Przepisy specustawy ds. walki z COVID-19 wprowadziły możliwość publikowania list dzieci przyjętych do szkoły czy przedszkola na stronach interentowych tych placówek.
Rodzice oraz inspektorzy ochrony danych z sektora oświaty zwracają się do UODO z licznymi pytaniami nt. przetwarzania danych osobowych podczas trwającej obecnie rekrutacji do szkół i przedszkoli. Ich wątpliwości budzi m.in. zakres danych wymagany we wnioskach rekrutacyjnych czy okres przechowywania danych osobowych kandydatów.
Rekrutacja i zakres danych we wniosku
Prawo oświatowe w art. 150 i 151 wskazuje treść wniosku i zgłoszenia o przyjęcie dziecka do przedszkola, szkoły i innych placówek oraz niezbędne załączniki. Dane te ─ wymienione w art. 150 ust. 1 ─ są przetwarzane w celu realizacji obowiązku prawnego, który ciąży na administratorze (art. 6 ust. 1 lit. c RODO). W związku z tym administrator (szkoła /przedszkole/inna placówka oświatowa) nie musi pozyskiwać zgody rodziców dzieci na przetwarzanie danych zawartych w tych wnioskach.
Powyższe przepisy prawa oświatowego wskazują zakres danych osobowych, które zawiera wniosek o przyjęcie do placówki oświatowej. Są to dane osobowe kandydata, m.in. jego: imię, nazwisko, data urodzenia, numer PESEL oraz adres miejsca zamieszkania. Przepisy wskazują również na przetwarzanie danych osobowych rodziców kandydata, jednakże różnicują zakres gromadzonych danych w zależności od tego, czy kandydat jest osobą pełnoletnią, czy też nie.
Do wniosku załącza się również dokumenty, które potwierdzają odpowiednio spełnianie przez kandydata określonych w ustawie kryteriów.
Do UODO napływają w związku z prowadzonymi rekrutacjami pytania, sygnalizujące zbieranie przez szkoły danych, takich jak: numer PESEL, numer i seria dowodu osobistego rodziców kandydata. W tym wypadku zbieranie takich danych stanowi naruszenie nie tylko Prawa oświatowego, ale i zasad (m.in. legalizmu, proporcjonalności i minimalizacji), o których mowa w art. 5 RODO. Regulacje prawa oświatowego dotyczące treści wniosku o przyjęcie do przedszkola, szkoły (art. 150 i 151) nie wymieniają bowiem danych rodziców w postaci numeru PESEL, numeru i serii dowodu osobistego (w odróżnieniu od np. numeru PESEL kandydata), jako tych, które szkoła (przedszkole) może żądać w ramach rekrutacji.
Obowiązek informacyjny
W trakcie rekrutacji organ prowadzący przedszkole lub szkołę pozyskuje bardzo wiele danych dotyczących nie tylko samego dziecka, ale także jego rodziców. Dlatego tak ważne jest odpowiednie informowanie rodziców i uczniów o tym, co dalej będzie się działo z tymi danymi (np. kto jest ich administratorem, na jakiej podstawie są przetwarzane, w jakim celu i przez jaki okres).
Prawo oświatowe pozwala na przeprowadzanie postępowania rekrutacyjnego z wykorzystaniem systemów informatycznych. W takiej sytuacji możliwe jest sporządzenie formularza elektronicznego zawierającego odpowiednią klauzulę informacyjną, co powinno stanowić jego niezbędny element. Należy także pamiętać, że każda komunikacja prowadzona przez administratora z osobami, których dane dotyczą, musi spełniać odpowiednie wymagania. Wszelkie informacje podawane odbiorcom, w tym na podstawie art. 13 i 14 RODO, w szczególności muszą przybrać przejrzystą, zrozumiałą i łatwo dostępną formę, co oznacza, że powinny być napisane jasnym i prostym językiem, zwłaszcza, gdy są kierowane do dzieci.
Przechowywanie danych
Warto odnotować, że dane uzyskane podczas postępowania rekrutacyjnego są przechowywane nie dłużej niż do końca okresu, w którym uczeń korzysta z wychowania przedszkolnego w danym przedszkolu albo uczęszcza do danej szkoły. Natomiast dane osobowe kandydatów nieprzyjętych są przechowywane przez rok, chyba że na rozstrzygnięcie dyrektora przedszkola, szkoły lub placówki została wniesiona skarga do sądu administracyjnego i postępowanie nie zostało zakończone prawomocnym wyrokiem.
Publikacja list uczniów przyjętych do szkoły
Wyniki rekrutacji podaje się do publicznej wiadomości, podając imię i nazwisko kandydata oraz adnotację, czy został przyjęty czy nieprzyjęty do danej placówki.
Listy takie są umieszczane w widocznym miejscu, w siedzibie danego publicznego przedszkola, szkoły, czy innej placówki. Powinny one zawierać imiona i nazwiska kandydatów uszeregowane w kolejności alfabetycznej oraz najniższą liczbę punktów, która uprawnia do przyjęcia.
Dotychczas dyrektorzy placówek nie udostępniali list obejmujących wspomniane dane osobowe, np. na stronach internetowych lub na portalach społecznościowych, w tym na fanpage’ach szkoły.
W związku z obecną sytuacją epidemiczną – zgodnie z nowymi przepisami wydanymi na podstawie specustawy ws. koronawirusa ─ wyniki postępowania rekrutacyjnego w formie list kandydatów, o których mowa w art. 158 ust. 1 i 3 Prawa oświatowego, podaje się do publicznej wiadomości także na stronach internetowych tych jednostek. W ocenie UODO nie jest natomiast dopuszczalne publikowanie tych list na portalach społecznościowych czy fanpage’ach placówek oświatowych.
Administrator przed udostępnianiem danych powinien dokonać analizy ryzyka, jakie wiąże się z publikacją list w Internecie. Ważna jest zasada minimalizacji danych czy ograniczenia przechowywania. Zatem należy przetwarzać te dane, które są ograniczone oraz przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane. UODO jednak zaleca, aby dyrektorzy korzystali z form komunikacji elektronicznej i indywidualnie informowali kandydata i jego rodziców o wynikach przeprowadzonej rekrutacji.
UWAGA!
Jednocześnie w ocenie UODO, po zakończeniu czasowego ograniczenia funkcjonowania jednostek systemu oświaty, należy usunąć listy przyjętych kandydatów ze strony internetowej i zamieścić je na tablicy ogłoszeń w placówce.
Źródło: https://uodo.gov.pl/pl/138/1497
22-04-2020