Szkoły, przedszkola i żłobki w swojej działalności wykorzystują dane osobowe różnych osób m.in.
uczniów, rodziców, nauczycieli i pozostałych pracowników itp. Tych informacji jest naprawdę bardzo
dużo. Dlatego placówki oświatowe powinny szczególnie zwracać uwagę na ich ochronę i stosować się
do przepisów ogólnego rozporządzenia o ochronie danych. Administratorem zbieranych przez nie
informacji jest dyrektor reprezentujący daną placówkę. To on decyduje o celach i sposobach ich
przetwarzania.
Jakie sytuacje rodzą najczęściej pytania dotyczące stosowania przepisów RODO? Czy praktyki szkół,
przedszkoli i żłobków są zgodne z prawem?
1. Publikacja list przyjętych uczniów.
Możliwość tej czynności wynika wprost z art. 157 ust. 2 pkt 2 i art. 158 ust. 1, 3 i 4 ustawy Prawo
oświatowe. Szkoły są wręcz zobowiązane do podania do publicznej wiadomości wyników rekrutacji
poprzez umieszczenie w widocznym miejscu listy zawierającej imiona i nazwiska kandydatów oraz
informację o decyzji. Wywieszenie takich dokumentów jest jednak ograniczone w czasie – zgodnie z
art. 158 ust. 10 ustawy Prawo oświatowe. Polski prawodawca sam więc zdecydował, w jakim zakresie
oraz w jaki sposób powinny zostać opublikowane listy uczniów. Oznacza to, że publikowanie wyników
procesu rekrutacyjnego na stronie internetowej szkoły jest niedopuszczalne, a na drzwiach lub w
szkole - zgodne z prawem – tłumaczy dr Paweł Mielniczek, ekspert ds. ochrony danych, Fundacja
Wiedza To Bezpieczeństwo.
2. Robienie zdjęć klasowych, umieszczanie nagrań z wydarzeń w Internecie.
Teoretycznie, na to wszystko potrzeba uprzedniej zgody rodzica, która może być wycofana w każdej
chwili. Zgodnie z prawem autorskim nie trzeba jednak zbierać zgód na rozpowszechnianie wizerunku
osoby stanowiącej jedynie szczegół całości (np. publiczna impreza) – wskazuje dr Paweł Mielniczek,
ekspert ds. ochrony danych, WTB.
Inaczej wygląda to w przypadku, gdy szkoła chce wykorzystać dane osobowe uczniów, np. na
stronach szkoły. Wówczas rozpowszechnianie wizerunku wymaga odpowiedniego zezwolenia.
Podstawa do publikowania fotografii osób określona jest m.in. w art. 6 ust. 1 lit. a RODO. Należy podkreślić, że zgodę placówka oświatowa powinna uzyskać od opiekuna prawnego dziecka.
3. Dostęp do informacji o stanie zdrowia dziecka.
Ostatnio można było przeczytać lub usłyszeć, że opiekunowie mają problemy z uzyskaniem informacji,
w jakim szpitalu znajduje się ich dziecko, ponieważ dyżurny nie ma pewności, czy to dzwonią rodzice.
Szkoły powinny być przygotowane na to, by w nagłych sytuacjach móc skontaktować się z rodzicem
lub opiekunem prawnym ucznia tak, aby móc przekazywać lub pozyskiwać niezbędne informacje. W
razie wątpliwości, należy dodatkowo zweryfikować tożsamość dzwoniącego, zadając pytania np. o
datę urodzenia dziecka, ubiór w dniu wypadku, imiona rodziców czy nazwisko wychowawcy. Nie
powinno dochodzić do sytuacji, w której odmawia się osobie upoważnionej udzielenia szczegółów o
tym co się stało i czy dziecku zagraża jakieś niebezpieczeństwo, ponieważ pomoc osoby bliskiej jest
wręcz w interesie dziecka, a więc interesie, który pozwala udostępnić dane na podstawie art. 6 ust. 1
lit. f lub art. 9 ust. 2 lit. c RODO. Wymóg osobistego stawiennictwa i wylegitymowania się dowodem
osobistym powinien być ostatecznością. – podkreśla ekspert Fundacji Wiedza To Bezpieczeństwo.
4. Publikacja danych uczniów i ich ocen w e-dzienniku.
Dziennik elektroniczny może być prowadzony w szkole na podstawie rozporządzenia Ministra Edukacji
Narodowej z dnia 25 sierpnia 2017 r. Jeżeli szkoła zleca zapewnienie jego funkcjonowania
podmiotowi zewnętrznemu musi podpisać z nim stosowną umowę. Zgodnie z art. 28 ust. 1 RODO,
jeżeli przetwarzanie danych osobowych ucznia ma być dokonywane w imieniu administratora (szkoły
lub innej placówki oświatowej). RODO wyraźnie wskazuje na formę powierzenia przetwarzania
informacji, w tym formę elektroniczną (art. 28 ust. 3 RODO) – mówi dr Paweł Mielniczek, ekspert ds.
ochrony danych, WTB.
Fundacja Wiedza To Bezpieczeństwo powstała z inicjatywy osób zawodowo zajmujących się
bezpieczeństwem informacji, łączących wiedzę, pasję i doświadczenie z różnych dyscyplin – m.in. prawa, informatyki, zarządzania. Cel, który jej przyświeca to promowanie znaczenia bezpieczeństwa
informacji, jako najcenniejszego dobra, jakim dysponuje człowiek oraz strategicznego zasobu każdej
organizacji. Działania Fundacji opierają się na: edukacji, integracji środowiska osób odpowiedzialnych
za bezpieczeństwo informacji, w tym danych osobowych oraz tych, którzy po prostu interesują się
przedmiotową tematyką oraz dostarczaniu organizacjom narzędzi chroniących ich zasoby
informacyjne.