Ochrona danych osobowych w praktyce

Dodano: 12 listopada 2019

Podczas wykonywania codziennych obowiązków często pojawiają się wątpliwości związane z ochroną danych osobowych w świetle RODO.

Zagadnienie

Pytanie

Odpowiedź wraz z komentarzem

Informowanie nauczyciela o tym, że wpłynęła skarga na niego

Czy nauczyciel powinien być poinformowany o fakcie złożenia na niego skargi przez rodziców

Nauczyciel ma prawo zapoznać się ze złożoną na niego skargą, o ile nie zostanie naruszona ochrona danych osobowych skarżącego rodzica. Co do zasady każdemu przysługuje prawo dostępu do informacji publicznej (art. 2 ustawy o dostępie do informacji publicznej). Od tego uprawnienia istnieją jednak wyjątki:

  • prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych;

  • prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy (art. 5 ustawy o dostępie do informacji publicznej).

Nieuprawnionym byłoby wyłączenie spośród dokumentów podlegających ujawnieniu w trybie ustawy o dostępie do informacji publicznej skarg, czy też petycji przekazanych organowi administracji publicznej przez mieszkańców gminy, dotyczących funkcjonowania na terenie gminy zakładów opieki medycznej (wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolskim z 6 grudnia 2007 r. II SA/Go 595/07). Oczywiście tezę tego wyroku odnieść również można do skarg złożonych na działania nauczyciela.

W przypadku jednak, gdy w treści informacji publicznej zawarte są dane osobowe, w tym wypadku dane skarżącego rodzica, wówczas, prawo skarżącej do informacji publicznej podlega ograniczeniu. Jeżeli zatem nauczyciel wnioskuje o udostępnienie mu skargi na niego złożonej, to skarga taka powinna mu zostać udostępniona, o ile jej udostępnienie nie narusza przepisów o ochronie danych osobowych. Nauczyciel ma zatem prawo zapoznać się z treścią skargi, to można to zrobić poprzez wskazanie zawartych w niej zarzutów, unikając naruszenia ochrony danych osobowych zawartych w skardze.

Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy.

 

Osoba, która prosi o udzielenie informacji o uczniu - podaje w e-mailu informację, że jest rodzicem dziecka (ojcem). Czy udostępniając dane o uczniu (informację czy dziecko zostało przez matkę zapisane do naszej szkoły), naruszamy przepisy o ochronie danych osobowych?

W przypadku opisanym w pytaniu nie można udzielić informacji o uczniu drogą mailową. Należy zachować szczególną ostrożność, udzielając informacji o uczniu w przypadku, gdy nie jest możliwe zidentyfikowanie odbiorcy tej informacji. Zawiera ona natomiast dane osobowe, które oczywiście muszą być szczególnie chronione, zgodnie z regulacjami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli RODO.

Udostępnianie danych osobowych podmiotowi, którego tożsamość nie mogła zostać w żaden sposób zweryfikowana, grozi naruszeniem ochrony danych, pociągającym za sobą konsekwencje przewidziane m.in. w art. 33 RODO. Przepis ten wskazuje natomiast, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu, czyli Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Zgłoszenie musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Naruszenie ochrony danych może również skutkować nałożeniem kary administracyjnej. Dlatego też, w przypadku, gdy nie ma możliwość identyfikacji odbiorcy warto wezwać go do osobistego stawiennictwa w szkole, właśnie w celu dokonania tej identyfikacji.

Zeszyt obserwacji ucznia

Czy można prowadzić zeszyt obserwacji ucznia szkoły podstawowej, w którym byłyby zapisywane informacje o jego zachowaniu i który byłby codziennie przekazywany za pośrednictwem ucznia rodzicom? Czy nie byłoby to naruszenie przepisów RODO?

Przepisy prawa oświatowego nie wprowadzają możliwości prowadzenia zeszytu obserwacji ucznia. Dane osobowe mogą być przetwarzane, jeśli osoba, której dotyczy przetwarzanie (opiekun prawny) wyraziła zgodę na przetwarzanie swoich danych osobowych w określonym celu.

Żaden przepis prawa oświatowego nie wskazuje na możliwość prowadzenia zeszytu obserwacji ucznia.  W szkołach publicznych prowadzi się:

  • księgę uczniów,

  • księgę ewidencji uczniów,

  • dziennik lekcyjny,

  • dzienniki zajęć (w tym rewalidacyjno-wychowawczych i indywidulanych),

  • arkusze ocen,

  • w indywidualnej teczce, dla każdego ucznia dokumentację badań i czynności uzupełniających prowadzonych w szczególności przez pedagoga, psychologa, logopedę, doradcę zawodowego, terapeutę pedagogicznego, lekarza oraz innego specjalistę, a także indywidualne programy edukacyjno-terapeutyczne oraz indywidualne programy zajęć.

Odpowiednio zatem dokumentacja w podobnym zakresie powinna być prowadzona w szkole niepublicznej.

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków określonych w RODO:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W mojej ocenie nie zachodzi prawna możliwość prowadzenia zeszytu obserwacji ucznia. Natomiast dane osobowe mogą być przetwarzane, jeśli osoba, której dotyczy przetwarzanie (opiekun prawny) wyraziła zgodę na przetwarzanie swoich danych osobowych w określonym celu.

Od 4 maja 2019 r. ograniczony zostaje zakres danych osobowych, jakie można pozyskiwać i przetwarzać w ramach rekrutacji do pracy oraz zatrudniania pracowników. Sprawdź, jakich danych będzie można żądać od kandydata do pracy, a jakie będzie można uzyskać tylko z jego inicjatywy.

Zakres danych osobowych, które można pozyskać od kandydata do pracy – patrz tabela 1.

Zakres danych osobowych, które można pozyskać od pracownika – patrz tabela numer 2.

Pracodawca będzie mógł przetwarzać także inne dane osobowe kandydata do pracy i pracownika za ich zgodą. Osoby te będą mogły swoją zgodę w każdym czasie wycofać, lecz nie może to powodować wobec niego jakichkolwiek negatywnych konsekwencji, w szczególności nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Co do zasady pozyskanie dodatkowych danych osobowych będzie możliwe zarówno na wniosek pracodawcy, jak i z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Jednakże przetwarzanie danych:

  1. ujawniających:

  • pochodzenie rasowe lub etniczne,

  •  poglądy polityczne,

  •  przekonania religijne lub światopoglądowe,

  • przynależność do związków zawodowych
    oraz

  1. genetycznych,

  2. biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej,

  3. dotyczących zdrowia, seksualności lub orientacji seksualnej osoby ubiegającej się o zatrudnienie lub pracownika możliwe będzie wyłącznie za zgodą i z inicjatywy tej osoby (art. 22(1b) Kodeksu pracy po nowelizacji w zw. z art. 9 ust. 1 Rozporządzenia RODO).

Dodatkowo, do przetwarzania powyżej wymienionych danych osobowych, będą mogły być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych będą obowiązane do zachowania ich w tajemnicy.

Przetwarzanie danych biometrycznych pracownika będzie jednak dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Wstępnym badaniom lekarskim nie podlega pracownik, który posiada aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie i nowy pracodawca stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy. Przepis ten uzupełniono o podstawę żądania przez nowego pracodawcę aktualnego orzeczenia lekarskiego oraz skierowania na badania będące podstawą wydania tego orzeczenia (art. 229 § 1(3) Kodeksu pracy po nowelizacji). Jeżeli pracodawca stwierdzi jednak, że warunki określone w tym skierowaniu nie odpowiadają warunkom występującym na danym stanowisku pracy, będzie miał obowiązek zwrócić osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania (art. 229 § 7(1) Kodeksu pracy po nowelizacji).

     

Tabela 1. Zakres danych osobowych, które można pozyskać od kandydata do pracy

Zakres dotychczas pozyskiwanych danych

Zakres danych, jakie można pozyskiwać od 4 maja 2019 r.

1. Imię (imiona) i nazwisko

1. Imię (imiona) i nazwisko

2. Data urodzenia

2. Data urodzenia

3. Miejsce zamieszkania (adres do korespondencji)

3. Dane kontaktowe wskazane przez kandydata

4. Imiona rodziców

5. Wykształcenie

6. Przebieg dotychczasowego zatrudnienia

Tylko jeśli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku można żądać także danych osobowych obejmujących:

1. Wykształcenie

2. Kwalifikacje zawodowe

3. Przebieg dotychczasowego zatrudnienia

Tabela 2. Zakres danych osobowych, które można pozyskać od pracownika

Zakres dotychczas pozyskiwanych danych

Zakres danych, jakie można pozyskiwać od 4 maja 2019 r.

  1. Inne dane osobowe pracownika, a także imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

  2. Inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

  3. Numer PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

  4. Numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość.

  1. Numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

  2. Numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych

  3. Inne dane osobowe  jeżeli obowiązek ich podania wynika z odrębnych przepisów.

  4. Inne dane osobowe, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu praw

  5. Adres zamieszkania

  6. Wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie

Autor:
Agnieszka Kosiarz, Michał Łyszczarz, Anna Trochimiuk
Agnieszka Kosiarz, Michał Łyszczarz, Anna Trochimiuk
wiper-pixel