OPUBLIKOWANO: WRZESIEŃ 2015

Prawo w pytaniach i odpowiedziach – ochrona danych osobowych w przedszkolach Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych

Podstawa prawna: Ustawa z dnia 7 września 1991 r. o systemie oświaty (t.j. Dz.U. z 2004 r. Nr 256 poz. 2572 ze zm.), Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.), Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz.U. z 2006 r. Nr 90 poz. 631 ze zm.), Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz.U. z 2014 r. poz. 1502 ze zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024), Rozporządzenie Ministra Kultury i Dziedzictwa Narodowego z dnia 15 maja 2014 r. w sprawie warunków i trybu przyjmowania uczniów do publicznych szkół i publicznych placówek artystycznych oraz przechodzenia z jednych typów szkół do innych (Dz.U. z 2014 r. poz. 686), Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów powołania i odwołania administratora bezpieczeństwa informacji (Dz.U z 2015 r. poz. 1934). Nieostrożne obchodzenie się z danymi osobowymi wychowanków przedszkola i ich rodziców oraz pracowników placówki może być przyczyną wielu konfliktów, a także naruszać przepisy Ustawy o ochronie danych osobowych i budzić wątpliwości Generalnego Inspektora Ochrony Danych Osobowych. W niniejszym materiale zaprezentowano praktyczne odpowiedzi na najczęściej zadawane pytania dotyczące ochrony danych osobowych w przedszkolu. Czy można zbierać od rodziców ubiegających się o przyjęcie dziecka do przedszkola zaświadczenia ZUS RMUA lub PIT? Nie. Generalny Inspektor Ochrony Danych Osobowych wskazuje, że takie działania są niezgodne z obowiązującymi przepisami i niedopuszczalne. Nie legalizuje ich również umieszczenie w formularzu rekrutacyjnym klauzuli o wyrażeniu zgody na przetwarzanie danych osobowych. Niewyrażenie zgody przez rodziców skutkowałoby w rzeczywistości wykluczeniem dziecka z procesu rekrutacji, zatem taka zgoda nie spełnia wymogu dobrowolności. Warto również dodać, że w Wyroku Trybunału Konstytucyjnego z dnia 8 stycznia 2013 r. (K 38/12) uznano, iż uregulowanie kryteriów i procedur przyjmowania dzieci do szkół i przedszkoli w Rozporządzeniu w sprawie warunków i trybu przyjmowania uczniów do szkół publicznych oraz przechodzenia z jednych typów szkół do innych (wydanym bez dostatecznych podstaw ustawowych) jest niezgodne z Konstytucją. Należy spodziewać się więc, że w najbliższym czasie materia ta zostanie uregulowana, co z pewnością ograniczy pojawiające się wątpliwości w tej kwestii, i wymagania odnoszące się do zasad przetwarzania danych o osobach ubiegających się o przyjęcie do poszczególnych placówek zostaną sprecyzowane.

1

Czy wywieszanie list przyjętych dzieci w miejscach ogólnodostępnych, np. na drzwiach wejściowych lub w gablotach na korytarzach, jest zgodne z prawem? Ustawa o systemie oświaty nie zawiera żadnych regulacji, które zezwalałyby na upublicznienie na drzwiach wejściowych przedszkola list zawierających dane osobowe dzieci. W takiej sytuacji zastosowanie znajdą przepisy Ustawy o ochronie danych osobowych. Zgodnie z nią przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona zostanie jedna z przesłanek zawartych w art. 23 Ustawy. Wśród katalogu przesłanek legalizujących przetwarzanie danych osobowych znajduje się m.in. zgoda. Teoretycznie więc przedszkole mogłoby uzyskać zgodę rodziców lub opiekunów prawnych dziecka na umieszczenie ich danych na liście i zawieszenie jej np. w gablocie na korytarzu. Istnieją jednak wątpliwości co do tego, czy umieszczenie listy w gablocie lub na drzwiach wejściowych nie umożliwiałoby zapoznania się z nią nie tylko rodzicom, ale również osobom nieupoważnionym. W świetle art. 36 uodo. administrator danych jest obowiązany do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym. Wobec powyższego, zdaniem GIODO, należy indywidualnie powiadamiać o wyniku rekrutacji. Dokumenty rekrutacyjne zawierają dane teleadresowe dziecka, więc nie powinno to sprawiać trudności. Ewentualnie lista taka może być udostępniana rodzicom do wglądu, np. w sekretariacie. Inna jeszcze możliwość może polegać na nadaniu każdemu zgłoszeniu rekrutacyjnemu indywidualnego numeru, który byłby znany tylko rodzicom dziecka. Następnie lista z takimi numerami, zamiast imion i nazwisk, mogłaby być opublikowana w internecie bądź wywieszona w gablocie wewnątrz lub na zewnątrz budynku. Wszystkie te działania oczywiście wiążą się z pewnym dodatkowym nakładem pracy i czasu, z pewnością jednak zminimalizują ryzyko zapoznania się z danymi osobowymi dzieci i rodziców przez osoby postronne. Czy listy dzieci przyjętych można umieścić na stronie internetowej przedszkola? Z pewnością umieszczenie listy dzieci przyjętych do przedszkola na stronie internetowej pozwoliłoby uniknąć konieczności informowania o wyniku rekrutacji każdego zainteresowanego rodzica, lecz w świetle obowiązujących unormowań nie istnieje żadna podstawa prawna dla takiej praktyki. Przedszkola zatem nie powinny zamieszczać takich list na swojej stronie internetowej. Alternatywą może być przedstawione wyżej rozwiązanie, polegające na nadaniu każdemu zgłoszeniu indywidualnego numeru, a następnie publikacja tych numerów w internecie. Czy przedszkola mogą wprowadzić obowiązek posiadania przez rodziców e-kart, mających na celu rejestrację czasu pobytu dziecka w przedszkolu? Jak wskazuje GIODO, przedszkola mają prawo wiedzieć, kiedy dziecko przebywało w placówce. Nie można jednak przymusowo dokonywać tego za pomocą systemu teleinformatycznego. Niezbędna jest zatem zgoda rodziców. Co istotne, nawet jeśli przedszkole zleci zewnętrznemu podmiotowi obsługę takiego elektronicznego systemu, nie zwalnia to placówki z możliwości poniesienia odpowiedzialności w przypadku nieprzestrzegania przepisów Ustawy o ochronie danych osobowych. Czy można umieszczać zdjęcia dzieci na stronie internetowej przedszkola? Przyjmuje się, że wizerunek określonej osoby to dane osobowe – umożliwia on bowiem zidentyfikowanie osoby, określenie jej tożsamości. Do przetwarzania wizerunku dziecka, np. poprzez zamieszczenie jego zdjęcia na stronie internetowej, znajdują zatem zastosowanie regulacje zawarte w Ustawie o ochronie danych osobowych. Ochronę wizerunku zapewnia również Ustawa o prawie autorskim i prawach pokrewnych. Zgodnie z nią rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W przypadku dziecka zgodę musieliby wyrazić rodzice lub opiekunowie prawni. Zezwolenia nie wymaga natomiast rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości (takiej jak zgromadzenie, krajobraz czy też publiczna impreza).

2

Czy informacje o dziecku, np. o jego zachowaniu, można ujawniać podczas spotkań z wszystkimi rodzicami (na forum), czy też należałoby przeprowadzać indywidualne rozmowy? Wydaje się, że zbyt formalne podejście w tej kwestii nie jest wskazane. Zaleca się jednak poinformowanie rodziców o przyjętych w przedszkolu zasadach i uzyskanie zgody na przetwarzanie danych osobowych dziecka (np. w kontekście przeprowadzanych konkursów lub zawodów, w trakcie których podawane są wyniki uczestników). Pozwoli to uniknąć zarzutów o niezgodne z prawem przetwarzanie danych. Czy przedszkole może udostępniać dane osobowe dzieci osobom, które chcą przeprowadzić różnego rodzaju ankiety lub projekty badawcze? W przypadku ankiety anonimowej nie dochodzi do naruszenia Ustawy o ochronie danych osobowych. Jednakże w sytuacji, gdy chodzi o podanie danych osobowych dzieci, działania takie byłyby nielegalne. Jeśli przedszkole chciałoby zgodnie z prawem udostępnić dane osobowe dzieci, niezbędne byłoby uprzednie uzyskanie zgody rodziców. Czy można umieszczać zdjęcie pracownika przedszkola na stronie internetowej lub na identyfikatorach? W odniesieniu do pracownika zakres danych, jaki może żądać od niego pracodawca (bez konieczności 1 uzyskania zgody), określa art. 22 Kodeksu pracy. Zgodnie z nim pracodawca ma prawo żądać podania danych osobowych, obejmujących m.in.: imię i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Kodeks pracy nie odnosi się jednak do wizerunku (zdjęć) pracowników. W związku z tym, aby umieścić na identyfikatorze lub na stronie internetowej wizerunek pracownika przedszkola, należy uprzednio uzyskać na to zgodę. Zgodę tę można cofnąć w każdym czasie. Zbieranie od pracowników zgody nie jest wymagane, jeśli dotyczy tylko publikowania imienia, nazwiska, stanowiska oraz służbowego e-maila i numeru telefonu (np. na stronie internetowej placówki czy drzwiach wejściowych do przedszkola). Czy można zamieszczać prace plastyczne dzieci w gablotach przedszkolnych lub na stronie internetowej? Co do zasady, prace plastyczne można zamieszczać w gablotach lub na stronie internetowej. W takim wypadku należałoby jednak podać tylko imię i ewentualnie pierwszą literę nazwiska dziecka, którego praca jest publikowana (tak, aby uniemożliwić zidentyfikowanie dziecka). Istnieje również możliwość wyrażenia zgody przez rodziców na publikację prac dziecka wraz z podaniem jego danych osobowych. W którym momencie pracownicy przedszkola powinni uzyskać zgodę na przetwarzanie danych osobowych dziecka? Dzisiaj coraz popularniejsze staje się przetwarzanie danych osobowych w internecie. Publikacja prac, zdjęć z imprez czy innych rodzajów działalności przedszkola może korzystnie wpływać na wizerunek i promocję placówki. Pamiętajmy jednak o tym, że takie działania mogą budzić niepokój niektórych rodziców. Dlatego też warto na samym początku ustalić reguły. Jeśli rodzice udzielą zgody na przetwarzanie danych osobowych dziecka, np. jego wizerunku czy informacji o osiągnięciach sportowych lub artystycznych, to możliwość zaistnienia konfliktowych sytuacji w przyszłości będzie minimalna. Zgody najlepiej zebrać na samym początku – przy przyjęciu dziecka do przedszkola. Warto też, poza samym wręczeniem kwestionariusza do podpisu rodzicom, przedstawić przyczyny, dla których zbieramy zgodę. Dobrze jest też pokazać rodzicom korzyści, jakie ich pociecha może odnieść dzięki publikowaniu w internecie np. informacji o jej sukcesach. Kim jest administrator danych osobowych? W myśl art. 7 pkt 4 uodo. administrator danych osobowych to podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Dyrektor przedszkola, jako osoba reprezentująca administratora

3

danych osobowych dzieci oraz personelu administracyjnego, odpowiada za przetwarzane w przedszkolu dane osobowe. Kim jest administrator bezpieczeństwa informacji (ABI)? Zgodnie z nowym, obowiązującym od 1 stycznia 2015 r., brzmieniem osobowych, administrator danych może powołać administratora a w przypadku jego niepowołania sam realizuje jego zadania. Mając wcześniejsze pytanie, w przypadku niepowołania ABI-ego, to dyrektor, placówkę oświatową, będzie pełnił tę funkcję.

Ustawy o ochronie danych bezpieczeństwa informacji, na uwadze odpowiedź na jako podmiot reprezentujący

Ustawa przewiduje wytyczne odnośnie do osoby pełniącej funkcję ABI-ego. Administratorem bezpieczeństwa informacji może być osoba, która spełnia łącznie następujące warunki: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, ma odpowiednią wiedzę w zakresie ochrony danych osobowych, nie była karana za umyślne przestępstwo. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki oraz muszą zostać mu zapewnione odpowiednie środki oraz organizacyjna odrębność niezbędne do niezależnego wykonywania jego zadań. Do ustawowych zadań ABI-ego należą: zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: o o o

sprawdzenie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizacja dokumentacji ochrony danych osobowych, zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. Mając na uwadze powyższe, administratorem bezpieczeństwa informacji może być odpowiednio przeszkolony pracownik, jeżeli będzie w stanie pogodzić realizację swoich zadań służbowych z realizacją zadań ABI-ego, lub też osoba z zewnątrz (tzw. outsourcing funkcji ABI). Zgodnie z art. 46b Ustawy administrator danych jest zobowiązany do zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych powołania i odwołania administratora bezpieczeństwa informacji w terminie 30 dni od daty jego powołania lub odwołania. Wzór zgłoszenia określony został w Rozporządzeniu w sprawie wzorów powołania i odwołania administratora bezpieczeństwa informacji, a od 26 stycznia 2015 r. GIODO prowadzi jawny rejestr administratorów bezpieczeństwa informacji. Czy samo przechowywanie danych osobowych jest już ich przetwarzaniem w myśl Ustawy o ochronie danych osobowych? Tak. Definicja przetwarzania danych osobowych jest bardzo szeroka. W myśl art. 7 pkt 2 ww. Ustawy przez przetwarzanie rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te czynności, które wykonuje się w systemach informatycznych.

4

Jakie środki zabezpieczeń, w myśl art. 36–39a uodo., powinien zastosować dyrektor przedszkola? W praktyce okazuje się, że najważniejszym czynnikiem, sprzyjającym bezpieczeństwu przetwarzania danych osobowych, jest wysoka świadomość osób przetwarzających te dane. Świadomi zagrożeń i sposobów radzenia sobie z nimi pracownicy nie udostępnią administrowanych przez przedszkole informacji osobie nieupoważnionej. W trakcie kontroli inspektorzy GIODO sporo uwagi przywiązują więc do sposobów obchodzenia się z danymi osobowymi przez poszczególnych pracowników. Podczas kontroli często okazuje się, że duża część pracowników w ogóle nie wie, że przetwarza dane osobowe. Dlatego też tym, od czego warto zacząć, jest podniesienie poziomu świadomości pracowników poprzez wewnętrzne bądź zewnętrzne szkolenia. Kolejne środki zabezpieczeń, do posiadania których inspektorzy GIODO przywiązują szczególną wagę, to dokumentacja z zakresu ochrony danych osobowych. Na przedmiotową dokumentację składają się: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, upoważnienia do przetwarzania danych osobowych, ewidencja upoważnień. W następnych pytaniach krótko scharakteryzowany zostanie każdy z wyżej wymienionych dokumentów. Czym jest polityka bezpieczeństwa danych osobowych? Polityka bezpieczeństwa to wewnętrzny zbiór reguł i zasad dotyczących przetwarzania danych osobowych w przedszkolu. Jest dokumentem, w którym należy opisać m.in., kto pełni w przedszkolu funkcję administratora bezpieczeństwa informacji, kto odpowiada za zmianę haseł w systemach informatycznych, kto nadaje upoważnienia dla pracowników przetwarzających dane osobowe. Innymi słowy, dokument opisuje wewnętrzną strukturę odpowiedzialności za przetwarzane przez przedszkole dane osobowe. Poza wyżej wymienionymi elementami, polityka bezpieczeństwa powinna spełniać wytyczne § 4 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wytyczne te to przede wszystkim opisanie zbiorów danych osobowych, które są przetwarzane przez przedszkole, oraz systemów informatycznych użytych do ich przetwarzania. Czym jest instrukcja zarządzania systemem informatycznym? Instrukcja zarządzania systemem informatycznym to zbiór reguł i zasad odnoszący się tylko i wyłącznie do danych osobowych przetwarzanych za pomocą systemów informatycznych w przedszkolu. To odpowiednie miejsce na opisanie polityki zabezpieczania haseł dostępu do systemów informatycznych oraz wskazanie osoby bądź osób odpowiedzialnych za ich systematyczną zmianę. W instrukcji zarządzania wskazać należy również procedury wykonywania kopii zapasowych baz danych oraz sposoby ich zabezpieczenia. Jeśli przedszkole posiada już takie procedury opisane w innym dokumencie, nic nie stoi na przeszkodzie, aby zamiast go powielać, odwołać się do niego w instrukcji zarządzania. Pozostałe wymogi stawiane instrukcji zarządzania ustawodawca przedstawił w § 5 ww. Rozporządzenia. Czym jest upoważnienie do przetwarzania danych osobowych? Upoważnienie to dokument, na mocy którego administrator danych ceduje na swoich pracowników prawo do przetwarzania danych osobowych. Nadanie upoważnienia podkreśla fakt, że pracownik zyskuje dostęp do danych osobowych i staje się za nie współodpowiedzialny. Jednocześnie podpisane przez pracownika upoważnienie jest dla dyrektora przedszkola zabezpieczeniem w razie naruszenia przepisów Ustawy przez pracownika. Obowiązek nadawania upoważnień do przetwarzania danych osobowych wynika bezpośrednio z art. 37 uodo.

5

Jakie informacje należy przechowywać w ewidencji upoważnień do przetwarzania danych osobowych? Ewidencja osób upoważnionych do przetwarzania danych osobowych jest ściśle związana z nadawaniem upoważnień. Obowiązkiem przedszkola jest ewidencjonowanie nadanych upoważnień w formie ich ewidencji, składającej się z następujących pól: imienia i nazwiska osoby upoważnionej, zakresu upoważnienia, daty nadania oraz ustania upoważnienia oraz loginu do systemu informatycznego przetwarzającego dane osobowe (jeśli taki został przydzielony). Zakres upoważnienia wynika bezpośrednio z art. 39 uodo. Bibliografia: http://www.giodo.gov.pl/266/. M. Serzycki, Ochrona danych osobowych w szkole – wywiad z GIODO, rozmowę przeprowadziła Katarzyna Krzysztofiak. „Bezpieczniej w szkole”, luty 2010. W.R. Wiewiórowski, Ochrona prywatności dzieci w przedszkolu, rozmowę przeprowadziła Maria Wiro-Kiro. „Asystent Dyrektora Przedszkola” 2010, nr 2.W.R. Wiewiórowski, Zasady naboru do przedszkola naruszają prawo. „Dziennik Gazeta Prawna”, 2010, nr 175.

6