Pierwsza z opisywanych spraw, dotyczy ujawnienia na radzie pedagogicznej informacji, że pracownik jest członkiem związku zawodowego (ZSZZS.440.746.2019).
W trakcie postępowania administrator wskazał, że ujawnienie było konieczne do sporządzania arkusza organizacyjnego pracy szkoły i jego aneksów. Czynność ta musi zostać zaopiniowana przez radę pedagogiczną. Wskazał również, że o przynależności związkowej dowiedział się od samego związku zawodowego, który ujawnił takie dane.
Z przepisów, na które powołał się dyrektor nie wynikało, że rada pedagogiczna powinna wiedzieć, kto jest objęty szczególną ochroną. Prezes UODO wskazał, że dyrektor naruszył przepisy art. 5 ust. 1 lit. b w zw. z art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. b RODO oraz nałożył karę upomnienia.
W opinii autora warto zwrócić uwagę na kilka kwestii, po pierwsze, cały czas świadomość, że informacje o przynależności związkowej stanowią dane szczególnie chronione nie jest na wystarczającym poziomie. Stąd zapewne większa niefrasobliwość przy przetwarzaniu tych danych osobowych.
Po drugie, z przytoczonego stanu faktycznego wynika ujawnienie danych osobowych, przez związek zawodowy. Trudno wskazać, czy związek legitymował się podstawą do udostępnienia danych osobowych. Z doświadczenia autora wynika, że związki zawodowe potrafią zapominać, do czego są powołane i jakie są przyczyny wstępowania do nich pracowników. Dlatego potrafią dość niefrasobliwie przekazywać je pracodawcy. Zresztą opisywane przez Prezesa UODO przykłady (ten i drugi dotyczący wywieszenia w pokoju egzaminatorów WORD informacji o przynależności do związku) przypominają, że relacje pomiędzy pracownikami a pracodawcą potrafią być napięte, a wtedy związkowcy mogą być stawiani w trudnej sytuacji.
Po trzecie – cały czas wśród dyrektorów – nie jest oczywiste, że protokoły rady pedagogicznej są jawne i dostępne w trybie dostępu do informacji publicznej. Tak zresztą wskazały wielokrotnie sądy orzekając, że „protokoły z rad pedagogicznych niewątpliwie są danymi publicznymi, które podlegają udostępnieniu na podstawie art. 6 ust. 1 pkt 4 ustawy z 6 września 2001 roku o dostępie do informacji publiczne”, (wyr. WSA w Warszawie z 26.7.2011 r. VIII SAB/Wa 22/11,Legalis). Warto mieć na względzie to przy sporządzaniu samego protokołu, a tym bardziej udostępnianiu go na zewnątrz w szczególności w trybie dostępu do informacji publicznej.
Pozyskiwanie danych bez podstawy prawnej
Organ nadzorczy opisuje ponadto przypadek, gdy okazało się, że prezydent miasta oraz komendant policji naruszyli dane osobowe w związku z kontrolą szkoły. Skarżący był pracownikiem niepedagogicznym, dyrektor szkoły nie miał więc podstaw do zbierania danych na temat jego skazań. Tym bardziej nie miał do tego prawa, prezydent miasta, prowadzący kontrolę. Już w tym miejscu należy wskazać, że została naruszona zasada legalności.
Prezes nie wskazuje, ale należy uwypuklić, że podanie jakichkolwiek danych (a tym bardziej danych art. 10 RODO) wymaga podstawy w przepisie rangi ustawowej. W art. 51 ust. 1 Konstytucji wskazano, że „nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby”. Dotyczy to występowania przed organami publicznymi, dotyczy to również kwestii związanych z prawem pracy. Jest to dość częsty błąd, w oświacie, czy szerzej w administracji publicznej. Próby sanowania powyższego poprzez zgodę w rekrutacji, gdy art. 22(1) KP dość wyraźnie wskazuje, które dane pracodawca żąda, na etapie poszukiwania pracy, które na etapie zatrudnienia, zazwyczaj będą nieskuteczne. Pierwszy wniosek wydaje się więc banalny w prawie pracy należy ograniczać możliwość zbierania danych tylko do tego co wskazano w ustawie.
Dalej w sprawozdaniu w omawianej sprawie wskazano, że prezydent uzyskał od komendanta policji notatkę służbową w zakresie danych osobowych. Prezydent miasta ponadto przesyłał korespondencję służbową, informacje na temat jej zdrowia, na skrzynkę elektroniczną e-mail, do której dostęp miała większa ilość pracowników.
W sprawie Prezes UODO wskazał, że powołany przez Komendanta art. 11 ust. 1 ustawy o Policji nie był podstawą przetwarzania danych osobowych, w przypadku tak ogólnego wniosku. Przepis ten wskazuje, że „wójt (burmistrz, prezydent miasta) lub starosta może żądać od właściwego komendanta policji przywrócenia stanu zgodnego z porządkiem prawnym lub podjęcia działań zapobiegających naruszeniu prawa, a także zmierzających do usunięcia zagrożenia bezpieczeństwa i porządku publicznego”, Prezes UODO nie wskazał, czy przepis ten nigdy takiej podstawy nie stanowi, czy tylko w opisywanym przypadku, w opinii autora nie powinien stanowić.
Organ nadzorczy skupił się na naruszeniach prezydenta i komendanta, prezydenta ukarał upomnieniem, do komendanta „zwrócił się o podjęcie stosownych czynności w celu zapewnienia w przyszłości zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, a w szczególności wprowadzenia stosownych rozwiązań organizacyjnych celem rozpatrywania wniosków o udostępnienie danych osobowych w zgodzie z przepisami”.
Dla oświaty szczególnie istotny powinien być natomiast pierwszy wniosek, od którego się wszystko zaczęło, zakaz zbierania danych osobowych pracownika bez podstawy prawnej określonej w ustawie.
Zgoda na zamieszczenie wizerunku, na portalu społecznościowym
Prezes UODO opisuje również przypadek gdy opiekun prawny wyraziła zgodę na zamieszczaniu wizerunku na stronie szkoły. Po jakimś czasie zdjęcia zostały przez szkołę zamieszczone na portalu społecznościowym. W opinii Prezesa UODO, na to nie było zgody a więc przetwarzanie odbywało się bez podstawy prawnej.
Zagadnienie jest o tyle istotne, że szkoły nagminnie wykorzystują do działań promocyjnych portale społecznościowy a Facebook jest w tym zdecydowanie najpopularniejszy. Z decyzji wynika, że czym innym jest zgoda na zamieszczenie wizerunku na stronie podmiotowej szkoły, a czym innym na facebooku. Wniosek jest następujący – szkoły rozpoczynając rok szkolny – powinni mieć przygotowane dwie zgody tj. dwa osobne elementy do zaznaczenia, jedno dla strony szkoły, drugie na portal społecznościowy. Rodzic może zarówno wybrać jeden wariant, bądź drugi, jak i jeden i drugi. Może również nie zaznaczyć żadnego. Warto przypomnieć, że to rodzic musi zaznaczyć, podkreślić, a nie odznaczyć gdy się nie zgadza na przetwarzanie danych.
Powstaje również pytanie, czy zgody można łączyć tj. zrobić jedno pytanie na udzielenie zgody na stronę podmiotową oraz na portal społecznościowy? W opinii autora nie. Warto przytoczyć orzeczenie NSA, które pośrednio ma zastosowanie w omawianej sprawie. W orzeczeniu wskazano, że „istotne jest też to, że jedna zgoda dotyczy dwóch niezależnych podstaw prawnych zawartych w różnych ustawach. W rezultacie należy uznać, że zgoda dotyczy różnych celów przetwarzania danych osobowych, tj. marketingu produktów i usług Spółki, marketingu produktów i usług innych podmiotów oraz możliwości wykorzystania do marketingu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących. Należy tu dodać, że co prawda Spółka jest zwolniona z uzyskania zgody na marketing własnych produktów i usług, to jednak z przytoczonej klauzuli wprost wynika, że zgoda ma obejmować również marketing produktów i usług Spółki”, (wyr. NSA z 20.4.2021 r. III OSK 161/21, Legalis). W dalszej części NSA wskazał, że „należy takiej osobie umożliwić wyrażenie zgody nie tylko w układzie tak bądź nie, lecz „zgody rozbudowanej”, odnoszącej się do poszczególnych sfer wykorzystania oznaczonych danych. Takiego wyboru nie zapewnia ujawniona w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych praktyka stosowana przez Spółkę, albowiem udzielający zgody nie może udzielić jej tylko w części. Z tego względu zasadnym jest zapewnienie klientowi opcjonalności w zakresie wyrażania zgody na przetwarzanie danych osobowych przez Spółkę współpracującą z innymi podmiotami”.
Wracając do szkoły – cel przetwarzania wydaje się taki sam – promocja szkoły i osiągnięć ucznia – jest więc zbieżny – ale przetwarzanie danych na portalach społecznościowych jest na tyle specyficzne, że zdecydowanie rekomendowane jest wyrażenie odrębnej zgody. Co więcej w tym zakresie zdecydowanie można udzielić zgody w części. Jeszce raz należy wskazać, że przy zbieraniu danych – w postaci zgody należy spełnić w całości obowiązek informacyjny (art. 13 ust 1 i 2 RODO), oraz zapewnić, żeby zgoda była dobrowolna, oraz sama osoba te zgody zaznaczyła.
Przekazanie danych nauczyciela – zasada minimalizmu w praktyce
Prezes UODO opisywał też sprawy, gdy szkoła w związku z organizacją nauczania zdalnego przekazała dostawcy platformy usługowej imię i nazwisko oraz datę urodzenia nauczycielki. Organ nadzorczy wskazał, że o ile imię i nazwisko oczywiście było uzasadnione o tyle data urodzenia już nie. Powołał się przy tym na zasadę minimalizmu. Data urodzenia oczywiście nie była i nie jest potrzebna do założenia konta pozwalającego na realizację nauczania w trybie zdalnym.
W opinii autora jest to ważne memento. Szkoły regularnie spotykają się z podobnymi wnioskami. Tytułem przykładu w jednej z obsługiwanych szkół przewoźnik dla rozliczenia biletów w ramach dowożenia dzieci zażądał numery PESEL przedszkolaków. A takich sytuacji można mnożyć. Dyrektorzy szkoły zawsze powinni mieć w tyle głowy wspomnianą i opisaną przez Prezesa zasadę minimalizmu.
Realizacja praw
Podobnie w zakresie jednego z przedszkoli w przekazano dane skarżącej i dziecka do podmiotów współpracujących. W tym zakresie organ nadzorczy nie dopatrzył się naruszenia. Natomiast nie zrealizowano prawa wynikającego z art. 15 RODO Prezes UODO wskazał, że prawidłowa realizacja obowiązku informacyjnego z art 13 RODO nie powoduje, że realizacja prawa art. 15 RODO jest wyłączona. Problemy wynikał z błędnego przesłania e-mail gdzie podmioty uzyskały adres e-mail skarżącej.
Realizacja prawa zdaje się o tyle istotna, że rodzice coraz częściej z niej korzystają. Wskazać można, że część rodziców – w trakcie pandemii wysyłała różnego rodzaju sprzeciwy – zazwyczaj co do przekazywania danych osobowych dzieci do sanepidu. O ile we wskazanej sprawie nie były to wnioski kłopotliwe, to jednak szkoły musiały się z nimi uporać.
Bezpłatne skrzynki e-mail
Ostatnie spostrzeżenie, które w opinii autora ma spore znaczenie dla oświaty dotyczy zagadnienia „bezpłatnych” skrzynek e-mail. Co prawda organ nie umieścił tego w sprawozdaniu dotyczącym oświaty, a fundacji, ale doświadczenie wskazuje, że oświata również powinna uwzględnić spostrzeżenia. W jednej z fundacji organ ustalił, że „fundacja korzystając z usług Google w zakresie bezpłatnego konta, tj. z usługi bezpłatnej poczty elektronicznej oraz z usługi tzw. chmury, polegającej na możliwości korzystania z wirtualnego dysku służącego do przechowywania plików elektronicznych, powierzyła przetwarzanie danych osobowych osób ubiegających się o pomoc innemu podmiotowi. Fundacja nie była w stanie wykazać się odpowiednimi dokumentami potwierdzającymi zawarcie umowy powierzenia przetwarzania danych osobowych z uwzględnieniem wszystkich niezbędnych elementów jej treści (art. 28 ust. 3 i ust. 9 RODO), co wzbudziło zastrzeżenia Prezesa UODO”.
Z doświadczenia autora wynika, że zdecydowana większość szkół i przedszkoli, a zwłaszcza szkół podstawowych korzysta właśnie z „bezpłatnych” usług. Warto przemyśleć ten aspekt funkcjonowania placówki.
Podsumowanie
Problemy, które organ nadzorczy przedstawił są kompleksowe: dotyczą przetwarzania danych pracowników bez podstawy prawnej, w pewnym zakresie przekazywania danych organowi nadzorczemu. Ponadto zawsze warto zwrócić uwagę, na przetwarzanie wizerunku dziecka zwłaszcza, gdy jednostka zamieszcza go na portalu społecznościowym, Prezes UODO wymaga na to zgody na przetwarzanie danych osobowych. Ważnym zagadnieniem jest zasada minimalizmu, szkoła zawsze powinna zwracać uwagę, co i komu, w jakim zakresie powierza.
