Ochrona danych – krótkie info dla Rodziców

W szkołach, w których IODłuję, rodzice miewają pytania do Inspektora. Postanowiłem więc napisać krótki „list” do rodziców, który może rozwieje część ich wątpliwości.


Szanowni Rodzice,

w ciągu ostatnich miesięcy zapanowało w Polsce RODOszaleństwo. Nagle cały naród ruszył ochoczo do ochrony danych osobowych. Czasami w sposób właściwy i słuszny, a czasami niestety w sposób przesadny, a nawet błędny.

Podstawy prawne

Zacznijmy od tego, że ochrona danych osobowych nie rozpoczęła się z dniem 25. maja 2018r. Wcześniej mieliśmy bogate (i co ciekawsze, momentami dużo bardziej restrykcyjne niż obecnie) prawo dotyczące ochrony danych. Nie można tu nie wspomnieć o takich aktach prawnych, jak:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883 z pózn. zm.);
  2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.);
  3. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 poz. 745 z pózn. zm.).

Choć one już nie obowiązują, to jednak przez lata regulowały dość dokładnie zasady ochrony danych osobowych. Ale nie tylko one! Do dzisiaj obowiązują takie akty prawne, jak:

  1. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2012 poz. 526 z pózn. zm.);
  2. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. 1994 nr 24 poz. 83 z późn. zm. – art. 81);
  3. Ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. 1964 nr 16 poz. 93 z pózn. zm. – art. 23);

które również chronią prywatność oraz dane osobowe, w tym wizerunek Państwa i Państwa dzieci. Można więc chyba śmiało stwierdzić, że dzień 25. maja 2018 nie był jakąś rewolucją w dziedzinie ochrony danych osobowych, ale raczej ewolucyjnym przejściem od znanej już od ponad 20 lat polskiej Ustawy do zastępującego ją unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO, General Data Protection Regulation = GDPR).

Proszę się nie dać zwieźć nazwą – Rozporządzenie. W polskim systemie prawnym nadrzędne są ustawy, a rozporządzenia określają szczegółowe warunki wykonywania tych ustaw. W prawodawstwie unijnym mamy do czynienia z dyrektywą (czyli powiedzmy czymś w rodzaju wskazówki, jak powinny być budowane krajowe ustawy) oraz rozporządzeniem (czyli aktem prawnym obowiązującym bezpośrednio). RODO jako rozporządzenie obowiązuje od razu i w całości i to polskie prawo MUSI być z nim zgodne. Dlatego wprowadzane są aktualnie (jesień 2018) masowe zmiany w ustawach i rozporządzeniach.

Kto nad tym wszystkim czuwa?

Oczywiście czuwa nie nad zmianami w ustawach i rozporządzeniach, ale nad ochroną danych i wdrażaniem RODO w szkole lub przedszkolu.

Po pierwsze, Administrator (dawniej: Administrator Danych Osobowych = ADO)), czyli w przypadku szkoły czy przedszkola jest to Placówka reprezentowana przez Dyrektora. Myśląc Administrator, myślimy Dyrektor, ale zmiana Dyrektora nie zmienia administratora w szkole czy przedszkolu.

Po drugie, Inspektor ochrony danych (IOD), czyli osoba czuwająca nad procesami ochrony danych. Zadania Inspektora to między innymi:

  1. Informowanie, doradzanie, szkolenia
  2. Audyty, monitorowanie
  3. Bycie punktem kontaktowym dla wszystkich osób, których dane są lub mogą być przetwarzane (art. 38 p.4 RODO)

Po trzecie, Urząd Ochrony Danych Osobowych (UODO) oraz Prezes Urzędu (dawniej GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych). Do Prezesa Urzędu mogą Państwo składać skargi, gdy okaże się, że kontakt z Administratorem i Inspektorem nie rozwieje Państwa wątpliwości.

Co to w ogóle są dane osobowe?

dane osobowe – „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);

możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; (RODO Art.4 p.1)

Zwracam uwagę na zapis: wszelkie informacje o zidentyfikowanej […] osobie fizycznej. A nie tylko informacje identyfikujące osobę. Owszem, imię, nazwisko, adres, numer PESEL, to wszystko są dane osobowe i jednocześnie dane identyfikujące. Ale są też dane osobowe (czyli informacje o osobie), które w oderwaniu od tej osoby, jej nie identyfikują. Np. oceny Państwa dzieci.

Piątka z matematyki (o ile nie jest wielką rzadkością w tej szkole), nie identyfikuje Mariana Nowaka, ale informacja, że Marian dostał piątkę z matematyki, to już dane osobowe. Nawet to, w jakiej sukience Małgosia przyszła do szkoły, to są informacje o niej właśnie.

Mamy też do czynienia z danymi szczególnych kategorii, które nazywamy potocznie „wrażliwymi”. Oto jak definiuje je RODO:

pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej.

W szkole mówimy najczęściej o danych dotyczących zdrowia (fizycznego i psychicznego – m.in. zwolnienia z zajęć WF, opinie z Poradni, informacje o cukrzycach, padaczkach lub depresjach i stanach lękowych). Ale także trochę ocieramy się o przekonania religijne i światopoglądowe, gdy Państwo wnioskują o objęcie dzieci zajęciami religii, etyki lub obydwoma na raz. Zdarzają się też akcje typu „świetlica dla dzieci romskich”, podczas których pochodzenie etniczne jest podstawą projektu.

Fakty i absurdy

Absurd 1

dane osobowe mają być chronione, a to oznacza, że nie wolno nic z nimi robić bez zgody osoby, której dane dotyczą

Tak? No właśnie nie! Dane osobowe mają być chronione. a to oznacza, że nie wolno nic z nimi robić bez zgody osoby, której dane dotyczą

Dane osobowe mają być chronione, ale można je przetwarzać, jeżeli

  1. przetwarzanie jest niezbędne do wykonania umowy, […] lub do podjęcia działań […] przed zawarciem umowy; (RODO Art. 6, p. 1 lit b)
  2. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; (RODO Art. 6, p. 1 lit c)
  3. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora
    (RODO Art. 6, p. 1 lit f)
  4. osoba, której dane dotyczą wyraziła zgodę (RODO Art. 6, p. 1 lit a)

Jak Państwo widzą, zgodę wymieniłem na ostatniej pozycji, bo to najsłabsza przesłanka, jak się to mówi w środowisku prawniczym. Gdy już żadna pozycja nie pasuje, wtedy prosimy Państwa o zgodę. Więcej na ten temat napisałem w artykule: Nie ma zgody na zgodę.

Trochę mniej możliwości mamy (jako szkoła lub przedszkole) w przypadku danych szczególnych kategorii, ale tu również zgodę przedstawię na samym końcu. Dane osobowe „wrażliwe” mają być szczególnie chronione, ale można je przetwarzać, jeżeli:

  1. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora […] w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (RODO Art. 9, p. 2 lit b);
  2. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej
    (RODO Art. 9, p. 2 lit h);
  3. osoba, której dane dotyczą wyraziła wyraźną zgodę (RODO Art. 9, p. 2 lit a)

Proszę więc pamiętać, że szkoła nie prowadzi samowolnego działania, a działa w oparciu o wiele przepisów prawa, w tym głównie prawa oświatowego. To ono nakłada na nas obowiązek prowadzenia określonej dokumentacji, prowadzenia profilaktyki zdrowotnej, a nawet obowiązek promowania i wspierania Państwa dzieci, dlatego bez pytania o zgodę będziemy wystawiać oceny, prowadzić sprawdziany, wzywać do tablicy, a nawet informować publicznie na szkolnych apelach o świadectwach z paskiem czy innych wyróżnieniach.

Mamy także obowiązek dbać o bezpieczeństwo naszych wychowanków, dlatego być może zastosujemy monitoring, księgę wejść na portierni, a być może osoba dyżurująca poprosi Państwa o okazanie dowodu osobistego.

Na wiele rzeczy nie potrzebujemy zgody, jednak czasami będziemy o nią prosić. Chcemy uszanować Państwa prywatność, więc poprosimy zapewne o zgodę na wykorzystanie na stronie internetowej lub szkolnym facebookowym fanpage’u wizerunku dziecka, jego imienia i nazwiska oraz osiągnięć w konkursach i zawodach. Czynimy to aby promować osiągnięcia i działania szkoły, ale też i osiągnięcia i działania Państwa dziecka.

Absurd 2

Dane osobowe mają być chronione, a to oznacza, że

  1. nie wolno posługiwać się nazwiskami, stosujmy zamiast nich numery albo pseudonimy (Henio Helikopter, zamiast Henio Nowak)
  2. zdejmiemy nazwiska z szafek szatni,
  3. musimy zabraniać podpisywania prac uczniowskich,
  4. nauczyciele nie będą wołać do tablicy po nazwisku

Już chyba Państwo wiedzą, co z tego wykreślę. Dane osobowe mają być chronione. Kropka. Oczywiście, nie będziemy nadmiernie i bez celu szafować nazwiskami uczniów, w szczególności publicznie, ale jeśli chcemy się do kogoś zwrócić, albo wezwać na forum klasy, to jest to nasz prawnie uzasadniony interes – identyfikacja ucznia. A nadawanie pseudonimu tu nic nie zmienia – ta osoba nadal jest zidentyfikowana! Nazwisko to też przecież pseudonim, tylko z dawnych czasów (Konieczny = mieszkał na końcu wsi zapewne; Nowak/Nowicki = niedawno się przyprowadził; Pawłowski = może miał ojca Pawła).

Absurd 3

Pani w przedszkolu/szkole zabrania mi wymawiać nazwiska swojego albo babci na głos, bo RODO

Pani w przedszkolu/szkole powinna troszczyć się o moją prywatność i zasugerować, że może publiczne podawanie nazwiska babci może naruszyć babciną prywatność, ale nie powinna mi niczego zakazywać, bo to moje dane lub mojej babci, a RODO nie dotyczy przetwarzania przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. (RODO Art. 2 p.1 lit.c). Ciężko zaś uznać, że to, jak się przedstawiam, albo jakie podaję dane babci, to są działania inne niż o czysto osobistym charakterze.

Parę słów z praktyki szkolnej

Drodzy rodzice, mój list jest już dość długi, więc na dzisiaj kończąc, wspomnę, że mamy w szkole wiele rzeczy, w których przejawia się ochrona danych. Analizujemy prawne podstawy działania, Inspektor na bieżąco przygląda się procesowi ochrony danych. Informatyk dba o kopie bezpieczeństwa, oprogramowanie antywirusowe i bezpieczne hasła. Nauczyciele są szkoleni, jak chronić dane w codziennej pracy.

Pochylamy się często nad takimi zagadnieniami jak:

  1. Prawo ucznia niepełnoletniego
  2. Udzielanie informacji przez telefon
  3. Wynoszenie prac uczniów poza szkołę
  4. Korzystanie z e-dziennika w warunkach „polowych”
  5. Kontakty z rodzicami
  6. Wyjazdy z uczniami na wycieczki
  7. Wyjazdy z uczniami na konkursy
  8. Organizacja konkursów dla osób spoza szkoły
  9. Współpraca międzynarodowa

Dlatego nie miejcie nam za złe, gdy będziemy odmawiać czasami informacji przez telefon, nie mając pewności, kto do nas dzwoni. Gdy podczas „wywiadówek” wyprosimy pozostałych, by porozmawiać w 4 oczy lub nawet poprosimy o okazanie dowodu osobistego. Nie denerwujcie się, gdy będziemy nalegać na podpisanie lub inne zaakceptowanie regulaminu konkursu.

Wiedzcie też, że pochylamy się nawet nad tym, jak nauczyciele noszą prace uczniów do sprawdzenia, jak logują się do dziennika czy jak zapewniają poprawną obsługę wyjazdów poza szkołę.

I jeżeli gdzieś niedomagamy, albo chcą Państwo po prostu rozwiać swoje możliwości, zapraszam do kontaktu.

Wasz Inspektor

Author: Szumiąca Iodła

Szumią jodły na gór szczycie, IOD swe RODO kocha.