Szkoła jako administrator danych osobowych
Zanim przejdziemy do szczegółowego omówienia zasad udostępniania danych, warto przypomnieć fundamentalną kwestię: szkoła jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO. Oznacza to, że dyrektor, działając w imieniu szkoły, samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych uczniów, ich rodziców, a także pracowników placówki. Ta rola wiąże się z pełną odpowiedzialnością za zgodność przetwarzania z przepisami prawa.
Administrator musi przestrzegać zasad określonych w art. 5 RODO, w tym zasady zgodności z prawem, rzetelności i przejrzystości, zasady ograniczenia celu, zasady minimalizacji danych, zasady prawidłowości, zasady ograniczenia przechowywania oraz zasady integralności i poufności. Co szczególnie istotne w kontekście udostępniania danych, administrator ponosi odpowiedzialność za przestrzeganie tych zasad i musi być w stanie wykazać ich przestrzeganie. To właśnie zasada rozliczalności wyrażona w art. 5 ust. 2 RODO.
Udostępnienie danych osobowych jest jedną z operacji przetwarzania wymienionych w art. 4 pkt 2 RODO obok zbierania, utrwalania, przechowywania czy usuwania. Każda taka operacja musi mieć swoją podstawę prawną określoną w art. 6 RODO. Nie istnieje więc coś takiego jak „automatyczne” czy „oczywiste” prawo jakiegokolwiek organu do uzyskania danych ze szkoły. Zawsze musi istnieć podstawa prawna, która takie uprawnienie przyznaje.
Kiedy szkoła ma obowiązek przekazać dane?
Szkoła ma obowiązek udostępnić dane osobowe wyłącznie wtedy, gdy żądanie opiera się na konkretnym przepisie prawa nakładającym taki obowiązek. Zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie danych jest zgodne z prawem, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. To jedna z sześciu podstaw legalności przetwarzania danych i właśnie ona najczęściej znajduje zastosowanie w przypadku żądań ze strony organów publicznych.
Ustawa Prawo oświatowe w art. 98 ust. 2 pkt 1 wprost wskazuje, że statut szkoły dla dzieci i młodzieży określa organizację współdziałania z poradniami psychologiczno-pedagogicznymi oraz innymi instytucjami działającymi na rzecz rodziny, dzieci i młodzieży. Przepis ten stanowi ogólną ramę prawną dla współpracy szkoły z różnymi podmiotami, jednak sam w sobie nie jest wystarczającą podstawą do udostępniania danych. Konieczne jest bowiem wskazanie konkretnego przepisu po stronie organu żądającego informacji, który jednocześnie obliguje szkołę do udostępnienia danych. Innymi słowy musi istnieć w tym kontekście obowiązek udostępnienia określonych danych.
Policja
Policja może żądać danych osobowych przede wszystkim na podstawie art. 15 Kodeksu postępowania karnego, który w § 2 stanowi, że wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania do udzielania pomocy organom prowadzącym postępowanie karne, w terminie wyznaczonym przez te organy. § 3 tego przepisu rozszerza ten obowiązek na inne podmioty, wskazując, że osoby prawne lub jednostki organizacyjne niemające osobowości prawnej, inne niż wymienione w § 2, a także osoby fizyczne, są obowiązane do udzielania pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.
Dodatkowo art. 20 ustawy o Policji uprawnia funkcjonariuszy do przetwarzania informacji, w tym danych osobowych, w celu realizacji zadań ustawowych. Zgodnie z tym przepisem policja może przetwarzać informacje, w tym dane osobowe, ze zbiorów danych prowadzonych przez inne organy, służby i instytucje państwowe oraz organy administracji publicznej. Szczególnie istotny jest art. 20c
ww. ustawy, który daje funkcjonariuszom prawo do uzyskiwania danych telekomunikacyjnych, pocztowych oraz internetowych w ściśle określonych przypadkach.
Warto jednak pamiętać, że uprawnienia policji nie są nieograniczone. Funkcjonariusz musi wskazać, w związku z jakim postępowaniem lub czynnościami żąda danych, a zakres żądanych informacji musi być adekwatny do prowadzonej sprawy. Ogólnikowe żądanie „wszystkich danych o uczniu” bez uzasadnienia i wskazania podstawy prawnej powinno budzić wątpliwości dyrektora.
Sądy
Sądy dysponują szerokimi uprawnieniami wynikającymi zarówno z procedury cywilnej, jak i karnej, a także z przepisów regulujących postępowanie w sprawach rodzinnych i opiekuńczych.
W postępowaniu cywilnym podstawę stanowi art. 248 Kodeksu postępowania cywilnego, który w § 1 stanowi wprost, iż każdy obowiązany jest przedstawić na zarządzenie sądu w oznaczonym terminie i miejscu dokument znajdujący się w jego posiadaniu i stanowiący dowód faktu istotnego dla rozstrzygnięcia sprawy, chyba że dokument zawiera informacje niejawne. Jest to bardzo szeroka podstawa prawna, która obejmuje praktycznie każdy dokument mogący mieć znaczenie dowodowe.
W postępowaniu karnym analogiczne uprawnienia wynikają z art. 15 § 2 k.p.k., który zobowiązuje instytucje państwowe i samorządowe do udzielania pomocy organom prowadzącym postępowanie. Sąd karny może również na podstawie art. 217 k.p.k. żądać wydania przedmiotów mogących stanowić dowód w sprawie.
Szczególnie częste są żądania ze strony sądów rodzinnych, które prowadzą postępowania dotyczące władzy rodzicielskiej, alimentów, kontaktów z dzieckiem czy spraw opiekuńczych. Sąd rodzinny może żądać od szkoły informacji o sytuacji dziecka, jego zachowaniu, frekwencji, postępach w nauce, a także opinii wychowawcy czy pedagoga szkolnego. Podstawę prawną stanowią tu przepisy Kodeksu rodzinnego i opiekuńczego oraz Kodeksu postępowania cywilnego w części dotyczącej postępowań nieprocesowych.
Kuratorzy sądowi
Kurator sądowy wykonuje swoje obowiązki na podstawie ustawy z dnia 27 lipca 2001 r. o kuratorach sądowych oraz orzeczeń sądu, które upoważniają go do określonych działań. Zgodnie z art. 9 ww. ustawy przy wykonywaniu swoich obowiązków kurator ma prawo do odwiedzania w godzinach od 7:00 do 22:00 osób objętych postępowaniem w miejscu ich zamieszkania lub pobytu, a także w zakładach zamkniętych, żądania niezbędnych wyjaśnień i informacji od podopiecznych oraz członków ich rodzin, współdziałania z właściwymi stowarzyszeniami, organizacjami i instytucjami w zakresie poprawy warunków bytowych i zdrowotnych oraz polepszenia sytuacji życiowej podopiecznych.
Artykuł 9a ust. 3 ustawy o kuratorach sądowych stanowi wprost, że m.in. policja, Straż Graniczna, inne organy lub instytucje państwowe, organy samorządu terytorialnego, stowarzyszenia i inne organizacje społeczne, podmioty lecznicze oraz jednostki oświatowe (szkoły, przedszkola i inne placówki oraz poradnie psychologiczno-pedagogiczne) są obowiązane do współdziałania z kuratorem sądowym w wykonywaniu jego zadań. Jest to wyraźna podstawa prawna nakładająca na szkołę obowiązek współpracy z kuratorem.
W praktyce kuratorzy najczęściej zwracają się do szkół z prośbą o informacje dotyczące frekwencji podopiecznego, jego zachowania i postępów w nauce, ewentualnych problemów wychowawczych, współpracy rodziców ze szkołą oraz realizacji obowiązku szkolnego. Szkoła ma obowiązek udzielić takich informacji, pamiętając jednak o zasadzie minimalizacji. Oznacza to, że mogą być przekazane tylko te dane, które są niezbędne dla realizacji zadań kuratora określonych w orzeczeniu sądu.
Ośrodek pomocy społecznej
Ośrodek pomocy społecznej (OPS) lub miejski ośrodek pomocy rodzinie (MOPR) działa na podstawie ustawy z dnia 12 marca 2004 r. o pomocy społecznej oraz ustawy z dnia 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej. W ramach realizacji swoich zadań pracownicy socjalni mogą zwracać się do szkół o informacje dotyczące dzieci z rodzin objętych pomocą lub wsparciem.
Artykuł 100 ustawy o pomocy społecznej stanowi, że w postępowaniu w sprawie świadczeń z pomocy społecznej należy kierować się przede wszystkim dobrem osób korzystających z pomocy i ochroną ich dóbr osobistych. Pracownik socjalny przeprowadzający wywiad środowiskowy może żądać od szkoły informacji niezbędnych do ustalenia sytuacji osobistej i rodzinnej osoby lub rodziny.
Szczególnego omówienia wymaga procedura „Niebieskie Karty”, w której szkoła pełni nie tylko funkcję podmiotu współpracującego, ale jest samodzielnie uprawniona i zobowiązana do jej wszczęcia. Jest to jeden z najważniejszych obszarów, w których szkoła aktywnie udostępnia dane osobowe uczniów i ich rodzin nie na żądanie zewnętrznego organu, lecz z własnej inicjatywy, w celu ochrony dziecka przed przemocą. Procedura „Niebieskie Karty” została wprowadzona na podstawie ustawy z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy domowej (wcześniejsza nazwa: ustawa o przeciwdziałaniu przemocy w rodzinie – zmiana nazewnictwa nastąpiła w 2023 r.) oraz rozporządzenia Rady Ministrów z dnia 6 września 2023 r. w sprawie procedury „Niebieskie Karty” oraz wzorów formularzy „Niebieska Karta”.
Zgodnie z tymi przepisami do wszczęcia procedury uprawnieni i zobowiązani są przedstawiciele określonych służb i instytucji, w tym nauczyciel wychowawca będący wychowawcą klasy lub nauczyciel znający sytuację domową małoletniego. Oznacza to, że każdy nauczyciel, który w toku wykonywania swoich obowiązków służbowych poweźmie podejrzenie stosowania przemocy wobec ucznia, ma nie tylko prawo, ale wręcz obowiązek wszczęcia procedury. Nie musi czekać na zgłoszenie ze strony policji czy OPS – może i powinien działać samodzielnie.
Co istotne, podejmowanie interwencji w ramach procedury „Niebieskie Karty” nie wymaga zgody osoby dotkniętej przemocą. Nawet jeśli dziecko lub jego rodzic nie wyrażają zgody na podjęcie działań, nauczyciel jest zobowiązany do wszczęcia procedury, jeśli ma uzasadnione podejrzenie występowania przemocy.
W kontekście ochrony danych osobowych należy pamiętać, że wszczęcie procedury „Niebieskie Karty” i przekazanie formularza do zespołu interdyscyplinarnego stanowi udostępnienie danych osobowych ucznia i jego rodziny. Podstawą prawną tego udostępnienia jest art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego ciążącego na administratorze) w związku z przepisami ustawy o przeciwdziałaniu przemocy domowej i rozporządzenia w sprawie procedury „Niebieskie Karty”. Szkoła dokumentuje wszczęcie procedury w swoich rejestrach i archiwizuje kopię przekazanego formularza.
Warto również pamiętać o obowiązkach wynikających z innych przepisów. Zgodnie z art. 304 § 2 Kodeksu postępowania karnego: instytucje państwowe i samorządowe, które w związku ze swoją działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub policję. Przemoc wobec dziecka może wypełniać znamiona przestępstwa znęcania się (art. 207 k.k.), a w skrajnych przypadkach – przestępstw przeciwko życiu i zdrowiu. Wszczęcie procedury „Niebieskie Karty” nie zwalnia więc szkoły z obowiązku złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa, jeśli charakter i nasilenie przemocy na to wskazują.
Ponadto, zgodnie z art. 572 § 1 Kodeksu postępowania cywilnego: każdy, komu znane jest zdarzenie uzasadniające wszczęcie postępowania z urzędu, obowiązany jest zawiadomić o nim sąd opiekuńczy. Dotyczy to w szczególności sytuacji zagrożenia dobra dziecka. Szkoła może więc równolegle ze wszczęciem procedury „Niebieskie Karty” zawiadomić sąd rodzinny o sytuacji dziecka.
Inne organy i instytucje
Żądania udostępnienia danych mogą również pochodzić od innych podmiotów, takich jak: organy podatkowe działające na podstawie Ordynacji podatkowej, Zakład Ubezpieczeń Społecznych, Rzecznik Praw Dziecka działający na podstawie ustawy o Rzeczniku Praw Dziecka, kuratorium oświaty w ramach nadzoru pedagogicznego czy organ prowadzący szkołę w ramach nadzoru nad działalnością szkoły w zakresie spraw finansowych i administracyjnych.
Odrębną kategorię stanowią nagrania z monitoringu wizyjnego. Zgodnie z art. 108 a ustawy Prawo oświatowe szkoła przechowuje je przez okres nieprzekraczający 3 miesięcy od dnia nagrania, po czym podlegają one zniszczeniu. Jeśli jednak w tym czasie szkoła otrzyma żądanie zabezpieczenia nagrania w związku z postępowaniem prowadzonym przez policję, prokuraturę lub sąd, nagranie może być przechowywane dłużej – do czasu zakończenia sprawy. Udostępniając nagrania, należy pamiętać o zasadzie minimalizacji: przekazujemy tylko fragment dotyczący konkretnego zdarzenia, a nie całość zapisów. Fakt udostępnienia dokumentujemy w rejestrze, wskazując zakres czasowy i lokalizację przekazanego nagrania. Jeśli żądanie wpłynie po upływie 3-miesięcznego okresu i nagranie zostało usunięte zgodnie z przepisami, szkoła informuje o tym organ i nie stanowi to odmowy współpracy.
W każdym przypadku obowiązuje ta sama zasada – żądanie musi wskazywać konkretną podstawę prawną, a zakres żądanych danych musi być adekwatny do celu.
Kiedy organ musi wykazać podstawę prawną żądania?
Zawsze. Każde żądanie udostępnienia danych osobowych musi wskazywać konkretną podstawę prawną, zgodnie z RODO i przepisami administracyjnymi.
Elementy prawidłowego wniosku
Organ występujący o dane osobowe powinien w swoim piśmie lub wniosku jasno i precyzyjnie określić kilka kluczowych elementów. Po pierwsze, musi wskazać konkretny przepis ustawy upoważniający go do żądania danych. Nie wystarczy ogólnikowe powołanie się na „przepisy prawa” czy „obowiązujące regulacje”. Po drugie, wniosek powinien zawierać sygnaturę sprawy lub postępowania, w związku z którymi dane są potrzebne. Po trzecie, niezbędne jest precyzyjne określenie zakresu żądanych informacji, tj. jakie konkretnie dane są potrzebne i w jakiej formie mają być przekazane. Po czwarte, organ powinien wskazać cel, w jakim dane zostaną wykorzystane, co pozwala administratorowi ocenić adekwatność żądania.
Prawo i obowiązek weryfikacji
Szkoła ma nie tylko prawo, ale wręcz obowiązek zweryfikować, czy żądanie jest uprawnione. Wynika to z zasady rozliczalności wyrażonej w art. 5 ust. 2 RODO, bowiem administrator musi być w stanie wykazać, że każde udostępnienie danych miało prawne uzasadnienie. Jeśli w przyszłości okaże się, że dane zostały udostępnione bezpodstawnie, odpowiedzialność poniesie szkoła jako administrator, a nie organ, który o dane wystąpił.
Jeśli wniosek nie zawiera podstawy prawnej lub jest sformułowany zbyt ogólnikowo, dyrektor powinien zwrócić się do organu z prośbą o jego doprecyzowanie. Można to zrobić telefonicznie, ale warto dla celów dokumentacyjnych potwierdzić ustalenia na piśmie lub w formie elektronicznej. Prośba o doprecyzowanie podstawy prawnej nie jest przejawem nieufności wobec organów państwa ani utrudnianiem ich pracy, lecz jest realizacją obowiązków administratora danych wynikających z RODO.
Konsekwencje nieprawidłowego postępowania
Zarówno bezpodstawne udostępnienie danych, jak i bezzasadna odmowa ich udostępnienia mogą rodzić poważne konsekwencje dla szkoły i jej dyrektora.
Konsekwencje bezpodstawnego udostępnienia danych
Udostępnienie danych osobowych bez podstawy prawnej stanowi naruszenie przepisów RODO i może skutkować nałożeniem administracyjnej kary pieniężnej przez Prezesa UODO.
W przypadku podmiotów publicznych, takich jak szkoły, Prezes UODO może nałożyć karę do 100 000 złotych, na podstawie art. 102 ust. 1 ustawy o ochronie danych osobowych. Oprócz kary finansowej możliwe jest również wydanie ostrzeżenia lub upomnienia, nakazu dostosowania operacji przetwarzania do przepisów RODO, a nawet czasowe lub całkowite ograniczenie przetwarzania.
Osoba, której dane zostały bezpodstawnie udostępnione, może również dochodzić odszkodowania za poniesioną szkodę majątkową lub zadośćuczynienia za doznaną krzywdę na drodze cywilnej. Odpowiedzialność ponosi administrator danych, czyli szkoła.
Konsekwencje bezzasadnej odmowy udostępnienia danych
Z drugiej strony, bezzasadna odmowa udostępnienia danych organowi, który ma do nich prawo, również może rodzić konsekwencje przewidziane w poszczególnych przepisach prawa. W przypadku żądania opartego na art. 15 § 3 k.p.k. na osobę, która bez uzasadnionej przyczyny nie udzieli pomocy organom prowadzącym postępowanie karne, może być nałożona kara porządkowa.
W przypadku żądania sądowego odmowa przedstawienia dokumentu może być potraktowana jako niewykonanie zarządzenia sądu i skutkować nałożeniem grzywny. Uporczywa odmowa współpracy może również skutkować odpowiedzialnością dyscyplinarną dyrektora.
Dlatego tak ważne jest, by decyzje o udostępnieniu lub odmowie udostępnienia danych były podejmowane rozważnie, na podstawie rzetelnej analizy prawnej, a nie pochopnie, z uwagi na chęć sprawnego załatwienia sprawy.
Sytuacje nagłe i żądania ustne
Praktyka pokazuje, że funkcjonariusze policji niekiedy żądają danych od ręki, podczas wizyty w szkole, bez pisemnego wniosku. Może to wynikać z pilności sprawy, ale może też być próbą obejścia formalnych procedur. Dyrektor powinien w takiej sytuacji zachować szczególną ostrożność.
W przypadku żądania ustnego należy przede wszystkim poprosić o okazanie legitymacji służbowej i spisać dane funkcjonariusza: imię, nazwisko, stopień, numer legitymacji oraz jednostkę, w której służy. Następnie trzeba ustalić podstawę prawną żądania – funkcjonariusz powinien być w stanie wskazać konkretny przepis. Ważne jest również ustalenie, w związku z jaką sprawą dane są potrzebne – numer sprawy, charakter postępowania. Jeśli nie ma przeciwwskazań prawnych, można przekazać dane, ale należy ograniczyć się do niezbędnego minimum. Koniecznie trzeba sporządzić szczegółową notatkę dokumentującą całe zdarzenie, najlepiej podpisaną przez obie strony.
Warto pamiętać, że nawet w sytuacjach nagłych funkcjonariusz powinien być w stanie wskazać przepis uprawniający go do żądania konkretnych informacji. Jeśli tego nie potrafi lub odmawia, dyrektor ma prawo poprosić o złożenie formalnego pisemnego wniosku. Oczywiście jeśli sytuacja dotyczy bezpośredniego zagrożenia życia lub zdrowia dziecka, priorytetem jest ochrona dziecka, a kwestie formalne schodzą na dalszy plan.
Co zrobić w przypadku wątpliwości?
Jeśli dyrektor ma wątpliwości co do zasadności żądania, powinien przede wszystkim skonsultować sprawę z inspektorem ochrony danych, który powinien być wyznaczony w każdej jednostce oświatowej. IOD pomoże ocenić, czy wskazana podstawa prawna jest właściwa i czy zakres żądanych danych jest adekwatny do celu.
W przypadku poważnych wątpliwości można również zwrócić się do organu prowadzącego szkołę o opinię lub wsparcie prawne. Niektóre samorządy zapewniają swoim jednostkom oświatowym dostęp do obsługi prawnej właśnie w takich okolicznościach.
Odmowa udostępnienia danych w sytuacji, gdy żądanie nie ma prawidłowej podstawy prawnej, jest w pełni uzasadniona i zgodna z prawem. Chroni ona zarówno szkołę przed zarzutem naruszenia RODO, jak i prawa osób, których dane dotyczą. Oczywiście odmowa powinna być przekazana w formie pisemnej, z odpowiednim uzasadnieniem.
Jakie informacje mogą być przekazane, a które podlegają szczególnej ochronie?
Zakres udostępnianych danych musi być adekwatny do celu żądania i ograniczony do niezbędnego minimum. To fundamentalna zasada minimalizacji danych wyrażona w art. 5 ust. 1 lit. c RODO, która stanowi, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Innymi słowy przekazujemy tylko tyle, ile naprawdę potrzeba.
Jeśli policja prowadzi sprawę dotyczącą konkretnego ucznia i potrzebuje jego adresu zamieszkania, szkoła nie powinna przekazywać przy okazji adresów wszystkich uczniów z klasy ani innych informacji, o które nie proszono.
Szczególnej ochronie podlegają tzw. dane wrażliwe, wymienione w art. 9 ust. 1 RODO. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej.
W kontekście szkolnym dane wrażliwe, które najczęściej są przedmiotem zainteresowania różnych organów, to przede wszystkim informacje o stanie zdrowia ucznia, w tym o chorobach przewlekłych, alergiach, niepełnosprawnościach, orzeczenia o potrzebie kształcenia specjalnego, opinie i orzeczenia z poradni psychologiczno-pedagogicznych, informacje o objęciu ucznia pomocą psychologiczno-pedagogiczną, dane dotyczące korzystania z pomocy pedagoga lub psychologa szkolnego czy informacje o indywidualnym programie edukacyjno-terapeutycznym.
Przetwarzanie danych wrażliwych jest co do zasady zabronione na mocy art. 9 ust. 1 RODO. Udostępnienie takich danych jest możliwe tylko w przypadkach określonych w art. 9 ust. 2 RODO, między innymi gdy jest to niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu.
W praktyce oznacza to, że ogólne przepisy o obowiązku współpracy z organami ścigania nie zawsze będą wystarczającą podstawą do udostępnienia danych wrażliwych. W przypadku żądania takich danych dyrektor powinien szczególnie uważnie zweryfikować podstawę prawną i w razie wątpliwości żądać wskazania szczegółowego przepisu uprawniającego do pozyskania danych szczególnych kategorii.
Ochrona danych osób trzecich
Przekazując dokumentację dotyczącą konkretnego ucznia, należy zadbać o to, by nie ujawnić przypadkowo danych innych uczniów lub osób niezwiązanych ze sprawą. Jeśli na przykład policja żąda dziennika lekcyjnego w związku ze sprawą dotyczącą jednego ucznia, należy rozważyć, czy nie lepiej przekazać wyciąg dotyczący tylko tego ucznia, zamiast udostępniać cały dziennik zawierający dane wszystkich uczniów z klasy.
Podobnie, przekazując korespondencję z rodzicami czy notatki służbowe, należy upewnić się, że nie zawierają one danych osób postronnych. Jeśli takie dane się pojawiają, należy je zanonimizować przed przekazaniem dokumentu, chyba że organ wyraźnie żąda również tych danych i ma do tego podstawę prawną.
Informacje objęte tajemnicą zawodową
Szczególną kategorią są informacje objęte tajemnicą zawodową. Pedagog i psycholog szkolny są zobowiązani do zachowania w tajemnicy informacji uzyskanych w związku z wykonywaniem swoich obowiązków. Ujawnienie takich informacji może nastąpić tylko w przypadkach określonych przepisami prawa.
Zgodnie z art. 180 § 2 k.p.k. osoby obowiązane do zachowania tajemnicy zawodowej mogą być przesłuchiwane co do faktów objętych tą tajemnicą tylko wtedy, gdy jest to niezbędne dla dobra wymiaru sprawiedliwości, a okoliczność nie może być ustalona na podstawie innego dowodu. W takim przypadku sąd lub prokurator może zwolnić taką osobę od obowiązku zachowania tajemnicy. Jednak decyzja o zwolnieniu z tajemnicy należy do sądu lub prokuratora, a nie do samego pedagoga czy psychologa.
Jak prawidłowo udokumentować udostępnienie danych?
Prowadzenie szczegółowej dokumentacji udostępnień to nie tylko dobra praktyka organizacyjna, ale kluczowy element zasady rozliczalności wymaganej przez art. 5 ust. 2 RODO. Administrator musi być w stanie wykazać zgodność przetwarzania z przepisami, a dokumentacja udostępnień stanowi na to najlepszy dowód. W przypadku kontroli Prezesa Urzędu Ochrony Danych Osobowych lub w razie ewentualnego sporu to właśnie ta dokumentacja pozwoli wykazać, że szkoła działała zgodnie z prawem.
W przypadku udostępnienia danych w formie bezpośredniej, czyli gdy przedstawiciel organu osobiście odbiera dokumenty lub informacje w szkole, warto dodatkowo sporządzić protokół udostępnienia. Protokół powinien być sporządzony w dwóch egzemplarzach i podpisany przez obie strony – osobę przekazującą dane w imieniu szkoły oraz osobę odbierającą dane w imieniu organu.
Każda szkoła powinna prowadzić rejestr udostępnień danych osobowych. Może to być osobny dokument (w formie papierowej lub elektronicznej) lub część szerszego rejestru czynności przetwarzania, którego prowadzenie jest obowiązkowe na mocy art. 30 RODO.
Przykładowy rejestr udostępnień może zawierać następujące informacje: numer porządkowy wpisu, datę i godzinę udostępnienia, pełną nazwę i adres organu lub podmiotu, któremu dane udostępniono, dane osoby reprezentującej organ (imię, nazwisko, stanowisko, numer legitymacji służbowej w przypadku funkcjonariuszy), sygnaturę sprawy prowadzonej przez organ, precyzyjną podstawę prawną żądania ze wskazaniem konkretnego przepisu, szczegółowy zakres przekazanych danych z opisem, jakie konkretnie informacje zostały udostępnione, formę przekazania (osobiście, pocztą tradycyjną, pocztą elektroniczną, przez ePUAP), dane osoby, która w imieniu szkoły dokonała udostępnienia, oraz ewentualne uwagi dotyczące okoliczności udostępnienia.
Archiwizacja dokumentacji
Dokumentacja związana z udostępnianiem danych osobowych powinna być przechowywana zgodnie z instrukcją kancelaryjną i jednolitym rzeczowym wykazem akt obowiązującym w danej szkole. Typowo dokumentacja ta jest zaliczana do kategorii archiwalnej B5 lub B10, co oznacza przechowywanie przez odpowiednio 5 lub 10 lat. W przypadku wątpliwości warto skonsultować się z archiwum państwowym lub organem prowadzącym.
Kopie przekazanych dokumentów lub notatki o treści udzielonych informacji ustnych również powinny być archiwizowane. Pozwoli to w przyszłości odtworzyć, jakie dokładnie dane zostały przekazane i w jakim zakresie.
Rola inspektora ochrony danych
Zgodnie z art. 37 ust. 1 lit. a RODO organy i podmioty publiczne mają obowiązek wyznaczenia inspektora ochrony danych (IOD). Szkoły publiczne jako jednostki sektora finansów publicznych podlegają temu obowiązkowi.
Inspektor ochrony danych odgrywa kluczową rolę w procesie udostępniania danych osobowych. Do jego zadań należy przede wszystkim doradztwo w zakresie oceny podstawy prawnej żądania. IOD pomoże zweryfikować, czy wskazany przez organ przepis rzeczywiście uprawnia do żądania określonych danych. IOD dokonuje także oceny adekwatności zakresu żądanych danych, pomagając ustalić, czy zakres żądania nie jest nadmierny w stosunku do celu. Inspektor wspiera również tworzenie i aktualizację procedur udostępniania danych oraz prowadzenie prawidłowej dokumentacji. W razie potrzeby IOD może reprezentować szkołę w kontaktach z organem żądającym danych.
W przypadku jakichkolwiek wątpliwości co do zasadności lub zakresu żądania dyrektor powinien skonsultować sprawę z IOD przed podjęciem decyzji o udostępnieniu danych. Jeśli IOD nie jest dostępny od ręki (co może się zdarzyć, gdy funkcję tę pełni osoba z zewnątrz, obsługująca wiele podmiotów), można poprosić organ o krótkie oczekiwanie na odpowiedź lub złożenie formalnego pisemnego wniosku, który zostanie rozpatrzony w rozsądnym terminie.
Najważniejsze zasady związane z udostępnianiem danych
Udostępnianie danych osobowych organom publicznym to obszar wymagający od dyrektora szkoły zarówno znajomości przepisów, jak i rozwagi w ich stosowaniu. Na zakończenie przypomnijmy najważniejsze zasady, którymi należy się kierować:
- Każde żądanie weryfikuj pod kątem podstawy prawnej. Organ musi wskazać konkretny przepis uprawniający go do żądania danych. Ogólnikowe powołanie się na „przepisy prawa” nie wystarczy.
- Stosuj zasadę minimalizacji danych. Przekazuj tylko te informacje, które są niezbędne dla realizacji celu wskazanego przez organ. Nie udostępniaj danych „na zapas” ani danych osób trzecich.
- Szczególnie chroń dane wrażliwe. Informacje o zdrowiu, opinie psychologiczno-pedagogiczne i inne dane szczególnych kategorii wymagają dodatkowej podstawy prawnej do udostępnienia.
- Dokumentuj każde udostępnienie. Prowadź rejestr udostępnień, sporządzaj protokoły, archiwizuj kopie przekazanych dokumentów. To twoja ochrona na wypadek kontroli lub sporu.
- W razie wątpliwości konsultuj się z IOD. Inspektor ochrony danych pomoże ocenić zasadność żądania i prawidłowość planowanego udostępnienia.
- Nie bój się prosić o doprecyzowanie. Jeśli wniosek jest niejasny lub niepełny, masz prawo i obowiązek poprosić organ o jego uzupełnienie.
- Pamiętaj o ochronie dziecka. W sytuacjach gdy w grę wchodzi bezpieczeństwo ucznia, współpraca z odpowiednimi służbami jest priorytetem.
Współpraca szkoły z organami państwa i instytucjami jest ważnym obowiązkiem wynikającym z przepisów prawa i służy realizacji istotnych celów publicznych – od ścigania przestępstw, przez ochronę praw dziecka, po zapewnienie pomocy rodzinom w trudnej sytuacji. Jednak ta współpraca musi odbywać się w ściśle określonych granicach prawnych, zarówno tych, które dają uprawnienia organom publicznym, jak i tych, które chronią dane osobowe uczniów i ich rodzin. Dobrze udokumentowane, przemyślane działania oparte na znajomości przepisów i konsultowane z inspektorem ochrony danych to działania wzmacniające ochronę przed ryzykiem naruszenia przepisów i najlepsza gwarancja prawidłowego wykonywania obowiązków administratora danych osobowych.
POLECAMY
