Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY NA 31 MAJA 2019
Zmiany dotyczące przetwarzania danych osobowych w sektorze oświaty
Opracował: Tomasz Ptak, magister prawa, trener, audytor, specjalista z zakresu ochrony danych osobowych, Inspektor Ochrony Danych. Posiada 6-letnie doświadczenie jako trener, ma w swoim dorobku kilkaset godzin szkoleń z zakresu ochrony danych osobowych
Podstawa prawna:
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119 poz. 1),
• Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730),
• Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe (t.j. Dz.U. z 2018 r. poz. 996 ze zm.),
• Ustawa z dnia 7 września 1991 r. o systemie oświaty (t.j. Dz.U. z 2018 r. poz. 1457 ze zm.),
• Ustawa z dnia 26 stycznia 1982 r. Karta nauczyciela (t.j. Dz.U. z 2018 r. poz. 967 ze zm.),
• Ustawa z dnia 27 lipca 2001 r. o kuratorach sądowych (t.j. Dz.U. z 2018 r. poz. 1014 ze zm.).
25 maja 2018 roku rozpoczęliśmy stosowanie przepisów Rozporządzenia o Ochronie Danych Osobowych (dalej: RODO) i już wtedy było jasne, że przepisy w nim zawarte muszą zostać doprecyzowane, uszczegółowione, a niekiedy wyłączone przepisami szczególnymi. Ustawa z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 zmienia w Polsce około 160 aktów prawnych i liczy 173 artykuły. Zmiany w sektorze oświaty dotyczą:
• Ustawy Prawo oświatowe,
• Ustawy o systemie oświaty,
• Ustawy Karta nauczyciela,
• Ustawy o kuratorach sądowych.
Zgodne z prawem przetwarzanie danych osobowych
Podstawowy, regulowany przepisami obowiązek dotyczący administratorów, to obowiązek przetwarzania danych osobowych w zakresie niezbędnym dla realizacji zadań wynikających z tych przepisów. Nakładają go zarówno Prawo oświatowe, jak i Ustawa o systemie oświaty. Mamy więc do czynienia z ustawowym potwierdzeniem zasad legalności, celowości i adekwatności przetwarzania danych osobowych określonych w art. 5 RODO. Co oznacza ten obowiązek?
Legalność (zgodność z prawem) – przepis prawa jako podstawowa przesłanka przetwarzania danych osobowych przez sektor oświaty, w następnej kolejności przesłanka w postaci zadania publicznego realizowanego przez placówkę, umowy zawarte przez przedszkole, żywotny interes danej osoby (omówiony odrębnie) oraz zgoda na przetwarzanie danych osobowych. Oznacza to, że dane osobowe gromadzone przez administratora w celu realizacji zadań ustawowych placówek oświatowych muszą znajdować oparcie m.in. w przepisach prawa.
Celowość i minimalizm (w zakresie niezbędnym dla realizacji zadań i obowiązków) – oznacza, że placówki mają obowiązek gromadzić tylko takie dane, które są im niezbędne do realizacji ich ustawowych i statutowych celów. Zasadę tę można zilustrować następującym przykładem: kilka dni temu organ prowadzący placówki oświatowe w jednym z miast zwrócił się do nich pisemnie, aby te w przeznaczonym systemie do obsługi ich działalności (zarówno w obszarze nauczania, jak i kadrowym oraz zamówień publicznych) zamieszczały numery PESEL rodziców, gdy tymczasem żaden przepis nie pozwala na gromadzenie takich danych. Po reakcji inspektorów ochrony danych wyznaczonych przez przedszkola organ prowadzący skorygował swoje postępowanie.
Prawo oświatowe i Ustawa o systemie oświaty wymieniają jako adresatów tego obowiązku:
• zespoły wychowania przedszkolnego oraz punkty przedszkolne jako inne formy wychowania przedszkolnego,
• szkoły oraz przedszkola,
• placówki, czyli m.in. poradnie pedagogiczno-psychologiczne, schroniska młodzieżowe, placówki kształcenia ustawicznego, placówki kształcenia praktycznego oraz ośrodki dokształcania i doskonalenia zawodowego, młodzieżowe ośrodki wychowawcze, młodzieżowe ośrodki socjoterapii czy biblioteki pedagogiczne,
• organy prowadzące szkoły lub placówki – minister (szkoły branżowe), jednostki samorządu terytorialnego (miasto/gmina/powiat), inne osoby prawne (stowarzyszenia, związki wyznaniowe) i fizyczne,
• organy sprawujące nadzór pedagogiczny – ministrowie w zakresie szkolnictwa branżowego, kuratorzy oświaty, dyrektorzy placówek,
• inne podmioty realizujące zadania i obowiązki określone w ustawie – kuratorzy sądowi, podmioty wykonujące przewóz dzieci ze szkół i do szkół, pielęgniarki szkolne itp.
Obowiązek zgodnego z prawem przetwarzania danych obejmuje więc wszystkie podmioty działające w oparciu o przepisy ustaw oświatowych.
Obowiązek zachowania poufności
Najważniejsza zmiana wynikająca z przepisów wdrażających RODO to art. 30a ust. 2 Prawa oświatowego oraz art. 13b Ustawy o systemie oświaty, które zobowiązują do zachowania poufności danych osobowych dzieci pozyskanych w związku z wykonywaną funkcją. Obowiązek ten spoczywa na nauczycielach oraz innych osobach pełniących funkcje lub wykonujące pracę w wyżej wymienionych podmiotach. Dotyczy on więc (oprócz nauczycieli i dyrektorów) wicedyrektorów, pedagogów, obsługi administracyjnej (sekretariat), woźnych, sprzątaczek, konserwatorów.
Ustawodawca wyraźnie wskazał kategorie danych osobowych objętych powyższym obowiązkiem. Są to dane dotyczące zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych dzieci. Chodzi więc w dużej mierze o szczególne kategorie danych osobowych wymienione w art. 9 RODO, czyli dane wrażliwe. Zwolnienie z obowiązku zachowania poufności może mieć miejsce w trzech przypadkach:
• zagrożenia zdrowia dziecka, np. konieczność udzielenia pierwszej pomocy, podania leku, poinformowania dyspozytora pogotowia o dolegliwościach dziecka,
• jeżeli rodzic dziecka wyrazi zgodę na ujawnienie określonych informacji – za przykład może posłużyć prośba rodziców dziecka o zorganizowanie zbiórki na pomoc lub jego leczenie oraz podanie przez nich tej informacji do publicznej wiadomości lub zgoda na podanie takiej informacji przez przedszkole; w tym przypadku brak wskazówek ustawodawcy co do formy takiej zgody powoduje, że możemy tylko domniemywać, iż powinna ona spełniać wymogi art. 7 RODO,
• w przypadku, gdy przewidują to przepisy szczególne, np. udzielenie odpowiednich informacji kuratorowi sądowemu w oparciu o art. 9a i 9b ust. 3 Ustawy o kuratorach sądowych.
Niestety ustawodawca nie uregulował trybu, w jakim zwolnienie z obowiązku powinno nastąpić w dwóch pierwszych wypadkach. W tej sytuacji bardzo ważne będzie wypracowanie właściwych procedur przez samych administratorów.
Karta nauczyciela
W wyniku nowelizacji z 21 lutego 2019 roku Karta nauczyciela nie uległa istotnym zmianom. Ustawodawca ograniczył się tylko do zmiany brzmienia art. 85w ust. 4, zgodnie z którym administratorem danych zawartych w centralnym rejestrze orzeczeń dyscyplinarnych, w którym gromadzi się informacje o nauczycielach prawomocnie ukaranych karami dyscyplinarnymi, o których mowa w art. 76 ust. 1 pkt 3 i 4 KN oraz informacje o zawieszeniu nauczyciela w pełnieniu obowiązków, jest minister właściwy do spraw oświaty i wychowania, czyli Minister Edukacji Narodowej.
Przekazywanie danych osobowych kuratorom sądowym
Art. 57 Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 wprowadza zmiany w Ustawie o kuratorach sądowych przez dodanie art. 9a oraz 9b. Art. 9a zobowiązuje m.in. placówki oświatowe: szkoły, przedszkola, poradnie pedagogiczno-psychologiczne, organy prowadzące, organy samorządu terytorialnego, stowarzyszenia i inne organizacje społeczne, instytucje państwowe do udostępnienia kuratorowi zawodowemu, kierownikowi zespołu kuratorskiej służby sądowej, kuratorowi okręgowemu, a także kuratorowi społecznemu, w zakresie niezbędnym do wykonywania ich ustawowych zadań, danych osobowych:
• osób, których dotyczy postępowanie,
• innych osób pozostających we wspólnym gospodarstwie domowym z osobami objętymi postępowaniem.
Dotyczy to więc zarówno danych osobowych dzieci, jak i ich rodziców, opiekunów prawnych czy rodzeństwa, których dane placówka oświatowa musi udostępnić (do celów prowadzonego postępowania) kuratorowi. Katalog danych, jakie może żądać kurator od przedszkola, jest szeroki. Są to:
• imię i nazwisko,
• data urodzenia,
• nazwisko rodowe,
• numer PESEL oraz numer i seria dokumentu potwierdzającego tożsamość,
• szczególne kategorie danych osobowych: czynniki określające fizyczną, fizjologiczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, a w szczególności dotyczące osobistej postawy, zachowania, zainteresowań, zdrowia i usług opieki zdrowotnej, majątku, sytuacji materialno-bytowej, zatrudnienia, wykształcenia, edukacji, nauki, oddziaływań wychowawczych, życia rodzinnego, funkcjonowania w środowisku, sposobu spędzania wolnego czasu, uzależnień, dysfunkcji i lokalizacji,
• dane adresowe i kontaktowe,
• biometryczne cechy fizyczne,
• dane określone w art. 10 RODO, czyli dotyczące m.in. wyroków skazujących i naruszeń prawa: informacje o przestrzeganiu porządku prawnego, zarzutach i okolicznościach naruszeń prawa, wykonaniu obowiązków, prowadzonych postępowaniach sądowych i administracyjnych, skazaniach, ukaraniach i rozstrzygnięciach w postępowaniu sądowym lub administracyjnym.
Przedszkole, jak i każda inna placówka oświatowa, jest zobowiązane udostępnić te dane kuratorowi nieodpłatnie. Administratorem danych pozyskanych przez kuratora sądowego staje się prezes sądu, w którym kurator sądowy pełni obowiązki służbowe, a nie sam kurator. Wymienionych danych nie powierzamy więc kuratorowi. Nie staje się on też ich współadministratorem.
Mamy więc do czynienia z nowelizacją istotną, choć, jak się wydaje, w niektórych jej fragmentach nieprecyzyjną i przez to budzącą wątpliwości interpretacyjne.
