Z Bogusławą Pilc, dyrektorem Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych, rozmawia Kazimierz Włodawski.
Zrobiłem ankietę wśród znajomych. Większość rodziców posyłających swoje pociechy do przedszkola dziwiła się słysząc, że także w tych placówkach wymagane jest przestrzeganie przepisów ustawy o ochronie danych osobowych.
Oczywiście. Dla samych maluchów, jak i ich rodziców jest to bardzo ważna sprawa. Przecież również w przedszkolach są przetwarzane dane osobowe.
Pewnie mało kto się tym przejmuje. Główny Inspektor Ochrony Danych Osobowych kontroluje przedszkola pod tym kątem?
W przedszkolach prowadzone są między innymi tzw. kontrole sektorowe, w ramach których inspektor GIODO sprawdza dane wybierając określone podmioty i analizując, jak są realizowane obowiązki wynikające z określonych przepisów o danych osobowych. Podobnym kontrolom poddawane są szkoły, wyższe uczelnie, jak i inne podmioty świadczące usługi w szeroko rozumianej działalności oświatowej. Największym problemem, który się ujawnił w toku tych kontroli, był zakres danych przetwarzanych przez dyrektorów przedszkoli w odniesieniu do fazy rekrutacji (naboru) dzieci do placówki.
A bardziej konkretnie, o co chodzi?
Okazuje się, że przepisy prawa, na podstawie których dyrektorzy przedszkoli mogą przetwarzać dane, to znaczy ustawa o systemie oświaty, nie zawiera zakresu danych, jakie mogą być zbierane przez dyrektorów przedszkoli.
Co z tego wynika?
Jeśli brak jest przepisów rangi ustawowej i nie ma w ustawie wskazanego zakresu tych danych, to zgodnie z przepisami dyrektorzy przedszkoli określają taki zakres i zasady rekrutacji w statutach. Czyli każdy z dyrektorów może określić bardzo różne kryteria naboru. Generalny inspektor występował do Ministra Edukacji Narodowej, żeby ten uwzględnił kwestię zakresu danych w akcie prawnym rangi ustawowej. Od trzech lat GIODO monitoruje tę kwestię, ale do dnia dzisiejszego nie prowadzi się w tym zakresie żadnych prac legislacyjnych.
Podczas wspomnianych kontroli stwierdzono przykładowo, że niektóre przedszkola, w ramach wyznaczonych kryteriów naboru, żądały od rodziców przedstawienia dowodu, że płacą oni podatki na terenie Warszawy, czyli w jednym z urzędów skarbowych stolicy. Okazuje się, że rodzice, aby spełnić statutowy wymóg, przedstawiali w przedszkolu PIT o rozliczeniu się z podatku od osób fizycznych z fiskusem, czyli dokument zawierający szerszy zakres danych osobowych, niż to wynika z potrzeb rekrutacji dzieci.
Skoro dyrektorzy przedszkoli nie naruszyli prawa, co można zrobić?
Generalny inspektor monitorował tę kwestię przestrzegając, by dyrektorzy przedszkoli nie pozyskiwali tego typu dokumentów, a poprzestawali na przedstawieniu przez rodziców zaświadczenia w określonej kwestii, bądź ich oświadczeniu. Zakres przedstawianych w tym przypadku danych powinien być minimalny i pozwalać jedynie na osiągnięcie celu, jakim jest rekrutacja dzieci do przedszkoli.
Inna kwestia: przetwarzanie danych szczególnie chronionych, odnoszących się chociażby do stanu zdrowia. Zakres ich ujawniania również nie został w sposób prawidłowy uregulowany w ustawie. Stwierdzono też przypadki braku zgody rodziców na pozyskiwanie ich numerów kontaktowych, miejsca zatrudnienia, czy adresu mailowego. Nie zawsze też przestrzega się wymogu posiadania upoważnienia przez rodziców, opiekunów prawnych, przez osoby mogące odbierać dzieci z przedszkola. To też wymaga zgody rodziców. Nie we wszystkich przedszkolach było to formalnie dopięte.
Jak to powinno odbywać się zgodnie z prawem?
Jeżeli przepisy nie stanowią inaczej, to na podstawie zgody rodziców. Dyrektorzy muszą wykorzystać przesłankę określoną w ustawie o ochronie danych osobowych, która legalizuje takie działania, a mianowicie wskazuje zgodę rodziców lub opiekunów prawnych, jako wystarczającą do odbierania dzieci przez inne osoby.
Bez upoważnienie opiekunów prawnych osoby trzecie nie mogą nawet mieć kontaktów z dzieckiem. Mogą przecież być pozbawione władzy rodzicielskiej. Dlatego niektóre przedszkola podczas naboru dzieci żądały też przedstawiania dokumentu z sądu potwierdzającego, że dany rodzic pozbawiony został władzy rodzicielskiej i nie będzie mógł odebrać dziecko z przedszkola.
Nie znają ustawy o ochronie danych osobowych rodzice. Okazuje się, że również i dyrektorzy przedszkoli?
Wspomniane wcześniej kontrowersje nie wynikają ze złej woli dyrektorów. Być może część winy za to ponoszą wydziały w jednostkach samorządowych, które mają za zadanie otaczać opieką (także pod względem prawnym) dyrektorów przedszkoli. Tam, gdzie jest inaczej, z braku odpowiedniej (dostatecznej) pomocy samorządowców dochodzi do zdarzeń, które według ustawy nie powinny zaistnieć. Chociażby, przykładowo, wyposażenie tych placówek w określony sprzęt i urządzenia, które zapewnią bezpieczne przechowywanie danych osobowych, jak i dokumentacji prowadzonej w czasie pobytu dziecka w przedszkolu. Odnosi się to również do odpowiedniego zabezpieczenia systemów informatycznych, za pomocą których prowadzona jest akcja rekrutacji dzieci do przedszkola.
Szczegółowo na temat wyników kontroli oraz zadań jakie nakłada na dyrektorów przedszkoli ustawa o ochronie danych osobowych, jako administratorów danych czyli tych podmiotów, które są obowiązane do odpowiedniego ich zabezpieczenia i przechowywania będę mówiła podczas konferencji EDU Trendy.
Polecamy także: Przedszkole powinno zadbać o procedury dotyczące przetwarzania danych osobowych
