zasadność udostępnienia danych muszą wskazywać okoliczności faktyczne w sprawie. Udostępnienie danych innych osób utrwalonych na nagraniu może nastąpić na podstawie przesłanki określonej w art. 6 ust. 1 lit. f RODO. Odmowa może nastąpić dopiero po analizie zasadności skierowanego do administratora żądania.

Ponadto zgodnie z obowiązującymi przepisami przy udostępnianiu informacji o osobach trzeba mieć na względzie ochronę innych praw i wolności np. wolności wypowiedzi.

Współpraca z inspektorem ochrony danych

Z kim mogę w szkole porozmawiać o ochronie danych osobowych?

Jeśli szkoła ma wyznaczonego inspektora ochrony danych (IOD), to z nim najlepiej porozmawiać na temat obowiązujących przepisów, podstaw i celów, w których szkoła przetwarza dane osobowe uczniów. Współpraca administratora z inspektorem ochrony danych może przynieść wiele korzyści. IOD jako profesjonalista ma wiedzę z zakresu stosowania i respektowania przez administratorów przepisów o ochronie danych osobowych. Dodatkowo inspektor współpracujący z placówkami oświatowymi posiada wiedzę z zakresu Prawa oświatowego.

Administrator, czyli szkoła, publikuje dane kontaktowe inspektora ochrony danych w postaci imienia, nazwiska oraz adresu poczty elektronicznej lub numeru telefonu. Dane kontaktowe IOD muszą być łatwo dostępne, np. szkoła może je umieścić na swojej stronie internetowej lub wywiesić je na tablicy informacyjnej na terenie placówki.

Źródło:

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x