RODO w szkole – mini przewodnik

BySylwia Ostrowska

RODO

Placówki oświatowe – szkoły, przedszkola czy żłobki wykorzystują ogromną ilość danych osobowych. Dane te pochodzą zarówno od uczniów danej placówki, jak również nauczycieli, rodziców i pozostałych pracowników szkoły. Informacji tych jest naprawdę bardzo dużo. Właśnie dlatego placówki oświatowe powinny zwracać szczególną uwagę na ochronę informacji i stosować się do przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). 

Dane osobowe zbierane przez placówki oświatowe 

Placówki oświatowe mają prawo do zbierania i przetwarzania danych osobowych, które niezbędne są im do realizacji swoich ustawowych zadań. Już składając wniosek o przyjęcie dziecka do placówki zaczynamy udostępniać dane dziecka jak i opiekuna prawnego. Do tych danych należą:

  • Dziecko – imię, nazwisko, data urodzenia, a także numer PESEL; 
  • Opiekun prawny – imiona, nazwiska, miejsce zamieszkania, adres e-mail, oraz numery telefonów kontaktowych. 

Opiekun prawny czy rodzic po przyjęciu dziecka do placówki obowiązkowo musi przekazać dyrekcji szkoły informacje o stanie zdrowia ucznia, a także jego rozwoju psychofizycznym. Informacje te wykorzystywane są w celu zapewnienia dziecku odpowiedniej opieki oraz doboru odpowiednich metod opiekuńczo – wychowawczych.  

Informacja o przetwarzaniu danych osobowych przez placówkę oświatową  

RODO nie narzuca w jakiej formie placówki oświatowe mają przekazywać informacje o przetwarzaniu danych osobowych. Wskazuje jednak jakie informacje należy uwzględnić i przekazać. Każda osoba dokonująca zgłoszenia ma prawo wiedzieć co się dzieje z danymi osobowymi dzieci. Szkoła musi zadbać o to, aby informacje te przekazane były w łatwym do zrozumienia języku oraz zrozumiałe. Zawierać powinny informacje takie jak: jakie dane będą przetwarzane, jak długo będą przechowywane dane ich dzieci, do czego będą wykorzystywane, a także kto ma do nich dostęp. 

Dane zbierane przez placówki na podstawie zgody od rodziców  

Szkoły często zbierają zgody na przyszłość, które nie są im potrzebne, bo mogą skorzystać z innej podstawy prawnej (np. powołać się na przepis prawa). Chcąc wykorzystać wizerunek dziecka np. na stronie internetowej placówka musi jednak mieć wyrażoną zgodę przez opiekuna. Zgodę taką udziela się jednorazowo, nie musi ona być podpisywana z początkiem każdego roku szkolnego. Rodzic w każdej chwili może wycofać zgodę na przetwarzanie wizerunku dziecka. Zakres zbieranych przez szkoły danych osobowych może wydawać się stosunkowo błahą sprawą, ale nieprawidłowości w tym zakresie mogą oznaczać naruszenie RODO.  

Czy szkoła może udzielać informacji rodzicom przez telefon?  

Przy przetwarzaniu danych osobowych zawsze należy wziąć pod uwagę to, czy przetwarzanie tych danych wiąże się  z naruszeniem praw lub dóbr tej osoby. Najważniejsze jest zidentyfikowanie dzwoniącego oraz ustalenie, czy jest on uprawniony do pozyskania informacji o dziecku. Należy bowiem pamiętać, że placówka jest zobowiązana zapewnić, aby danych nie udostępniać osobom nieupoważnionym. Dlatego w takich sytuacjach ważne jest dążenie do potwierdzenia, że osoba dzwoniąca jest tą, za którą się podaje.

Dokumentacja przetwarzania danych osobowych w szkole 

Placówki oświatowe muszą prowadzić dokumentację dotyczącą przetwarzania danych osobowych. Ważne, żeby dokumentacja zawierała wszystkie najważniejsze elementy wymagane przepisami ogólnego rozporządzenia o ochronie danych RODO, np.: 

  • odpowiednie polityki ochrony danych, w tym polityka postępowania w razie naruszenia ochrony danych (obowiązkiem wynikającym z art. 33 RODO jest konieczność zgłaszania naruszeń ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych. Przykład naruszenia w szkole: przypadkowe wysłanie danych dziecka do innego rodzica); 
  • rejestr czynności przetwarzania danych osobowych. 

W przypadku naruszenia, które powoduje poważne zagrożenie dla osób, których dane dotyczą, administrator danych ma obowiązek zgłoszenia go Prezesowi UODO (nie później niż w ciągu 72 godzin od stwierdzenia naruszenia).