Początek roku szkolnego 2021/2022 i objęcie przez portal PoradyODO po raz kolejny patronatu nad kolejną edycją programu „Twoje dane – Twoja sprawa” to doskonała okazja do przedstawienia praktycznych rozwiązań w zakresie ochrony danych osobowych w jednostkach oświaty. Prezentujemy odpowiedzi na pytania naszych Czytelników dotyczące RODO w szkole
Czy w przypadku zgłoszenia ucznia do szkoły w trakcie roku szkolnego rodzic wraz ze zgłoszeniem powinien potwierdzić zapoznanie się z klauzulą informacyjną.
Tak. Podpis pod obowiązkiem informacyjnym stanowi potwierdzenie zapoznania się z informacjami, o których mowa w art. 13 i 14 RODO. Taki podpis jest rozwiązaniem odpowiednim w kontekście reguły rozliczalności (art. 5 ust. 2 RODO). Dzięki temu administratorowi jest bowiem łatwiej wykazać, że obowiązek informacyjny został zrealizowany.
W praktyce powinien być to podpis z adnotacją o zapoznaniu się z obowiązkiem informacyjnym.
Nauczyciel cofnął zgodę na przetwarzanie danych osobowych. Jakie są tego konsekwencje?
W takim w zakresie w jakim przetwarzanie danych w istocie odbywało się na podstawie zgody pracownika, danych tych nie można przetwarzać. Niemniej jednak jeśli chodzi o dane osobowe takie jak np.:
wizerunek (w związku z monitoringiem)
dane przekazywane do kadr,
dane przekazywane do księgowości,
to ich przetwarzanie nie odbywa się na podstawie zgody. W pierwszym przypadku podstawa przetwarzania to art. 6 ust. 1 lit. f RODO (tj. realizacja uzasadnionego interesu administratora jakim jest cel monitoringu). W pozostałych przetwarzanie stanowi realizację obowiązku prawnego spoczywającego na administratorze - w zakresie prawa pracy i rachunkowości (art. 6 ust. 1 lit. c RODO). Tym samym pracownik w ogóle nie powinien wyrażać zgody na przetwarzanie danych w tym zakresie. Zaś cofnięcie należy uznać za bezskuteczne.
Czy na stronie internetowej szkoły można opublikować fotografie poszczególnych nauczycieli?
Tak, ale za zgodą poszczególnych nauczycieli. Działania wskazane w pytaniu będą związane z publikacją wizerunku pracownika na stronie WWW, wówczas dojdzie do rozpowszechniania tego wizerunku. To zaś będzie wymagało zezwolenia pracownika na rozpowszechnianie wizerunku (art. 81 ustawy o prawie autorskim i prawach pokrewnych).
Czy złożenie wniosku o badanie dziecka w poradni psychologiczno-pedagogicznej wymaga udzielenia przez rodzica zgody na przetwarzania danych?
Nie. Nie należy wymagać zgody na przetwarzanie danych osobowych. W takim zakresie, w jakim treść orzeczenia/opinii poradni regulują przepisy, nie ma obowiązku pozyskiwania tej zgody. Dane osobowe mieszczące się w zakresie uregulowanym w przepisach są bowiem przetwarzane w celu realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO).
Nauczyciel był zatrudniony na czas określony do 31 sierpnia. Następnie zostanie ponownie zatrudniony od 1 września? Czy należy wydać mu nowe upoważnienie do przetwarzania danych
Tak. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 RODO). Z upoważnienia administratora czyli szkoły powinni właśnie działać jej pracownicy. Takie upoważnienie jest więc wydawane w związku z pozostawaniem w stosunku pracy. Jeżeli stosunek pracy ustaje, to zarazem przestaje obowiązywać upoważnienie do przetwarzania danych.
Ponowne zatrudnienie wiąże się z koniecznością wydania nowego upoważnienia do przetwarzania danych osobowych.
Dyrektor szkoły od początku roku szkolnego będzie nieobecny z uwagi na długotrwałe zwolnienie lekarskie. Czy zastępujący go wicedyrektor powinien otrzymać nowe upoważnienie do przetwarzania danych?
Tak. Upoważnienie dla wicedyrektora będzie konieczne.
W przypadku nieobecności dyrektora szkoły lub placówki zastępuje go wicedyrektor, a w szkołach i placówkach, w których nie utworzono stanowiska wicedyrektora - inny nauczyciel tej szkoły lub placówki, wyznaczony przez organ prowadzący (art. 68 ust. 9 Prawa oświatowego). Wskazane w tym przepisie zastępstwo obejmuje wykonywanie czynności dyrektora. Nie wyłącza jednak obowiązku udzielenia upoważnienia do przetwarzania danych osobowych.
Każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 RODO).
Taką osobą jest także wicedyrektor zastępujący dyrektora. Jako że jest on powoływany przez organ prowadzący i poza tym organem nie ma bezpośredniego zwierzchnika służbowego (gdyż zastępuje nieobecnego dyrektora) to upoważnienie to powinien podpisać organ prowadzący. Konkretnie na upoważnieniu powinien znaleźć się podpis wójta/burmistrza/prezydenta miasta/starosty/marszałka województwa, ponieważ to właśnie te organy wykonują obowiązki pracodawcy względem wskazanej osoby (art. 29 ust. 1 pkt 3 Prawa oświatowego).
Czy rodzic może żądać udostępnienia danych osobowych dziecka i drugiego rodzica od szkoły?
Tak, ale tylko w zakresie danych osobowych dziecka. Żaden przepis nie obliguje szkoły do udostępniania danych osobowych drugiego rodzica. Natomiast w przypadku danych osobowych dziecka taki obowiązek może wynikać z faktu sprawowania władzy rodzicielskiej nad dzieckiem - o ile rodzic nie został tej władzy pozbawiony (z pytania to nie wynika). W tym drugim przypadku podstawą przetwarzania danych może być więc art. 6 ust. 1 lit. c RODO w zw. z art. 97 Kodeksu rodzinnego i opiekuńczego.
Reasumując, o ile istnieją podstawy do udostępnienia danych adresowych dziecka, o tyle takowych nie ma w przypadku danych matki.
Czy organ prowadzący może żądać od dyrektora adresów zamieszkania rodziców uczniów?
Nie, brak jest bowiem podstaw prawnych do udostępnienia takich danych. Udostępnianie jest jedną z operacji wykonywanych na danych osobowych w ramach ich przetwarzania. Różnica pomiędzy powierzeniem przetwarzania danych a ich udostępnieniem polega natomiast na tym, że w przypadku powierzenia przetwarzania danych podmiot przekazujący dane nadal decyduje zarówno o sposobie jak i celach przetwarzania danych. W takim wypadku należy zawrzeć umowę powierzenia przetwarzania, na podstawie art. 28 RODO.
W przypadku udostępnienia danych podmiot je udostępniający, czyli w opisanym w pytaniu przypadku szkoła, nie będzie już decydował o sposobie i celach przetwarzania danych. Wówczas nie zawiera się umowy powierzenia przetwarzania pomiędzy administratorem a podmiotem przetwarzającym. Udostępnienie musi jednak zostać oparte o wyraźną podstawę prawną. Takiej podstawy prawnej w opisanej sytuacji brak.
Czy protokoły z posiedzeń rad pedagogicznych mogą zawierać dane osobowe nauczycieli?
Tak. Generalnie posługiwanie się danymi osobowymi podczas posiedzenia rady pedagogicznej nie jest wykluczone. Tym bardziej, że w przepisach przewidziano gwarancję w postaci art. 73 ust. 3 Prawa oświatowego, zgodnie z którym osoby biorące udział w zebraniu rady pedagogicznej są obowiązane do nieujawniania spraw poruszanych na zebraniu rady pedagogicznej, które mogą naruszać dobra osobiste uczniów lub ich rodziców, a także nauczycieli i innych pracowników szkoły lub placówki. Co więcej, dane osobowe nauczycieli stanowią informację publiczną.
Istotny jest tu jednak kontekst, w którym zostały przedstawione dane nauczycieli. Otóż na posiedzeniu rady pedagogicznej powinny być poruszane jedynie sprawy w zakresie ustawowych kompetencji rady. Należy do nich:
zatwierdzanie planów pracy szkoły lub placówki po zaopiniowaniu przez radę szkoły lub placówki;
podejmowanie uchwał w sprawie wyników klasyfikacji i promocji uczniów;
podejmowanie uchwał w sprawie eksperymentów pedagogicznych w szkole lub placówce, po zaopiniowaniu ich projektów przez radę szkoły lub placówki oraz radę rodziców;
ustalanie organizacji doskonalenia zawodowego nauczycieli szkoły lub placówki;
podejmowanie uchwał w sprawach skreślenia z listy uczniów;
ustalanie sposobu wykorzystania wyników nadzoru pedagogicznego, w tym sprawowanego nad szkołą lub placówką przez organ sprawujący nadzór pedagogiczny, w celu doskonalenia pracy szkoły lub placówki.
Oprócz tego rada pedagogiczna opiniuje:
organizację pracy szkoły lub placówki, w tym tygodniowy rozkład zajęć edukacyjnych, oraz organizację kwalifikacyjnych kursów zawodowych, jeżeli szkoła lub placówka takie kursy prowadzi;
projekt planu finansowego szkoły lub placówki będącej jednostką budżetową;
wnioski dyrektora o przyznanie nauczycielom odznaczeń, nagród i innych wyróżnień;
propozycje dyrektora szkoły lub placówki w sprawach przydziału nauczycielom stałych prac i zajęć w ramach wynagrodzenia zasadniczego oraz dodatkowo płatnych zajęć dydaktycznych, wychowawczych i opiekuńczych (art. 70 Prawa oświatowego).
Przykład
W ramach tych kompetencji nie mieszczą się sprawy kadrowe. Nie powinny być one więc rozpatrywane na posiedzeniach rady pedagogicznej i w tym kontekście nie powinno się ujmować danych osobowych nauczyciela w protokole.
Czy nauczyciel może udostępnić uczniom i rodzicom swoje hasło do dziennika elektronicznego?
Kategorycznie nie. Takie postępowanie skutkowałoby wyciekiem danych osobowych uczniów i możliwością ich przejęcia przez osobę nieuprawnioną.
Przykład
Jeden z rodziców wchodzi w posiadanie danych osobowych ucznia, który nie jest jego dzieckiem.
Jeżeli ryzyko naruszenia praw i wolności uczniów byłoby wówczas co najmniej średnie, wówczas dyrektor musiałby niezwłocznie zawiadomić o naruszeniu ochrony danych osobowych Prezesa Urzędu Ochrony Danych Osobowych (art. 33 RODO).
Poza tym zasadne byłoby w takiej sytuacji wyciągnięcie wobec nauczyciela konsekwencji służbowych. Zachowanie nauczyciela nosiłoby znamiona uchybienia godności zawodu. Takowym jest ujawnianie osobom trzecim hasła dostępu, które powinno być znane tylko nauczycielowi. Jeżeli jego poczynania poskutkowały naruszeniem praw lub dobra małoletnich uczniów (w to dobro może godzić wyciek ich danych), wówczas dyrektor musiałby zawiadomić o zdarzeniu rzecznika dyscyplinarnego nauczycieli (art. 75 ust. 2a Karty Nauczyciela).
Czy przy wprowadzaniu danych nauczyciela do SIO trzeba uzyskać od niego zgodę na wprowadzenie jego danych?
Co do zasady nie. Generalnie dane osobowe nauczycieli są przekazywane do SIO w wykonaniu obowiązku prawnego wynikającego z ustawy o systemie informacji oświatowej (art. 29 ustawy o SIO).
Skoro dyrektor, przekazując dane osobowe nauczycieli do SIO, realizuje obowiązek prawny, to podstawą przetwarzania tych danych jest art. 6 ust. 1 lit. c RODO.
Niemniej jednak wyjątkiem są tu dane, o których mowa w art. 58 ust. 1 pkt 2 i art. 59 pkt 2 ustawy o SIO. W art. 60 ust. 1 ustawa o SIO wymaga bowiem dla pozyskania tych danych pisemnej zgody nauczyciela. Chodzi tu o:
wykształcenie,
przygotowanie pedagogiczne,
posiadane kwalifikacje do nauczania,
stopień awansu zawodowego,
ukończone formy dokształcania i doskonalenia zawodowego.
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 13, art. 14, art. 29, art. 33,
ustawa z 14 grudnia 2016 r. - Prawo oświatowe (tekst jedn.: Dz.U. 2021 poz. 1082) - art. 29 ust. 1 pkt 3, art. 68 ust. 9, art. 70,
ustawa z 26 stycznia 1982 r. - Karta Nauczyciela (tekst jedn.: Dz.U. z 2019 r. poz. 2215 ze zm.) - art. 75,
ustawa z 15 kwietnia 2011 r. o systemie informacji oświatowej (tekst jedn.: Dz.U. z 2021 r. poz. 584) - art. 29, art. 58, art. 59, art. 60.
-->
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl