Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY NA 19 CZERWCA 2020
Dane wrażliwe nauczycieli
Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych. Zaktualizował: Roman Lorens, konsultant ds. organizacji i zarządzania oświatą, ekspert ds. awansu zawodowego nauczycieli, były długoletni dyrektor szkoły, lider i koordynator doskonalenia zawodowego nauczycieli i kadry kierowniczej szkół, autor licznych artykułów z zakresu zarządzania oświatą i publikacji książkowych
Podstawa prawna:
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781),
• Ustawa z dnia 7 września 1991 r. o systemie oświaty (t.j. Dz.U. z 2019 r. poz. 1481 ze zm.),
• Ustawa z dnia 26 stycznia 1982 r. Karta nauczyciela (Dz.U. z 2019 r. poz. 2215),
• Ustawa z dnia 23 maja 1991 r. o związkach zawodowych (Dz.U. z 2019 r. poz. 263),
• Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. z 2019 r. poz. 1040 ze zm.),
• Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz.U. z 2020 r. poz. 910),
• Rozporządzenie Ministra Edukacji Narodowej z dnia 14 kwietnia 1992 r. w sprawie warunków i sposobu organizowania nauki religii w publicznych przedszkolach i szkołach (t.j. Dz.U. z 2020 r. poz. 983),
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. z 2019 r. poz. 730, ogólne Rozporządzenie o ochronie danych).
Każda placówka oświatowa, niezależnie od swojej wielkości czy struktury organizacyjnej, przetwarza dane osobowe. Są to w większości informacje dotyczące jej uczniów, wychowanków oraz ich rodziców. Nie można zapominać o tym, że każda szkoła publiczna lub innego typu placówka oświatowa jest również pracodawcą. Występując w tej roli, przetwarza dane osobowe pracowników, głównie nauczycieli. Wśród tych danych możemy wyróżnić szczególną ich kategorię, tzw. dane wrażliwe (inaczej szczególnie chronione, poufne, intymne).
Pojęcie danych wrażliwych
W Rozporządzeniach Parlamentu Europejskiego i Rady (UE) (dalej: RODO) nie pojawiają się takie pojęcia jak dane osobowe zwykłe i dane osobowe wrażliwe. Pojęcia te występują jednak w powszechnym użyciu, także w wyjaśnieniach stosowanych przez Generalnego Inspektora Ochrony Danych Osobowych. Art. 9 ust. 1 RODO opisuje kategorie danych, które zaliczamy do tzw. danych wrażliwych. Ustawodawca za dane szczególnie chronione uznaje:
• informacje ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania światopoglądowe, przynależność do związków zawodowych,
• przetwarzanie danych genetycznych oraz danych biometrycznych, by móc jednoznacznie zidentyfikować osobę fizyczną, lub dane dotyczące zdrowia, seksualności albo orientacji seksualnej tej osoby.
Do danych wrażliwych nie zalicza się informacji drażliwych kulturowo, czyli np. informacji o wieku, stanie cywilnym, wysokości wynagrodzenia czy numerze konta bankowego.
Przetwarzanie danych wrażliwych jest zakazane. Wyjątki od tej reguły przewiduje art. 9 ust. 2 lit. a–j RODO. W przypadku przetwarzania danych wrażliwych nauczycieli, w większości wypadków, przesłankę legalizującą przetwarzanie tej kategorii danych będą stanowić przepis prawa bądź wyrażona na piśmie zgoda osoby, której one dotyczą.
Dane wrażliwe nauczycieli
Wbrew pozorom, katalog danych wrażliwych nauczycieli przetwarzanych przez szkołę jako pracodawcę jest szeroki. Pierwszym przykładem jest gromadzenie przez placówkę informacji o niekaralności. Podstawę do gromadzenia tego typu informacji stanowi przepis art. 10 ust. 8a Karty nauczyciela, który przed kandydatem na stanowisko nauczyciela stawia wymóg niekaralności za przestępstwo popełnione umyślnie. By spełnić to kryterium przed nawiązaniem stosunku pracy, nauczyciel jest zobowiązany przedstawić dyrektorowi placówki informację z Krajowego Rejestru Karnego. Co ważne, dyrektor nie ma prawa przechowywać oryginałów złożonych przez pracownika zaświadczeń o niekaralności. Może żądać od niego przedłożenia dokumentów w oryginale tylko do wglądu lub sporządzenia ich odpisów czy kopii poświadczonych za zgodność z oryginałem i te zatrzymać w aktach osobowych. Zgodnie z zasadami zawartymi w art. 10 RODO zabrania się przetwarzania danych osobowych o wyrokach skazujących, czynach niedozwolonych lub innych powiązanych z nimi środków bezpieczeństwa.
Jeżeli z zaświadczenia wynika, że zatrudniany nauczyciel nie był karany, to informacja ta nie jest objęta szczególnym reżimem prawnym, lecz traktowana jako tzw. dane zwykłe – oznacza to, że zastosowanie mają zasady dotyczące standardowego przetwarzania danych, wynikające z art. 6 RODO, jak np. wykonanie umowy, uzasadniony interes administratora danych czy też zgoda podmiotu danych.
Jeśli w zaświadczeniach pojawi się informacja o skazaniach (w rozumieniu art. 10 RODO), obowiązuje ogólny zakaz przetwarzania tej informacji.
Placówka oświatowa przetwarza również dane wrażliwe nauczyciela, którymi często są informacje o stanie jego zdrowia. Szkoła ma prawo gromadzić takie dane w sytuacji, gdy nauczyciel będzie chciał skorzystać z przewidzianych dla niego uprawnień, np. tzw. zapomogi zdrowotnej. Do wniosku o przyznanie zasiłku pieniężnego na pomoc zdrowotną dołącza się dokument potwierdzający stan zdrowia (np. zaświadczenie lekarskie).
Kolejnym przykładem danych wrażliwych nauczyciela przetwarzanych przez placówki oświatowe jest informacja o przynależności związkowej. Zgodnie z przepisami prawa pracy pracodawca jest zobligowany do współdziałania z reprezentującą pracownika organizacją związkową. Według art. 30 ust. 3 Ustawy o związkach zawodowych w indywidualnych sprawach z zakresu stosunku pracy, pracodawca ma obowiązek zwrócić się do organizacji związkowej o informację o pracownikach korzystających z jej obrony. Związek zawodowy ma pięć dni na poinformowanie pracodawcy o tym, że nauczyciel jest jego członkiem. Po tym czasie pracodawca jest zwolniony z obowiązku współpracy.
Należy pamiętać, że zgodnie ze stanowiskiem przyjętym przez UODO przywoływane wyżej przepisy nie stanowią podstawy do uzyskiwania informacji o wszystkich pracownikach korzystających z jego ochrony. Jak wynika z art. 30 ust. 3 przywołanej Ustawy, dotyczy wyłącznie indywidualnych spraw ze stosunku pracy, a więc odnosi się do ochrony stosunku pracy indywidualnego pracownika. Jak stwierdził UODO w uzasadnieniu decyzji z 13 stycznia 2009 r. (DOLiS/DEC-21/09), powyższe sformułowanie oznacza, że uzyskanie informacji o przynależności związkowej pracownika w procesie konsultacji ze związkami zawodowymi jest uzasadnione, gdy pracodawca zamierza rozwiązać umowę z konkretnym pracownikiem. Z tego powodu nie ma podstaw prawnych do uzyskania od organizacji związkowej danych osobowych wszystkich pracowników, którzy do niej należą.
Stosownie do powyższego, dyrektor może pytać związek zawodowy o konkretnych pracowników, jednak tylko i wyłącznie tych, z którymi zamierza rozwiązać umowę o pracę lub podjąć inne działania związane ze stosunkiem pracy. Nie może zażądać przedstawienia informacji o wszystkich korzystających z obrony danej organizacji związkowej, gdy jego plany dotyczą tylko niektórych pracowników.
Do danych wrażliwych nauczyciela, przetwarzanych przez placówkę oświatową, zaliczymy również informacje o wymierzonych mu karach dyscyplinarnych. Zgodnie z interpretacją UODO te informacje kwalifikuje się do kategorii danych wrażliwych, ponieważ mieszczą się w definicji innych orzeczeń wydanych w postępowaniu administracyjnym.
Czy numer PESEL należy do danych wrażliwych?
Unijny prawodawca dokładnie określił dane wrażliwe, które są objęte szczególną ochroną. W tym katalogu nie znalazł się numer PESEL. Nie ulega wątpliwości fakt, że numer PESEL należy do danych osobowych w rozumieniu przepisów ogólnego Rozporządzenia o ochronie danych osobowych, ponieważ pozwala na jednoznaczną identyfikację osoby fizycznej. Mimo to zaliczamy go do kategorii tzw. danych osobowych zwykłych.
Nie zmienia to faktu, że tak jak inne dane osobowe, podlega ochronie, a przy jego przetwarzaniu administratorów obowiązuje tzw. zasada minimalizacji danych, tj. według art. 5 ust. 1 lit. c RODO dane osobowe muszą być adekwatne, stosowne oraz ich ilość ograniczona do niezbędnego minimum. Bardzo ważne jest, by cele przetwarzania danych były adekwatne i odpowiednie. Urząd Ochrony Danych Osobowych wielokrotnie zwracał uwagę na to, że w ostatnim czasie administratorzy danych, często nieuzasadnienie, proszą o podanie numeru PESEL, łamiąc zasadę minimalizacji.
Zabezpieczenie danych wrażliwych
Dane osobowe należy zabezpieczyć w taki sposób, aby uniemożliwić dostęp do nich osobom nieupoważnionym, zabranie przez osobę nieuprawnioną, przetwarzanie z naruszeniem RODO, oraz ich zmianę, utratę, uszkodzenie bądź zniszczenie. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami o ochronie danych osobowych i aby móc to udowodnić. Te środki powinny być w razie potrzeby poddawane przeglądom i uaktualniane (art. 24 RODO).
Placówki oświatowe muszą odpowiednio zabezpieczyć wszystkie dane osobowe, które zamierzają przetwarzać (art. 32 RODO) przez wdrożenie właściwych środków technicznych i organizacyjnych, którymi mogą być:
• pseudonimizacja i szyfrowanie danych osobowych,
• zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania,
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie uszkodzenia fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.
Przy doborze odpowiednich środków technicznych i organizacyjnych należy uwzględnić:
• stan wiedzy technicznej,
• koszt wdrożenia,
• charakter, zakres, kontekst i cele przetwarzania,
• ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
W przypadku danych wrażliwych przetwarzanych elektronicznie należy pamiętać o wymogach, jakie systemom informatycznym stawia Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W przypadku przetwarzania danych (w tym danych wrażliwych) w systemach informatycznych należy stosować zabezpieczenia na poziomie podwyższonym. Trzeba również pamiętać, że jeżeli chociażby jedno urządzenie będzie połączone z siecią publiczną (a zatem w większości przypadków), musimy zastosować wysoki poziom zabezpieczeń. Obowiązek jego zastosowania oznacza, że muszą zostać spełnione wymagania dla poziomu podstawowego i podwyższonego jednocześnie. Poziom wysoki wprowadza m.in. wymóg ochrony systemu informatycznego przed zagrożeniami pochodzącymi z internetu. Należy to uczynić przez wdrożenie zabezpieczeń chroniących przed nieuprawnionym dostępem do danych.
Udostępnianie danych wrażliwych
Przetwarzanie wrażliwych danych osobowych jest zakazane. Jednak istnieją sytuacje umożliwiające ich wykorzystanie. Z tego szczególnego typu danych osobowych dyrektor lub szkoła mogą korzystać, gdy:
• osoba, której dane wrażliwe mają zostać użyte, wyraziła wyraźną (najczęściej na piśmie) zgodę na ich przetwarzanie, np. jeśli kandydat do pracy w trakcie procesu rekrutacji z własnej inicjatywy przekazał pracodawcy dane osobowe na temat stanu zdrowia i nie wyraził odrębnej zgody na ich przetwarzanie,
• są niezbędne przy wypełnianiu obowiązków administratora danych; dotyczy to konkretnych obszarów, takich jak prawo pracy, zabezpieczenia społeczne i ochrona socjalna (w takim przypadku dane wrażliwe pozwalają m.in. na określenie stopnia inwalidztwa i przyznanie odpowiedniej renty),
• wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem (np. ustalenie, czy doszło do szykanowania pracownika ze względu na jego wyznanie),
• dane wrażliwe zostały upublicznione przez osobę, której dotyczą (np. pracownik mówi o swoim wyznaniu, pochodzeniu etnicznym czy seksualności w wywiadach dla prasy lub sam upublicznia te dane w portalach społecznościowych).
