Wmaju 2021 r. upłyną trzy lata od rozpoczęcia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Pomimo stosunkowo długiego okresu na przystosowanie szkół i placówek oświatowych do nowych przepisów w dalszym ciągu pojawiają się trudności z ich właściwą interpretacją. Z drugiej strony obywatele, w tym osoby bezpośrednio lub pośrednio związane ze środowiskiem oświaty, są coraz bardziej świadomi swoich praw i coraz częściej ślą skargi do Prezesa Urzędu Ochrony Danych Osobowych. Aby się przed nimi ustrzec, należy zweryfikować prawidłowość przebiegu procesu przetwarzania danych osobowych w szkole. Okazuje się, że błędy i zaniedbania w tym zakresie nie należą do rzadkości.
Zgoda jako jedna z przesłanek do przetwarzania danych
Dane osobowe dzielimy na zwykłe i szczególnie chronione. Dane szczególnie chronione to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Dane zwykłe można przetwarzać wyłącznie na podstawie przesłanek określonych w art. 6 ust. 1 RODO. Pierwsza z nich stanowi, że przetwarzanie danych osobowych jest zgodne z prawem, gdy osoba, której dane dotyczą, wyraziła na to zgodę w jednym lub większej liczbie określonych celów. Zgoda może być wydana na podstawie oświadczenia lub wyraźnego działania potwierdzającego. Przykładem wyraźnego działania potwierdzającego jest złożenie podania do dyrektora o przyjęcie do pracy w związku z prowadzonym naborem na określone stanowisko. Pisemne oświadczenie wyrażające zgodę na przetwarzanie danych zawartych w podaniu nie jest tutaj potrzebne. Jeżeli jednak CV kandydata miałoby być wykorzystywane do kolejnych rekrutacji, potrzebna jest odrębna zgoda.
Wyraźnymi działaniami potwierdzającymi wyrażenie zgody są także:
- kliknięcie okienka w formularzu elektronicznym,
- wysłanie wiadomości e-mail,
- zarejestrowane wypowiedzenie „zgadzam się”.
Uzyskanie wyłącznie ustnej zgody w obecności obiektywnych świadków jest ryzykowne ze względu na zasadę rozliczalności, nakładającą na administratora obowiązek udowodnienia, że dane osobowe są przetwarzane zgodnie z prawem, przejrzyście i rzetelnie, a co za tym idzie – także udokumentowania posiadanych zgód. W sytuacjach „awaryjnych” może się jednak przydać.
Przetwarzanie danych szczególnie chronionych jest co do zasady zabronione. Zakaz nie ma jednak charakteru bezwzględnego. Są bowiem wyjątki dopuszczające przetwarzanie tego typu danych, które w RODO zostały określone w art. 9 ust. 2. Tak jak w przypadku danych zwykłych, pierwszą przesłanką legalizującą przetwarzanie danych szczególnie chronionych jest zgoda, przy czym jej wyrażenie przez osobę, której dane dotyczą, musi być wyr...