Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. „Szkolna RODO-wyprawka dla rodziców” to przygotowany przez Urząd Ochrony Danych Osobowych miniprzewodnik, który zawiera odpowiedzi na najczęściej zadawane przez rodziców (opiekuna prawnego) pytania o przetwarzanie danych osobowych uczniów.
Poniżej niektóre z pytań i fragmenty odpowiedzi zamieszczonych w poradniku.
Czy szkoła i na jakiej podstawie może przetwarzać dane osobowe rodziców w dzienniku lekcyjnym?
W przypadku prowadzenia przez szkoły dzienników lekcyjnych podstawą do przetwarzania danych w dokumentacji szkolnej jest przepis prawa. Zgoda rodziców nie stanowi podstawy prawnej przetwarzania danych osobowych (…)
Czy szkoła może przetwarzać dane osobowe rodziców w dzienniku elektronicznym?
Zgodnie z rozporządzaniem w sprawie dokumentacji dzienniki lekcyjne mogą być prowadzone także w postaci elektronicznej jako tzw. dzienniki elektroniczne (§ 21 ust. 1 rozporządzenia w sprawie dokumentacji), a za zgodą organu prowadzącego szkołę (np. gminy) mogą być prowadzone wyłącznie w tej postaci. Prowadzenie dzienników zarówno w formie papierowej, jak i elektronicznej wynika zatem wprost z regulacji prawnych.
Dziennik elektroniczny stanowi dokumentację prowadzoną przez szkołę, które gosposób prowadzenia, w tym zakres danych osobowych w nim zawartych, regulują przepisyprawa. Oznacza to, że zgodnie z RODO szkoła przetwarza dane osobowe w dziennikach elektronicznych na podstawie przepisów prawa.
Czy rodzice innych uczniów mogą mieć wgląd w dzienniku elektronicznym do informacji dotyczących nie swojego dziecka?
Przetwarzanie danych osobowych w dzienniku elektronicznym, do którego mają dostęp rodzice, nie oznacza, że dane te będą powszechnie dostępne w Internecie. Dziennik elektroniczny to rozwiązanie służące dokumentowaniu przebiegu nauczania, które umożliwia rodzicom m.in. bieżące śledzenie postępów w nauce ich dziecka.
W opracowaniu odpowiadamy na kilkanaście pytań, wśród nich:
👉 Czy szkoła może przetwarzać #DaneOsobowe rodziców w dzienniku lekcyjnym?
👉 Czy w szkole może być stosowany monitoring wizyjny?
👉 Z kim w szkole można porozmawiać o #OchronaDanychOsobowych?https://t.co/REdrpZuwn6— Urząd Ochrony Danych Osobowych (@UODOgov_pl) September 22, 2021
Prowadzenie dziennika elektronicznego wymaga zastosowania odpowiednich zabezpieczeń, co oznacza, że dostęp do danych w nim zawartych mają tylko osoby uprawnione, np. rodzice uczniów – w zakresie, który dotyczy wyłącznie ich dziecka/dzieci, i osoby upoważnione (np. nauczyciele).
Czy szkoła może opublikować na stronie internetowej wyniki i osiągniecia uczniów zdobyte podczas różnych konkursów lub olimpiad?
Publikacja ogólnej informacji o wynikach, bez wyraźnego wskazania, który uczeń jaki wynik osiągnął, będzie możliwa bez uprzedniej zgody rodziców ucznia. Natomiast jeżeli opublikowanie informacji na stronie będzie się wiązało z podaniem danych osobowych ucznia/uczniów, dzięki którym będzie możliwa ich identyfikacja, wówczas jest potrzebna zgoda rodziców. Wynika to z faktu, że tego rodzaju działanie nie jest ani obowiązkiem, ani uprawnieniem szkoły.
Ma to na celu np. wypromowanie konkretnej placówki oświatowej. Natomiast RODO jednoznacznie wskazuje, że dane osobowe muszą być przetwarzane zgodnie z prawem; zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przesłanką legalizującą publikowanie danych osobowych uczniów na stronie internetowej szkoły będzie art. 6 ust. 1 lit. a RODO, a zatem zgoda rodziców.
Czy szkoła możne informować o osiągnięciach uczniów podczas uroczystości szkolonych?
Publiczne wyczytywanie w czasie uroczystości szkolnej imion i nazwisk uczniów wyróżnionych za wybitne osiągnięcia edukacyjne uznać należy za czynności dozwolone i niewymagające uprzedniej zgody rodziców ucznia – albo w przypadku ucznia pełnoletniego – przez samego ucznia. Zgodnie z ustawą o systemie oświaty i ustawą Prawo oświatowe, szkoła nie potrzebuje uzyskiwać zgód, jeśli przetwarza dane uczniów w celach oświatowych, wynikających z tych ustaw, i związanych z nauką i wychowaniem uczniów.
Czy szkoła może przetwarzać wizerunek ucznia utrwalony na fotografii?
Wykorzystywanie danych osobowych uczniów w postaci utrwalonego wizerunku– np. na stronie internetowej szkoły lub w mediach społecznościowych prowadzonych przez szkołę – i rozpowszechnianie go wymaga zezwolenia osoby, której wizerunek jest rozpowszechniany. Jeśli chodzi o ochronę danych osobowych, to podstawą prawną do publikowania wizerunku jest zgoda (określona w art. 6 ust. 1 lit. a RODO). Osoba, która ma udzielić takiej zgody, powinna być świadoma tego, w jakim celu jest jej to proponowane, jak długo i gdzie jej wizerunek będzie przetwarzany. Jeśli chodzi o publikację np. fotografii ucznia, to taką zgodę administrator powinien uzyskać od rodzica dziecka.(…)
Czy szkoła może żądać przedstawienia upoważnienia do odbioru dziecka w przypadku gdy ta czynność realizowana jest np. przez babcię, dziadka?
W świetle obowiązujących przepisów to przede wszystkim rodzice mają prawo, w ramach wykonywania władzy rodzicielskiej (art. 93, 95 § 2 ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy), przyprowadzać i odbierać swoje dziecko/dzieci ze szkoły. Pozostałe osoby (np. babcia, dziadek) mogą wykonywać te czynności na podstawie upoważnienia udzielonego przez rodziców. Wobec osoby upoważnionej do odbioru dziecka, która wypełnia stosowne upoważnienie, należy pamiętać o realizacji obowiązku informacyjnego.
Szkoła nie prowadzi dziennika elektronicznego. Czy mogę się skontaktować z nauczycielem mailowo?
Tak, jest to możliwe. Rekomendowane jest, by nauczyciele do korespondencji e-mailowej, np. z uczniami czy rodzicami, korzystali ze służbowych adresów poczty elektronicznej. Szkoła może wykorzystywać adresy e-mail rodziców/opiekunów prawnych dzieci do kontaktu z nimi, jeżeli osoby te wyrażą na to zgodę. Szczególną uwagę należy zwrócić na zabezpieczenie danych osobowych udostępnianych w przesyłanych wiadomościach. Dlatego też wykorzystując pocztę elektroniczną do kontaktów z rodzicami, szkoła powinna wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiedni do ryzyka.
Trzeba podkreślić, że to szkoła a nie nauczyciele są administratorami podejmującymi decyzję co do przyjmowanych w szkole kanałów komunikacji. Dlatego tak ważne jest, aby wdrażać odpowiednie procedury i przeprowadzać systematyczne szkolenia, w celu uświadamiania określonych ryzyk, jakie wiążą się z przetwarzaniem danych poza przyjętymi procedurami. (…)
W szkole wprowadzono monitoring wizyjny. Czy może on być stosowany?
Regulacje dotyczące stosowania monitoringu w placówkach oświatowych zostały ujęte w ustawie Prawo oświatowe i wprowadzają one szczególne warunki dla jego zastosowania w środowisku szkolnym. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). Stanowi tak art. 108a ust. 1 Prawa oświatowego.
Monitoring nie obejmuje pomieszczeń, w których odbywają się zajęcia dydaktyczne, wychowawcze i opiekuńcze oraz w których uczniom jest udzielana pomoc psychologiczno-pedagogiczna, czy przeznaczonych do odpoczynku i rekreacji pracowników. Nie może on obejmować również pomieszczeń sanitarno-higienicznych, gabinetu profilaktyki zdrowotnej, szatni i przebieralni. Przy czym prawo dopuszcza stosowanie monitoringu w takich miejscach, o ile jest on niezbędny ze względu na istniejące zagrożenie dla realizacji celu określonego w ust. 1, czyli np. zapewnienia bezpieczeństwa, ale rozwiązanie to nie naruszy godności oraz innych dóbr osobistych uczniów, pracowników i innych osób, w szczególności zostaną zastosowane techniki uniemożliwiające rozpoznanie przebywających w tych pomieszczeniach osób (art. 108a ust. 3 Prawa oświatowego). (…)
Z kim mogę w szkole porozmawiać o ochronie danych osobowych?
Jeśli szkoła ma wyznaczonego inspektora ochrony danych (IOD), to z nim najlepiej porozmawiać na temat obowiązujących przepisów, podstaw i celów, w których szkoła przetwarza dane osobowe uczniów. Współpraca administratora z inspektorem ochrony danych może przynieść wiele korzyści. IOD jako profesjonalista ma wiedzę z zakresu stosowania i respektowania przez administratorów przepisów o ochronie danych osobowych. Dodatkowo inspektor współpracujący z placówkami oświatowymi posiada wiedzę z zakresu Prawa oświatowego.
Administrator, czyli szkoła, publikuje dane kontaktowe inspektora ochrony danych w postaci imienia, nazwiska oraz adresu poczty elektronicznej lub numeru telefonu. Dane kontaktowe IOD muszą być łatwo dostępne, np. szkoła może je umieścić na swojej stronie internetowej lub wywiesić je na tablicy informacyjnej na terenie placówki.
Cały poradnik znajduje się tutaj
(JK, GN)