Dołącz do czytelników
Brak wyników

Pod paragrafem

18 marca 2021

NR 110 (Marzec 2021)

RODO w praktyce szkolnej. Zgoda na przetwarzanie danych osobowych

26

Szkoły i placówki oświatowe przetwarzają duże ilości danych osobowych uczniów i ich rodziców. Najczęściej odbywa się to na podstawie wskazanego przepisu prawa, jednak wiele danych osobowych przetwarza się na podstawie zgody uzyskanej od rodziców lub pełnoletniego ucznia. Obowiązkiem dyrektora jest zapewnienie, aby zgody były pozyskiwane zgodnie z prawem.

W maju 2021 r. upłyną trzy lata od rozpoczęcia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Pomimo stosunkowo długiego okresu na przystosowanie szkół i placówek oświatowych do nowych przepisów w dalszym ciągu pojawiają się trudności z ich właściwą interpretacją. Z drugiej strony obywatele, w tym osoby bezpośrednio lub pośrednio związane ze środowiskiem oświaty, są coraz bardziej świadomi swoich praw i coraz częściej ślą skargi do Prezesa Urzędu Ochrony Danych Osobowych. Aby się przed nimi ustrzec, należy zweryfikować prawidłowość przebiegu procesu przetwarzania danych osobowych w szkole. Okazuje się, że błędy i zaniedbania w tym zakresie nie należą do rzadkości.

POLECAMY

Zgoda jako jedna z przesłanek do przetwarzania danych

Dane osobowe dzielimy na zwykłe i szczególnie chronione. Dane szczególnie chronione to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. 
Dane zwykłe można przetwarzać wyłącznie na podstawie przesłanek określonych w art. 6 ust. 1 RODO. Pierwsza z nich stanowi, że przetwarzanie danych osobowych jest zgodne z prawem, gdy osoba, której dane dotyczą, wyraziła na to zgodę w jednym lub większej liczbie określonych celów. Zgoda może być wydana na podstawie oświadczenia lub wyraźnego działania potwierdzającego. Przykładem wyraźnego działania potwierdzającego jest złożenie podania do dyrektora o przyjęcie do pracy w związku z prowadzonym naborem na określone stanowisko. Pisemne oświadczenie wyrażające zgodę na przetwarzanie danych zawartych w podaniu nie jest tutaj potrzebne. Jeżeli jednak CV kandydata miałoby być wykorzystywane do kolejnych rekrutacji, potrzebna jest odrębna zgoda.
Wyraźnymi działaniami potwierdzającymi wyrażenie zgody są także:

  • kliknięcie okienka w formularzu elektronicznym,
  • wysłanie wiadomości e-mail,
  • zarejestrowane wypowiedzenie „zgadzam się”.

Uzyskanie wyłącznie ustnej zgody w obecności obiektywnych świadków jest ryzykowne ze względu na zasadę rozliczalności, nakładającą na administratora obowiązek udowodnienia, że dane osobowe są przetwarzane zgodnie z prawem, przejrzyście i rzetelnie, a co za tym idzie – także udokumentowania posiadanych zgód. W sytuacjach „awaryjnych” może się jednak przydać.
Przetwarzanie danych szczególnie chronionych jest co do zasady zabronione. Zakaz nie ma jednak charakteru bezwzględnego. Są bowiem wyjątki dopuszczające przetwarzanie tego typu danych, które w RODO zostały określone w art. 9 ust. 2. Tak jak w przypadku danych zwykłych, pierwszą przesłanką legalizującą przetwarzanie danych szczególnie chronionych jest zgoda, przy czym jej wyrażenie przez osobę, której dane dotyczą, musi być wyraźne, a więc najlepiej sformułowane na piśmie z własnoręcznym podpisem.
Zgoda nie może być podstawową przesłanką do przetwarzania danych osobowych w szkole. Warto bowiem przypomnieć, że zgodnie z art. 30a ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe, w szkołach i placówkach oświatowych dane osobowe powinny być przetwarzane w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z przepisów prawa. Natomiast zgodnie z RODO przesłanką do przetwarzania danych, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, jest art. 6 ust. 1 lit. c. 
Nie oznacza to jednak, że szkoły i placówki oświatowe nie mogą przetwarzać danych na podstawie zgody, trzeba to jednak robić z rozwagą i tylko w przypadkach zbieżnych z wypełnianiem ich zadań statutowych. Należy też dopilnować, by klauzula zgody precyzyjnie określała cel przetwarzania danych (konkretność zgody) oraz była sformułowana jasnym i prostym językiem, tak aby osoba, której dane dotyczą, rozumiała, na co wyraża zgodę (świadomość zgody).

Dobrowolność zgody

Definicja zgody na gruncie RODO została określona w art. 4 pkt 11 jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych. 
Kluczowy w tej definicji jest warunek dobrowolności, oznacza on bowiem, że osoba, której dane dotyczą, powinna mieć rzeczywisty i wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać w dowolnym dla siebie momencie bez negatywnych konsekwencji. Wynika z tego, że zgoda będzie nieważna, jeżeli osobie, której dane dotyczą, nie przysługuje rzeczywista możliwość wyboru, czuje się ona zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje w przypadku jej niewyrażenia.
Ponadto warunek dobrowolności nie będzie spełniony w sytuacji, w której istnieje wyraźny brak równowagi pomiędzy administratorem danych a podmiotem danych, zwłaszcza wtedy, gdy administrator jest organem publicznym. Trudno byłoby uznać, że w każdym tego typu przypadku zgoda będzie wyrażona w sposób dobrowolny. Niewątpliwie w szkolnych realiach występują dysproporcje stron w relacjach nauczyciel (dyrektor) – uczeń (rodzic) oraz dyrektor – pracownik. Odmowa udzielenia zgody mogłaby tutaj rodzić obawę o nierówne traktowanie. 
Poważne nieprawidłowości w tej kwestii były już przedmiotem kontroli, zapewne wynikającej ze skargi rodziców. W roku szkolnym 2019/2020 w jednej ze szkół przeprowadzono badanie dotyczące sytuacji osobistej uczniów przy użyciu ankiety pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”. Obok podstawowych danych osobowych uczniów i ich rodziców w badaniu pozyskiwane były także takie dane, jak: informacja o stanie rodziny (pełna, niepełna), śmierci czy separacji rodziców (opiekunów prawnych), ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia
i nałogach, sytuacji mieszkaniowej oraz o fakcie otrzymania albo nieotrzymania pomocy finansowej. Zatem obok danych zwykłych pozyskiwano dane szczególnie chronione – stan zdrowia, nałogi. Badanie przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę, do której uczęszczają.
Jednak w aktach prawnych regulujących zasady funkcjonowania instytucji oświatowych trudno byłoby odnaleźć przepisy, które pozwalają na przetwarzanie danych osobowych uczniów w sposób, w jaki uczyniono to w szkole w związku z przeprowadzeniem ankiety. Stąd przesłanką do zalegalizowania badania miała być zgoda. Tym bardziej że – jak to przekazano uczniom – wypełnienie ankiet było dobrowolne. Jednak uzyskanie zgody w tym przypadku było wadliwe. Przede wszystkim dlatego, że ankietowani byli uczniowie małoletni, a więc zgodę powinni wyrazić ich rodzice lub opiekunowie prawni, przy czym w przypadku pozyskiwania danych szczególnie chronionych zgoda powinna być wyraźna, więc samo działanie polegające na wypełnieniu i oddaniu ankiety na prośbę nauczyciela nie byłoby wystarczające. Poza tym trudno tutaj mówić o dobrowolności w związku z brakiem równowagi, o której wcześniej wspomniano. Efektem przeprowadzonej przez Urząd Ochrony Danych Osobowych kontroli była nałożona na szkołę kara
upomnienia.

Przetwarzanie danych szczególnie chronionych przez szkołę

Podobne badania ankietowe prowadzi się w wielu szkołach i placówkach oświatowych, najczęściej wśród rodziców uczniów klas pierwszych. Często pojawiają się w nich pytania o stan zdrowia dziecka. Czy jednostki oświatowe mają prawo pozyskiwać takie informacje? Zważywszy na to, że jednym z obowiązków ciążących na dyrektorze i nauczycielach jest zapewnienie uczniom bezpiecznych i higienicznych warunków do nauki, wydaje się, że tak. Jak bowiem zapewnić bezpieczeństwo uczniowi, który cierpi na schorzenia mogące w szczególnych okolicznościach zagrozić jego zdrowiu czy nawet życiu? Jak bez wiedzy o ciężkim uczuleniu wspomóc np. dziecko podczas wstrząsu anafilaktycznego? Jeśli pomoc nie nadejdzie w porę, jego życie może być zagrożone. Ze względu na to, że symptomy pojawiają się gwałtownie i szybko narastają, pierwszą osobą zobowiązaną do pomocy będzie nauczyciel, któremu łatwiej zareagować, jeśli będzie wiedział o schorzeniu ucznia.
Żaden przepis prawa nie nakłada jednak na rodzica obowiązku informowania szkoły o schorzeniach dziecka. Mogłoby się wydawać, że tak jest, gdyż w myśl art. 155 ustawy Prawo oświatowe w celu zapewnienia dziecku podczas pobytu w szkole lub placówce oświatowej odpowiedniej opieki, odżywiania oraz metod opiekuńczo-wychowawczych rodzic dziecka przekazuje dyrektorowi szkoły lub placówki uznane przez niego za istotne dane o stanie zdrowia, stosowanej diecie i rozwoju psychofizycznym dziecka. Pozyskiwanie tego typu danych osobowych przez szkołę spełniałoby przesłankę wynikającą z art. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, gdyby ustawodawca nie użył we wspomnianym art. 155 sformułowania „przekazuje”, tylko „ma obowiązek przekazać”. Skoro tego nie uczynił, informacje na temat zdrowia uczniów powinny być przekazywane dyrektorowi czy nauczycielom wyłącznie z inicjatywy rodziców. To rodzic decyduje, czy i które informacje dotyczące np. leczenia dziecka przekazać szkole. Jego inicjatywa w tym zakresie będzie uznana za wyrażenie zgody na przetwarzanie danych osobowych, jednak przy danych szczególnie chronionych należy poprosić rodzica o wyrażenie zgody na piśmie.
Wracając do ankiet kierowanych do rodziców, należy stwierdzić, że nie ma przeciwwskazań, aby były narzędziem uzyskiwania informacji na temat zdrowia czy sytuacji rodzinnej, domowej dziecka, ale tylko wtedy, jeżeli zapewniona zostanie daleko idąca dobrowolność ich przekazania. Będzie tak, jeżeli obok standardowych pytań dotyczących np. oczekiwań i potrzeb związanych z rozwojem zainteresowań dziecka pojawi się np. taka propozycja: „Jeśli chcielibyście Państwo przekazać informacje mające wpływ na bezpieczeństwo dziecka podczas pobytu w szkole, w szczególności związane ze zdrowiem, odżywianiem czy właściwym doborem metod opiekuńczo-wychowawczych, proszę je wpisać poniżej”. Trudno będzie wówczas zarzucić dyrektorowi szkoły niespełnienie warunku dobrowolności pozyskania zgody.

Zasada minimalizacji danych

Jedna z zasad RODO głosi, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Jest to tzw. zasada minimalizacji danych. Niewłaściwe jej stosowanie można zobrazować często kiedyś popełnianym nadużyciem administratorów portali internetowych, którzy w celu zalogowania się na konto wymagali od użytkownika podania numeru PESEL. Było to nadmiarowe pozyskiwanie danych, które dodatkowo zwiększało prawdopodobieństwo wycieku tak osobistej dla każdego obywatela informacji.
Przetwarzanie danych osobowych na podstawie zgody powinno być poprzedzone dokładną analizą dotyczącą zakresu danych niezbędnych do osiągnięcia wskazanego celu. Wydaje się, że takiej analizy zabrakło w jednej ze szkół podstawowych, w której gromadzono dane biometryczne uczniów w postaci odcisku palca w celu weryfikacji uprawnienia do korzystania przez nich ze szkolnych obiadów. Szkoła pozyskiwała dane na podstawie pisemnej zgody rodzica, a konsekwencją jej nieudzielenia było oczekiwanie na posiłek na końcu kolejki do czasu, gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki.
Pomijając brak spełnienia warunku dobrowolności udzielenia zgody (negatywne konsekwencje), z pewnością nie została tutaj spełniona zasada minimalizacji danych. Są przecież inne metody weryfikacji uczniów uprawnionych do spożywania posiłków, które nie wymagają przetwarzania dodatkowych danych – poza tymi, którymi szkoła dysponuje. Warto ponadto zauważyć, że pozyskiwanie danych w postaci odcisku palca obarczone jest dużym ryzykiem naruszenia praw i wolności osób fizycznych. Należy bowiem pamiętać, że dane daktyloskopijne są unikalne, stałe oraz niezmienne w czasie, a wyciek tego rodzaju danych może rodzić negatywne skutki także po osiągnięciu przez dziecko pełnoletności. Nie dziwi więc stosunkowo wysoka administracyjna kara pieniężna (20 tys. zł) nałożona na szkołę w opisanej sytuacji.
Zasada minimalizacji danych związana jest także z ograniczeniem czasowym przetwarzania danych osobowych. Niewłaściwą praktyką stosowaną czasem w szkołach i placówkach oświatowych jest uzyskiwanie zgody na przetwarzanie danych na czas nieokreślony (do czasu wycofania zgody). O ile jest to dopuszczalne w usługach społeczeństwa informacyjnego, to w przypadku szkół już nie. Dobrą praktyką jest uzyskiwanie zgód na przetwarzanie danych uczniów na okresy nie dłuższe niż jeden rok.

Zgoda tylko wtedy, gdy nie ma innej podstawy przetwarzania danych

Opisany powyżej przypadek pozyskiwania danych biometrycznych uczniów jest o tyle ciekawy, że zgoda rodzica nie mogła być podstawą do ich pozyskiwania, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na przetwarzanie. Jak słusznie zauważył Prezes Urzędu Ochrony Danych Osobowych, podstawą do przetwarzania danych osobowych dzieci spożywających posiłki w stołówce szkolnej jest art. 6 ust. 1 lit. e RODO (wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi), w związku z art. 106 ustawy Prawo oświatowe, który daje uprawnienia do organizowania przez szkoły stołówki w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów.
Należy pamiętać, że jednym z głównych praw osoby, która wyraziła zgodę na przetwarzanie danych, jest możliwość jej wycofania w dowolnym momencie. Jeśli więc szkoła będzie pozyskiwać, a następnie przetwarzać dane osobowe na podstawie udzielonej zgody, podczas gdy właściwą podstawą powinien być przepis prawa, to w przypadku jej wycofania dyrektor może mieć problem z wypełnieniem obowiązku prawnego. Przykładem ilustrującym tę sytuację może być przyjmowanie od pracowników wniosków do zakładowego funduszu świadczeń socjalnych. W praktyce takie wnioski często były w szkołach przyjmowane z podawaną zwrotnie klauzulą informującą, że podstawą przetwarzania jest zgoda. Jednak właściwą podstawę daje tutaj art. 6 ust. 1 lit. c (wypełnienie obowiązku prawnego) oraz art. 9 ust. 2 lit. b RODO, w myśl którego przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Obowiązek prawny wynika tutaj z art. 8 ust. 1 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych, który zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu. Trudno sobie wyobrazić sytuację, że po przyznaniu świadczenia pracownik wycofuje zgodę na przetwarzanie danych zawartych we wniosku i żąda ich usunięcia.
Kolejnym przykładem niewłaściwej praktyki przyjmowania zgody jako podstawy prawnej do prz...

Dalsza część jest dostępna dla użytkowników z wykupionym planem

Przypisy