STAN PRAWNY NA 24 MAJA 2019 RODO w poradni – kwestie problemowe Opracował: Michał Łyszczarz, prawnik, współautor komentarza do Ustawy o systemie oświaty Podstawa prawna: • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119 poz. 1), • Rozporządzenie Ministra Edukacji Narodowej z dnia 1 lutego 2013 r. w sprawie szczegółowych zasad działania publicznych poradni psychologiczno-pedagogicznych, w tym publicznych poradni specjalistycznych (Dz.U. z 2013 r. poz. 199 ze zm.), • Rozporządzenie Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych (Dz.U. z 2017 r. poz. 1743), • Rozporządzenie Ministra Edukacji Narodowej z dnia 3 sierpnia 2018 r. w sprawie wykazu zajęć prowadzonych bezpośrednio z uczniami lub wychowankami albo na ich rzecz przez nauczycieli poradni psychologiczno-pedagogicznych oraz nauczycieli: pedagogów, psychologów, logopedów, terapeutów pedagogicznych i doradców zawodowych (Dz.U. z 2018 r. poz. 1601). Nie ulega wątpliwości, że w poradni psychologiczno-pedagogicznej są przetwarzane dane osobowe uczniów, ich rodziców i nauczycieli. Można tu jednak postawić pytanie, czym właściwie jest przetwarzanie w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Otóż zgodnie z art. 4 pkt 2 tego aktu „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Katalog ten obejmuje praktycznie wszystkie czynności, jakim można poddać dane pozyskane przez poradnię. Prawo do przetwarzania danych musi być jednak oparte o jedną lub więcej przesłanek wskazanych w art. 6 RODO. Regulacja ta mówi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W przypadku poradni można wymienić więcej niż jedną przesłankę dającą prawo do przetwarzania danych. Będą one przetwarzane, ponieważ osoba, której dane dotyczą, wyraziła na to zgodę lub – ewentualnie – zgodę taką wyraził przedstawiciel ustawowy osoby, której dane dotyczą, np. rodzic dziecka. Ponadto poradnia jest zobowiązana do wykonania obowiązków przewidzianych ustawą lub aktami podustawowymi, np. Rozporządzeniem w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych. Akt ten nakłada na poradnię obowiązek wydawania orzeczeń i opinii na pisemny wniosek rodzica dziecka lub ucznia albo na pisemny wniosek pełnoletniego ucznia i jest to obowiązek, którego wykonania poradnia nie może odmówić, tzn. w razie wpłynięcia wniosku rodzica lub pełnoletniego ucznia działający w poradni zespół orzekający musi się zająć tą konkretną sprawą. Nie ulega również wątpliwości, że poradnie przetwarzają szczególne kategorie danych osobowych, m.in. dane dotyczące zdrowia. Wskazuje na to szereg przepisów rozporządzeń regulujących pracę poradni, np. § 2 Rozporządzenia w sprawie wykazu zajęć prowadzonych bezpośrednio z uczniami lub wychowankami albo na ich rzecz przez nauczycieli poradni psychologiczno-pedagogicznych oraz nauczycieli: pedagogów, psychologów, logopedów, terapeutów pedagogicznych i doradców zawodowych mówi, że nauczyciele poradni psychologiczno-pedagogicznych w ramach tygodniowego obowiązkowego wymiaru godzin zajęć dydaktycznych, wychowawczych i opiekuńczych, prowadzonych bezpośrednio z uczniami lub wychowankami albo na ich rzecz, realizują zajęcia w ramach zadań związanych m.in. z: • prowadzeniem badań diagnostycznych dzieci i młodzieży, w tym badań przesiewowych i obserwacji funkcjonowania dzieci i młodzieży w środowisku wychowania i nauczania, z wyjątkiem udziału w posiedzeniach zespołów orzekających działających w poradniach psychologiczno-pedagogicznych, • udzielaniem dzieciom i młodzieży oraz rodzicom bezpośredniej pomocy psychologiczno-pedagogicznej, o której mowa w przepisach w sprawie szczegółowych zasad działania publicznych poradni psychologiczno-pedagogicznych, w tym publicznych poradni specjalistycznych, • dokonywaniem wielospecjalistycznej oceny poziomu funkcjonowania dzieci i młodzieży objętych kształceniem specjalnym. Działające w poradni zespoły orzekające przetwarzają zatem dane, z których wynika chociażby konieczność objęcia danego ucznia kształceniem specjalnym. W tym miejscu należy przywołać art. 9 RODO, który zakazuje przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Od zakazu ich przetwarzania art. 9 RODO przewiduje jednak wyjątki. Przepis ten nie ma zastosowania, gdy: • osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą, • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody, • przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą, • przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą, • przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń albo w ramach sprawowania wymiaru sprawiedliwości przez sądy, • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą, • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego albo zgodnie z umową z pracownikiem służby zdrowia, • przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową, • przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. Również tutaj można podać więcej niż jedną przesłankę, wyłączającą tym razem w poradni psychologiczno-pedagogicznej zakaz przetwarzania szczególnych kategorii danych osobowych. Przetwarzanie jest niezbędne dla celów profilaktyki zdrowotnej i na potrzeby leczenia (ósma przesłanka), jak również dla celów archiwalnych, choćby w związku z koniecznością przekazywania danych do SIO (przesłanka dziesiąta). Oczywiście również zgoda osoby (przesłanka pierwsza) zakaz ten wyłącza. Podkreślić natomiast należy, że fakt spełniania kilku przesłanek ma tu z uwagi na prawa osoby, której dane dotyczą, poważne konsekwencje. Otóż zgodnie z art. 17 ust. 1b RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie art. 9 ust. 2 lit. a, czyli na podstawie zgody, i nie ma innej podstawy prawnej przetwarzania. Jest to tzw. prawo do bycia zapomnianym. W przypadku szczególnych kategorii danych osobowych przetwarzanych przez poradnię przetwarzanie to odbywa się jednak nie tylko na podstawie zgody, ale również pozostałych, wykazanych wcześniej przesłanek h i j z art. 9 ust. 2 RODO. Zatem prawo do bycia zapomnianym nie zawsze będzie mogło zostać zrealizowane. Jeżeli dane osoby korzystającej z poradni są nadal przetwarzane na potrzeby choćby systemu informacji oświatowej, to żądanie bycia zapomnianym jest niewykonalne, ponieważ dane nadal muszą być przekazywanie do SIO. Różnica między powierzeniem przetwarzania danych a ich udostępnianiem Z przywołanej na początku regulacji art. 4 pkt 2 RODO wynika, że udostępnianie jest jedną z operacji wykonywanych na danych osobowych w ramach ich przetwarzania. Różnica pomiędzy powierzeniem przetwarzania danych a ich udostępnieniem polega na tym, że w przypadku powierzenia przetwarzania danych podmiot przekazujący dane nadal decyduje zarówno o sposobie, jak i celach przetwarzania. W takim wypadku należy zawrzeć umowę powierzenia przetwarzania na podstawie art. 28 RODO. Zgodnie z ust. 3 tej regulacji umowa powinna określać: • przedmiot i czas trwania przetwarzania, • charakter i cel przetwarzania, np. przetwarzanie w celu zawarcia umowy ubezpieczenia, • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, • obowiązki i prawa administratora. W przypadku udostępnienia danych podmiot je udostępniający, czyli poradnia, nie będzie już decydować o sposobie i celach przetwarzania danych. Wówczas nie zawiera się umowy powierzenia przetwarzania pomiędzy administratorem a podmiotem przetwarzającym. Co jednak istotne, udostępnienie musi opierać się na wyraźnej przesłance wynikającej z przepisów prawa. Istnieje natomiast szereg podmiotów, które są władne, by zwrócić się do poradni o udostępnienie danych i poradnia jest zobowiązana wówczas dane udostępnić. Należy tu wymienić sądy, prokuraturę, policję. Podmioty te mają bowiem uprawnienia wynikające z przepisów szczególnych, na które mogą się powołać i na podstawie których dane osobowe poradnia musi udostępnić. Nie zawiera się wówczas umowy powierzenia przetwarzania danych osobowych. Można natomiast spotkać się ze stanowiskiem, że w takim przypadku zasadne jest utworzenie w jednostce rejestru udostępnień. W rejestrze takim zapisywane byłyby wszelkie przypadki udostępnienia danych oraz wskazywane podmioty, którym dane zostały udostępnione. Zauważyć należy, że konieczność utworzenia takiego rejestru nie wynika z przepisów RODO, w związku z czym nie ma obowiązku jego utworzenia. Brak obowiązku nie oznacza jednak w tym wypadku braku konieczności. Rejestr może być przydatny, gdyż umożliwiałby kontrolę tego, jakie dane, w jakim celu i komu były przez poradnię udostępniane. Czy tworzyć rejestr czynności przetwarzania? Wejście w życie RODO zlikwidowało obowiązek rejestracji zbioru danych osobowych. W jego miejsce wprowadziło inny – konieczność prowadzenia rejestru czynności przetwarzania danych osobowych, którego dotyczy art. 30 i kolejne rozporządzenia. Ogólnie ujmując, jest to dokument, którego zadaniem jest pokazanie, w jakich procesach zachodzących w danej poradni są przetwarzane dane osobowe, w jakim celu, kogo dotyczą i jak są zabezpieczane. Co istotne, regulacje RODO nie wymagają utworzenia rejestru czynności przetwarzania w każdym podmiocie przetwarzającym dane osobowe. Obowiązek ten nie ma zastosowania do podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO. Jak wcześniej wspomniano, poradnia przetwarza szczególne kategorie danych osobowych, zatem w każdym przypadku ma obowiązek utworzenia rejestru czynności przetwarzania. Zgodnie z art. 30 RODO w rejestrze czynności przetwarzania zamieszcza się następujące dane: • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych, • cele przetwarzania, • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych, • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa lub organizacji międzynarodowej, • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych, • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. Zgodnie z przywołanym w tej regulacji art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku: • pseudonimizację i szyfrowanie danych osobowych, • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, wynikające przede wszystkim z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.