Podstawowe obowiązki przedszkola – administratora danych

W przypadku zbierania danych osobowych od osoby, której one dotyczą, przedszkole występujące w roli administratora danych, jest zobowiązane poinformować tę osobę m.in. o adresie swojej siedziby i pełnej nazwie, celu zbierania danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Ponadto przedszkole jest zobowiązane zastosować środki zapewniają ochronę danych. Są nimi środki techniczne i organizacyjne. Środki te powinny zapewniać ochronę przetwarzania danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Przedszkole w szczególności powinno zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W związku z tym przedszkole powinno m.in. prowadzić odpowiednią dokumentację opisującą sposób przetwarzania danych, w tym ewidencję osób upoważnionych do ich przetwarzania.

Przedszkole, jako administrator danych, zobowiązane jest również w niektórych przypadkach zgłosić zbiór danych osobowych do rejestracji przez GIODO.

Skutki zaniechania w zakresie ochrony danych osobowych

a)    powództwo o zadośćuczynienie

Jeżeli w opinii rodziców dzieci uczęszczających do danego przedszkola, dyrektor przedszkola, naruszył ich dobra osobiste, wymienione w art. 23 ustawy Kodeks cywilny z dnia 23 kwietnia 1964 r. (Dz. U. z 1964 r., nr 16, poz. 93 z późn. zm.), rodzice mogą wnieść powództwo cywilne do właściwego miejscowo sądu powszechnego o zadośćuczynienie za doznaną krzywdę.

b)    kary za naruszenie przepisów ustawy o ochronie danych osobowych

Zgodnie z ustawą o ochronie danych osobowych, ten kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony (np. nie posiada zgody na ich przetwarzanie), podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Te same kary dotyczą tego, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym.

Ponadto, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Te same kary dotyczą tego, kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie o ochronie danych osobowych.

autor: radca prawny Mirosław Stefanik

Zasada adekwatności (relewantności) danych osobowych dzieci i ich rodziców

Przetwarzanie danych osobowych w przedszkolach i innego typu placówkach oświatowych jest sprawą wyjątkowo ważną i delikatną.

Z jednej strony dane osobowe dzieci i ich rodziców powinny być w należyty sposób zabezpieczone przed nieuprawnionym ujawnieniem. Z drugiej strony pracownicy przedszkola, aby móc wykonywać w odpowiedni sposób swój podstawowy obowiązek wychowania przedszkolnego i opieki nad dziećmi powinni, w uzasadnionych granicach, wiedzieć o dzieciach, ich rodzicach i środowisku, w którym się one wychowują jak najwięcej. W związku z tym w przedszkolach istnieje potrzeba przetwarzania danych osobowych dzieci i ich rodziców, przy czym ze względu na to, kogo te dane dotyczą (najczęściej dzieci) zabezpieczenie tych danych i ich przetwarzanie zasługuje na zachowanie szczególnej staranności. Zgodnie z ustawą o ochronie danych osobowych, każdy administrator danych osobowych (przedszkole) powinien zapewnić, aby zbierane przez niego dane były adekwatne (relewantne) w stosunku do celów, w jakich są one przetwarzane. Celami tymi powinny być przede wszystkim przyjęcie, pobyt, wychowanie przedszkolne i należyta opieka nad dzieckiem przebywającym w przedszkolu. Innymi słowy, jeśli przedszkole zbiera jakiś rodzaj danych osobowych, to powinno to być w odpowiedni sposób wyważone w odniesieniu do celu, w jakim są one zbierane. Ta adekwatność jest granicą, która nie powinna być przekraczana w ramach przetwarzania danych osobowych.

Niezgodne z zasadą adekwatności będzie zbieranie wszelkiego rodzaju danych dla w/w celu nieistotnych, niemających znaczenia, jak i danych o zbyt dużym stopniu szczegółowości.

Przykładowo zbieranie danych osobowych dotyczących poglądów politycznych nie będzie adekwatne do w/w celów, w jakich są one przetwarzane.

Na tle powyższych rozważań, GIODO wypowiedział się w odniesieniu do praktyki żądania przez władze gminy i dyrektorów przedszkoli, by na potrzeby przyjęcia dziecka do przedszkola rodzice przedkładali różnego rodzaju dokumenty, m.in. zaświadczenie ZUS RMUA (na potwierdzenie zatrudnienia) oraz roczne rozliczenie podatkowe PIT (potwierdzające miejsce zamieszkania i opłacania podatku dochodowego). Zdaniem GIODO „(…) pozyskiwanie przez szkoły czy przedszkola od rodziców (opiekunów prawnych) powyższych danych pociąga za sobą nadmierną ingerencję w prywatność rodziny dziecka, jak również nakłada na rodziców obowiązek przekazania przedszkolom lub urzędnikom gminnym kopii dokumentów, które zawierają dane zbędne gminom w procesie rekrutacji. W szczególności dotyczy to gromadzenia danych szczególnie chronionych, np. zaświadczeń o niepełnosprawności.”

W tym kontekście należy zwrócić uwagę na obowiązujący od 18 stycznia 2014 r. nowy rozdział 2a ustawy o systemie oświaty zatytułowany „Przyjmowanie do publicznych przedszkoli, publicznych form wychowania przedszkolnego, publicznych szkół i publicznych placówek”[1]. Nowe przepisy regulują w art. 20t jakie dane osobowe (m.in. imię, nazwisko, data urodzenia, adres miejsca zamieszkania) oraz dokumenty (mogące zawierać dane osobowe) należy umieścić we wniosku o przyjęcie do publicznego przedszkola. Ponadto przepisy regulują upublicznianie wyników postępowania rekrutacyjnego z podaniem danych osobowych kandydatów (imię i nazwisko) oraz okres w jakim dane osobowe kandydatów powinny być przechowywane.

Dane wrażliwe

Co do zasady oczywiste jest, że administrator danych osobowych, czyli przedszkole oraz pracownicy przedszkola powinni wiedzieć, jaki jest stan zdrowia ich podopiecznych, w szczególności, na co dziecko choruje (alergie), jakie przyjmuje leki, czego nie może jeść i pić, itp. Ponadto powinni posiadać jak najaktualniejsze dane kontaktowe do rodziców, aby móc się z nimi skontaktować w możliwie najszybszy sposób.

Należy jednak pamiętać, że takie dane osobowe jak np. pochodzenie rasowe lub etniczne, przekonania religijne, czy stan zdrowia są tzw. danymi wrażliwymi i co do zasady zakazane jest ich przetwarzanie (np. zbieranie i udostępnianie). W niektórych jednak wypadkach ustawa o ochronie danych osobowych dopuszcza możliwość przetwarzania wrażliwych danych osobowych np. jeżeli osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, czy przetwarzanie danych osobowych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą

Uwagi ogólne

Zgodnie z brzmieniem art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926 ze zm.), administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych. Jak stanowi art. 3 ust. 2 pkt 2 ustawy, administratorami danych są osoby fizyczne i osoby prawne oraz jednostki organizacyjne nie będące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę na terytorium Polski. Mając na uwadze ten przepis, należy stwierdzić, że przedszkole reprezentowane przez dyrektora jest administratorem danych osobowych dzieci uczęszczających do przedszkola i ich rodziców (opiekunów prawnych).

Najczęściej przedszkole przetwarza dane osobowe rodziców, jak również dane ich dzieci w dokumentacji przedszkolnej tj. w karcie zgłoszeniowej, upoważnieniu i karcie informacyjnej, w celach związanych z przyjęciem i pobytem dziecka w przedszkolu.

Zgoda na przetwarzanie danych osobowych

Jedną z najczęściej stosowanych w praktyce przesłanek dopuszczających możliwość przetwarzania danych osobowych jest – zgoda, osoby której dane dotyczą.

Aby przedszkole mogło przetwarzać dane osobowe musi, co do zasady posiadać zgodę osoby, której dane dotyczą, chyba że chodzi o usunięcie danych dotyczących tej osoby, wynika to z przepisu prawa (np. z ustawy o systemie oświaty – patrz art. 20zc) lub zaistniała inna z przesłanek określonych w art. 23 ustawy o ochronie danych osobowych.

W przypadku dzieci zgodę na przetwarzanie ich danych osobowych musi wyrazić rodzic lub innego rodzaju opiekun prawny.

Przykładowo upublicznienie listy zawierającej dane osobowe dzieci oraz ich rodziców na drzwiach wejściowych przedszkola wymagać będzie zgody rodziców lub innych opiekunów prawnych dzieci zapisanych do przedszkola. Od dnia 18 stycznia 2014 r. wyjątkiem od tej zasady jest upublicznianie wyników postępowania rekrutacyjnego wyłącznie do przedszkoli publicznych. Wyjątek ten stanowi nowy art. 20 zc ustawy o systemie oświaty, przy czym ogranicza się on tylko to możliwości podania imienia i nazwiska kandydata (przyjętego i nieprzyjętego) lub informacji o liczbie wolnych miejsc. Na upublicznianie innego rodzaju danych osobowych (np. daty urodzenia) lub upublicznianie jakichkolwiek danych osobowych w innym celu, niż w celu rekrutacji nadal wymaga jest, co najmniej zgoda rodziców (opiekunów prawnych).

Zdaniem GIODO (Generalny Inspektor Ochrony Danych Osobowych), przy czym GIODO wypowiedział się na ten temat przed wprowadzeniem w/w wyjątku, „(…) informowanie osób zainteresowanych o przyjęciu ich dzieci do przedszkola powinno się odbywać z poszanowaniem wszystkich zasad ochrony danych osobowych osób, których ta informacja dotyczy. Nie może więc dojść do udostępnienia danych osobom nieupoważnionym, a umieszczenie listy na drzwiach wejściowych do przedszkola mogłoby do tego doprowadzić. Jest to bowiem miejsce ogólnie dostępne, przez co istnieje możliwość zapoznania się treścią wywieszonej informacji każdej osobie, która wchodzi/wychodzi do budynku przedszkola, niezależnie od tego, czy jest to rodzic/opiekun prawny bezpośrednio zainteresowany sprawą, czy też osoba postronna.”