Dołącz do czytelników
Brak wyników

Pod paragrafem

29 kwietnia 2021

NR 111 (Kwiecień 2021)

RODO w praktyce szkolnej. Część 2 – obowiązek informacyjny

12

Jednym z najbardziej istotnych zagadnień związanych z ochroną danych osobowych jest kwestia zapewnienia transparentności procesów ich przetwarzania. Zasada przejrzystości sformułowana w ogólnym rozporządzeniu o ochronie danych osobowych (RODO) nakłada na administratorów danych obowiązek informacyjny w stosunku do osób, których dane są przetwarzane. Realizacja tego obowiązku przysparza administratorom danych wielu problemów. Przyjrzyjmy się błędom popełnianym przez szkoły i spróbujmy podpowiedzieć, jak można ich uniknąć.

Zasady przejrzystości nie można rozpatrywać niezależnie od innych zasad przetwarzania danych osobowych, jest ona bowiem nierozerwalnie związana z zasadami rzetelności oraz rozliczalności, a także zależna od pozostałych zasad. Warto przypomnieć, że zasady dotyczące przetwarzania danych osobowych zostały określone w art. 5 rozporządzenia RODO. Zgodnie z jego brzmieniem dane osobowe muszą być:

POLECAMY

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość),
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu),
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych),
  • prawidłowe i w razie potrzeby uaktualniane (prawidłowość),
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania),
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

Administrator jest nie tylko odpowiedzialny za przestrzeganie tych zasad, ale też musi być w stanie wykazać ich przestrzeganie (rozliczalność). Z kolei osoba, której dane są przetwarzane, musi mieć możliwość zweryfikowania, czy przetwarzanie odbywa się zgodnie z powyższymi zasadami. Taką możliwość daje odpowiednia klauzula informacyjna przygotowana przez administratora.

Zakres informacji

Stosowanie zasady przejrzystości wiąże się z koniecznością poinformowania osoby, której dane są przetwarzane, o zakresie i sposobie ich wykorzystywania oraz przysługujących jej prawach. Zgodnie z art. 13 RODO w klauzuli informacyjnej powinny znaleźć się w szczególności następujące informacje:

  • tożsamość i dane kontaktowe administratora,
  • dane kontaktowe inspektora ochrony danych (gdy został powołany),
  • cele i podstawa prawna przetwarzania danych,
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeśli wskazano to jako podstawę przetwarzania danych),
  • informacja o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie),
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • informacja o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się napodstawie zgody – informacja o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacja o prawie wniesienia skargi do organu nadzorczego,
  • informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Warto zaznaczyć, że nie ma obowiązku podawania w klauzuli imienia i nazwiska dyrektora szkoły oraz inspektora ochrony danych. Wpisanie tych danych wymagałoby ponownego wywiązania się z obowiązku informacyjnego w przypadku zmiany dyrektora lub inspektora, bowiem przekazany wcześniej dokument utraciłby aktualność.
Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, to zgodnie z art. 14 RODO administrator podaje ponadto osobie, której dane dotyczą, kategorie odnośnych danych osobowych oraz źródło ich pochodzenia, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
Informacje te można przekazać na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, klauzulę można też przekazać ustnie, jednak w związku z zasadą rozliczalności administrator musi wziąć pod uwagę, czy będzie w stanie wykazać spełnienie obowiązku informacyjnego.

Jasność przekazu

Klauzula informacyjna musi mieć zwięzłą, przejrzystą, zrozumiałą i łatwo dostępną formę. Ważne, aby była napisana jasnym i prostym językiem, w szczególności gdy informacje są kierowane do dziecka. Zawartość powinna być przekazana w sposób efektywny i zwięzły, by nie przytłoczyć odbiorcy informacjami. Wiedząc, do jakiej grupy będą skierowane informacje, administrator powinien używać sformułowań, które zrozumie przeciętny reprezentant spośród grona odbiorców. 
Niestety, w praktyce klauzule informacyjne bardzo często nie spełniają powyższych wymagań. Pisane są trudnym do odbioru, prawniczym językiem, posiadają mało czytelną formę, są przeładowane treścią. Najczęściej popełnianym błędem jest publikowanie na stronie internetowej szkoły jednej uniwersalnej klauzuli informacyjnej, w której opisane są wszystkie czynności przetwarzania danych w jednostce. Trudno w takim dokumencie zachować zwięzłość i przejrzystość.
Nie powinno się także przytaczać na wstępie pełnej nazwy rozporządzenia RODO, która sama w sobie jest trudna do zrozumienia dla przeciętnego odbiorcy. Żaden przepis nie wymaga podawania podstawy prawnej, która zobowiązuje administratora do spełnienia obowiązku informacyjnego. Musi on go po prostu spełnić. Przykładem dobrej praktyki jest rozpoczynanie klauzuli informacyjnej od zwięzłych sformułowań typu: „Informujemy Państwa, że…”, lub używanie prostych nagłówków w rodzaju: „Jakie informacje o Tobie przetwarzamy i dlaczego?”.
Często w klauzulach cytowane są niepotrzebnie poszczególne przepisy rozporządzenia RODO i innych ustaw. Ponadto, obok nazw aktów prawnych podawane są ich metryczki, niejednokrotnie bardzo długie ze względu na wiele zmian dokonywanych w ustawach – ich praktyczny walor informacyjny dla przeciętnego Kowalskiego jest właściwie żaden, a poza tym metryczki stale nowelizowanych aktów prawa szybko się dezaktualizują, co podważa sens ich umieszczania w klauzuli, która co do zasady powinna być aktualna w całym okresie przetwarzania konkretnych danych osobowych.
Dla jasności przekazu oraz ze względu na występujące czasem ograniczenia warto w niektórych przypadkach przedstawić informacje w sposób warstwowy. Sprawdza się to szczególnie w sytuacji przetwarzania danych osobowych w systemach monitoringu wizyjnego czy w przypadku klauzul dołączanych do wiadomości e-mail. W pierwszej warstwie przekazujemy najbardziej niezbędne informacje, takie jak: tożsamość administratora, cele przetwarzania danych, opis praw przysługujących osobie, do której należą dane osobowe, natomiast w drugiej warstwie powinny się znaleźć wszystkie pozostałe informacje wymagane przez art. 13 lub art. 14 RODO. 
Przekierowanie odbiorcy do pełnej warstwy może nastąpić za pomocą bezpośredniego linku, który pozwala jednym „kliknięciem” przejść do kolejnych informacji, lub poprzez wskazanie miejsca, w którym możliwe będzie zapoznanie się z pełną treścią obowiązku informacyjnego (np. przy portierni).
Należy tutaj zaznaczyć, że na administratorze ciąży obowiązek przekazania pełnej treści klauzuli informacyjnej, a inicjatywa w tym zakresie powinna bezwarunkowo należeć wyłącznie do niego. Niedopuszczalne jest przekazanie pierwszej warstwy klauzuli z jednoczesnym wskazaniem, że w celu otrzymania pozostałych informacji należy zgłosić się do sekretariatu szkoły lub napisać stosowną prośbę do administratora. Niektóre ze szkół do dzisiaj stosują takie właśnie rozwiązanie w stopce wiadomości e-mail.

Cel i podstawa przetwarzania danych

Jedną z najważniejszych informacji, jaką należy przekazać osobie, której dane są pozyskiwane, jest określenie, w jakim celu je zbieramy. Pozyskiwanie danych powinno się bowiem odbywać wyłącznie dla oznaczonych, zgodnych z prawem, konkretnych celów i nie powinno być związane z innymi, wcześniej nieokreślonymi celami (zasada ograniczenia celu). Nauczyciel nie może np. wykorzystywać numerów telefonów rodziców w celu zaproponowania im możliwości skorzystania z oferty firmy ubezpieczeniowej, ponieważ co do zasady podstawowym celem przetwarzania danych uczniów jest wypełnienie obowiązku prawnego, który zamyka się w kręgu regulacji prawnych związanych z realizacją procesu dydaktyczno-wychowawczego.
Zmiana celu przetwarzania danych lub dodanie nowego celu jest możliwe pod warunkiem posiadania podstawy prawnej i poinformowania o tym osoby, której dane będą przetwarzane. Jeżeli rodzic wyraził zgodę na publikację wizerunku dziecka w celu promocji szkoły, to zdjęcie dziecka nie może być wykorzystywane przez nauczyciela w celu związanym z jego awansem zawodowym. Na to nauczyciel musiałby mieć osobną zgodę rodzica.
Określając cel, należy jednocześnie podać co najmniej jedną przesłankę legalizującą przetwarzanie danych. Przypomnijmy, że art. 6 ust. 1 RODO wskazuje sześć przesłanek przetwarzania danych zgodnie z prawem:

  • zgoda osoby, której dane dotyczą,
  • realizacja umowy lub podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • wypełnienie obowiązku prawnego ciążącego na administratorze,
  • ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • realizacja zadań w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią.

Trzecia z przesłanek – wypełnienie obowiązku prawnego – powinna być w klauzuli informacyjnej uzupełniona o wskazanie konkretnego przepisu prawa, który wyraźnie nakazuje administratorowi przetwarzanie danych osobowych, a najczęściej podaje także ich zakres. Brak zakresu danych w regulacjach prawnych będzie wymagał od administratora dokonania weryfikacji pod kątem niezbędności ich posiadania do osiągnięcia określonego celu przetwarzania (zasada minimalizacji danych).
Dyrektor szkoły publicznej musi pamiętać, że przetwarzania danych osobowych nie może opierać na szóstej z wymienionych przesłanek – prawnie uzasadnione interesy administratora. Przesłanka ta nie ma bowiem zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań, a jak zauważył Naczelny Sąd Administracyjny w wyroku z dnia 25 kwietnia 2012 r. (sygn. akt I OSK 248/12): dyrektor szkoły publicznej jest organem władzy publicznej, bowiem realizuje zadania publiczne związane z realizacją prawa każdego obywatela do kształcenia się oraz prawa dzieci i młodzieży do wychowania i opieki, odpowiednich do wieku i osiągniętego rozwoju, a nadto uprawniony jest do działania w formie władczej w stosunku do uczniów np. poprzez wydawanie decyzji administracyjnych w przedmiocie skreślenia ucznia z listy uczniów.
Jeżeli przetwarzane mają być dane szczególnie chronione, np. dotyczące zdrowia, w klauzuli informacyjnej musi się znaleźć odniesienie do co najmniej jednej z podstaw prawnych określonych w art. 9 ust. 2 RODO. W praktyce szkolnej będzie to najczęściej związane ze zgodą, wypełnieniem obowiązków i wykonywaniem szczególnych praw przez dyrektora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, ochroną żywotnych interesów osoby, której dane dotyczą, a także z niezbędnością przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego.

Okres przechowywania danych

Jednym z elementów dobrze sformułowanej klauzuli informacyjnej jest określenie okresu przechowywania danych osobowych. Zgodnie z art. 5 ust. 1 lit. e RODO dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane (zasada ograniczenia przechowywania). Gdy nie jest możliwe wskazanie okresu, przez który dane osobowe będą przechowywane, należy określić kryteria ustalania tego okresu.
Podawanie okresu przechowywania danych jest niezmiernie ważne dla osoby, której dane są przetwarzane, bowiem pozwala to kontrolować, jakie informacje na jej temat w danym czasie są w posiadaniu różnych podmiotów oraz weryfikować, czy przetwarzanie odbywa się zgodnie z prawem. Niewłaściwą praktyką jest podawanie bliżej nieokreślonego terminu usunięcia danych, np. „dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania”.
W tym miejscu warto zaznaczyć, że w przypadku przetwarzania danych pozyskanych na podstawie zgody podawanie informacji, że dane będą przechowywane do czasu wycofania zgody, jest mocno wątpliwe, zwłaszcza gdy chodzi o publikację wizerunku uczniów.
Analiza przepisów prawa czasami daje odpowiedź na pytanie, jak długo dane mogą być przechowywane, jednak najczęściej regulacje prawne nie są wyczerpujące w tym zakresie. W praktyce szkolnej tylko w przypadku danych osobowych kandydatów i dokumentacji postępowania rekrutacyjnego przepis prawa wprost wskazuje, jak długo należy przechowywać takie dokumenty. W myśl art. 160 ustawy Prawo oświatowe powinno to trwać nie dłużej niż do końca okresu, w którym uczeń uczęszcza do danej publicznej szkoły, publicznej placówki, na zajęcia w publicznej placówce oświatowo-wychowawczej, na kształcenie ustawiczne w formach pozaszkolnych lub na kwalifikacyjny kurs zawodowy. Dane osobowe kandydatów nieprzyjętych, zgromadzone w celach postępowania rekrutacyjnego, powinny być przechowywane przez okres roku, chyba że na rozstrzygnięcie dyrektora szkoły lub placówki została wniesiona skarga do sądu administracyjnego i postępowanie nie zostało zakończone prawomocnym wyrokiem.
Często popełnianym przez dyrektorów błędem jest niewłaściwy okres przechowywania dokumentów aplikacyjnych na wolne stanowisko pracy. Przepisy Kodeksu pracy i wydane na jego podstawie akty wykonawcze nie precyzują, przez jaki okres mogą być przechowywane dane kandydata, z którym nie zawarto umowy. Z pomocą idzie tutaj Urząd Ochrony Danych Osobowych, który wskazuje, że po zakończeniu rekrutacji dane kandydatów powinny być niezwłocznie usunięte, chyba że ze względu na zainteresowanie przyszłymi naborami sami kandydaci wyrażą zgodę na dłuższe wykorzystywanie ich danych. Ponadto dane nie mogą być zbierane „na zapas” ani „na wszelki wypadek”, gdy pracodawca dopiero rozważa zatrudnienie kogoś w bliżej nieokreślonym czasie.
Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne do osiągnięcia celów przetwarzania, dyrektor powinien ustalić termin ich usuwania zgodnie z instrukcją kancelaryjną opracowaną na podstawie ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
Nie można też zapominać o okresowym przeglądzie danych osobowych w istniejących zasobach szkoły. Niektóre przepisy...

Dalsza część jest dostępna dla użytkowników z wykupionym planem

Przypisy