Prezes UODO wystąpił do Ministra Edukacji i Nauki o rozważenie kompleksowego uregulowania w przepisach prawa kwestii związanych z prowadzeniem dokumentacji przez poradnie psychologiczno-pedagogiczne.

W celu udzielenia pomocy psychologiczno-pedagogicznej poradnie przetwarzają dane osobowe zarówno uczniów i ich rodziców, jak i nauczycieli czy psychologów udzielających pomocy. W prowadzonej dokumentacji są zebrane dane  zwykłe w postaci imienia i nazwiska, adresu zamieszkania,  a także szczególne kategorie danych osobowych. Te drugie to informacje m.in. o stanie zdrowia, ujawniające przekonania religijne czy światopoglądowe, a więc informacje wymagające szczególnej ochrony. Zdaniem UODO dokumentacja prowadzona przez poradnie, niezależnie od tego, czy jest w formie papierowej, czy elektronicznej, powinna być chroniona przy zapewnieniu wysokich standardów bezpieczeństwa.

Aktualne problemy

Obecne przepisy nie zapewniają kompleksowego uregulowania zasad działania tego typu poradni. Ponadto nie regulują procesów związanych z przetwarzaniem danych zawartych w dokumentacji, a są to m.in.: kwestie związane ze źródłami pozyskania danych osobowych, prowadzenia dokumentacji, zakresem informacji, jaki jest w niej gromadzony,. Dodatkowo nie są uregulowane kwestie związane z dostępem podmiotów do danych zawartych w tych dokumentach. Kluczowym problemem jest brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom.

Zgodność z zasadami RODO

Każde przetwarzanie danych osobowych musi być zgodne z zasadami przyjętymi w RODO. Dane osobowe muszą być przede wszystkim przetwarzane zgodnie z prawem  (zasada legalizmu). Obecnie, jeśli chodzi o przetwarzanie danych w dokumentacji prowadzonej przez poradnie psychologiczno-pedagogiczne, zauważano brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom. Zdaniem UODO, należy rozważyć objęcie takiej dokumentacji prawnie chronioną tajemnicą, podobnie jak w przypadku dokumentacji medycznej, m.in. ze względu na  przetwarzane w niej zróżnicowanych danych, jakimi są także dane szczególnej kategorii.

Organ nadzorczy zwrócił także uwagę, że obecne regulacje w postaci rozporządzenia Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych stanowią, iż wniosek o wydanie opinii lub orzeczenia przez poradnie zawiera oświadczenie wnioskodawcy o wyrażeniu zgody na przetwarzanie danych osobowych. Biorąc pod uwagę status podmiotów (podmioty publiczne i niepubliczne realizujące zadania publiczne), jak również charakter realizowanych przez nich zadań jako administratorów danych, to podstawy przetwarzania przez nich szczególnej kategorii danych osobowych powinny wynikać z przepisów ustawy zapewniających odpowiednie gwarancje ochrony danych osobowych,  a nie być  kształtowane wyłącznie w oparciu o zgodę, o której mowa w  art. 9 ust. 2 lit. a)  rozporządzenia 2016/679, która w każdym momencie może być wycofana, a jej wycofanie niesie określone konsekwencje prawne.  

Źródło: https://uodo.gov.pl/pl/138/2165

30-09-2021

Przetwarzanie danych osobowych w szkole jest konieczne. Właściwie nie można mówić o funkcjonowaniu szkoły bez przetwarzania danych osobowych uczniów ich rodziców czy nauczycieli.

Z przetwarzaniem danych dotyczących zdrowia mamy do czynienia w szkole nie tylko w gabinecie profilaktyki zdrowotnej, ale także przy udzielaniu pomocy psychologiczno-pedagogicznej. Warto wiedzieć, kto jest administratorem, czyli ustala cele i sposoby przetwarzania danych.

Przetwarzanie danych przez pielęgniarkę w szkole 

Zgodnie z przepisami prawa uczniowie są w szkole objęci podstawową opieką zdrowotną, na podstawie porozumienia zawartego pomiędzy podmiotem leczniczym i szkołą oraz umowy o udzielanie świadczeń opieki zdrowotnej zawartej między podmiotem leczniczym i Narodowym Funduszem Zdrowia.

Zasady funkcjonowania gabinetu profilaktyki zdrowotnej zostały szczegółowo uregulowane w przepisach prawa.

Dyrektor szkoły – dla potrzeb opieki zdrowotnej – jest jedynie zobowiązany do zapewnienia odpowiedniego gabinetu profilaktyki zdrowotnej oraz za zawarcie umowy z podmiotem leczniczym. Warto w tym miejscu wskazać, że pielęgniarka (pielęgniarz) lub higienistka (higienista) szkolna nie są pracownikami szkoły oraz nie podlegają służbowo jej dyrektorowi. Kwestie dotyczące udzielania świadczeń opieki zdrowotnej, czy związane z przechowywaniem dokumentacji medycznej ucznia nie należą do obowiązków dyrektora placówki.

Obowiązek właściwego przechowywania dokumentacji medycznej ciąży na podmiocie leczniczym świadczącym opiekę zdrowotną w szkole. Zasady obchodzenia się z tą dokumentacją określają zwłaszcza przepisy ustawy o prawach pacjenta oraz rozporządzeń wykonawczych. W związku z niezależnością świadczenia opieki zdrowotnej, zarówno szkołę, jak i podmiot leczniczy należy traktować jako odrębnych administratorów, którzy sami, każdy w swoim zakresie i celu, są odpowiedzialni za przetwarzanie danych osobowych.

Dokumentacja medyczna uczniów jest przechowywana w gabinecie profilaktyki zdrowotnej znajdującym się w szkole przez okres pobierania przez niego nauki w szkole. W przypadku zmiany szkoły, dokumentację tę powinni odebrać opiekunowie prawni lub faktyczni ucznia celem przekazania jej nowej szkole. Natomiast gdy uczeń kończy edukację, pielęgniarka (pielęgniarz) lub higienistka (higienista) szkolna przekazuje dokumentację lekarzowi podstawowej opieki zdrowotnej, który sprawuje opiekę zdrowotną nad uczniem na podstawie deklaracji wyboru lekarza podstawowej opieki zdrowotnej (lekarzowi rodzinnemu). W przypadku np. zaprzestania wykonywania działalności leczniczej, podmiot udzielający świadczeń zdrowotnych przekazuje dokumentację medyczną podmiotowi przejmującemu jego zadania. Powinno to nastąpić w sposób zapewniający zabezpieczenie jej przed zniszczeniem, uszkodzeniem lub utratą oraz dostępem osób nieuprawnionych.

Warto przypomnieć, że przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych osób w zakresie np. mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi. Specustawa daje szereg możliwości realizowania zadań przez GIS, który ustala ogólne kierunki działania organów służb sanitarnych. Cały czas aktualne pozostaje oświadczenie Prezesa UODO w sprawie koronawirusa dostępne pod linkiem https://uodo.gov.pl/pl/138/1456, w którym znajduje się informacja, że artykuł 17 specustawy dotyczącej przeciwdziałania COVID-19 wskazuje, że Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać m. in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych.

Pamiętajmy! Dyrektor szkoły musi zapewnić uczniom dostęp do gabinetu profilaktyki zdrowotnej. Nie jest on jednak administratorem danych zawartych w dokumentacji medycznej ucznia w ramach opieki świadczonej w szkole. Zupełnie inaczej jest w przypadku przetwarzania danych uczniów  w dokumentacji udzielania pomocy psychologiczno-pedagogicznej w szkole, gdzie administratorem tych danych jest szkoła.

Przetwarzanie danych uczniów w dokumentacji udzielania pomocy psychologiczno-pedagogicznej w szkole 

Dokumentowanie udzielania pomocy psychologiczno-pedagogicznej w szkołach regulują przepisy ustawy Prawo oświatowe.

Uczniowi uczęszczającemu do publicznego przedszkola czy szkoły udzielana jest pomoc psychologiczno-pedagogiczna, którą organizuje dyrektor placówki. To na dyrektorze podmiotu spoczywa obowiązek zapewnienia pomocy dziecku przez odpowiednich specjalistów, którzy to przy jej udzielaniu prowadzą jednocześnie dokumentację zawierającą dane ucznia. W takiej indywidualnej dokumentacji każdego dziecka, ucznia, czy uczestnika objętego pomocą psychologiczno-pedagogiczną, gromadzone są wyniki badań przeprowadzonych i opisanych przez specjalistę prowadzącego dokumentację. Warto podkreślić, że specjalistą udzielającym pomocy psychologiczno-pedagogicznej jest nie tylko pedagog szkolny, ale i psycholog, logopeda czy doradca zawodowy. Dokumentacja pomocy psychologiczno-pedagogicznej udzielonej uczniowi stanowi część dokumentacji przebiegu nauczania. Zawiera ona dane osobowe ucznia, w tym dane szczególnych kategorii, w szczególności dotyczące zdrowia.

Udzielenie pomocy psychologiczno-pedagogicznej dziecku w przedszkolu czy szkole jest realizacją systemowych zadań tych placówek, nałożonych przepisami prawa. Dlatego też w tym przypadku administratorem zawartych w dokumentacji danych z prowadzonych zajęć w ramach udzielenia pomocy psychologiczno-pedagogicznej w szkole jest reprezentujący placówkę dyrektor. To on musi zapewnić zgodne z przepisami prawa przetwarzanie danych osobowych, jak również to on ponosi odpowiedzialność za działania wszystkich osób upoważnionych do przetwarzania danych osobowych w jednostce.

Natomiast w przypadku udzielania uczniom pomocy psychologiczno-pedagogicznej w poradni psychologiczno-pedagogicznej, to administratorem jest poradnia.

Źródło: https://uodo.gov.pl/pl/138/1674

02-09-2020

Nowy art. 8 ust. 1a, dodany do ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych, nie wpływa na zmianę stanowiska Urzędu Ochrony Danych Osobowych dotyczącego zasad przetwarzania danych osobowych na potrzeby korzystania z usług i świadczeń finansowanych z zakładowego funduszu świadczeń socjalnych.

Zgodnie z przepisami tej ustawy, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Zgodnie natomiast z art. 8 ust. 1 ww. ustawy pracodawca ma obowiązek uzależnić udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. Przy ustalaniu wysokości świadczenia znaczenie ma sytuacja życiowa i materialna wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Jeżeli zatem przyznawanie świadczeń jest uzależnione od kryterium socjalnego, to oznacza, że sytuacja pracownika lub innej osoby uprawnionej do korzystania z funduszu wymaga każdorazowo jej określenia, czyli przetwarzania danych osobowych pracownika i członków jego rodziny. Przetwarzanie tych danych nie może jednak prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane są pozyskiwane. Dodany do ustawy o zakładowym funduszu świadczeń socjalnych art. 8 ust. 1a określa, że pracownik przekazuje te dane pracodawcy w formie oświadczenia. Natomiast potwierdzenie danych w nim zawartych może odbywać się, m.in. na podstawie oświadczeń izaświadczeń o sytuacji życiowej (w tym zdrowotnej). Należy również wskazać, że przepisy ustawy o zakładowym funduszu świadczeń socjalnych nigdzie nie wskazują, aby członkowie rodzin pracowników musieli podpisywać dodatkowe oświadczenia. Z regulacji tych wynika, że oświadczenie na temat jego sytuacji rodzinnej (w tym zdrowotnej) przedstawia pracownik.

W opinii UODO, jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów pracodawcy przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to powołana regulacja umożliwia jemu jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii. Powodowałoby to bowiem gromadzenie danych w szerszym zakresie, niż jest to niezbędne do celu przetwarzania. W dokumencie takim jak, np. PIT współmałżonka znajdują się również takie dane, jak np. nazwa zakładu pracy czy numer PESEL, które nie są niezbędne do potwierdzenia danych przedstawionych w oświadczeniu pracownika. 

Zatem, mając na uwadze, że jedną z głównych zasad dotyczących przetwarzania danych osobowych wynikających z RODO jest zasada minimalizacji danych, należy pamiętać, aby przetwarzane dane były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora (w tym przypadku pracodawcy).

Źródło:

Numer 4/2019 Newslettera UODO dla inspektorów ochrony danych

W powyższym przykładzie mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien odcinek czasu. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa i wolności osób fizycznych. Pamiętać należy jednak, że nie każda czasowa niedostępność do danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw i wolności osób fizycznych, np. w przypadku  szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia  przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować  jako wysokie ryzyko dla praw i wolności osób fizycznych. W przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie  prawdopodobieństwo naruszenia praw i wolności osób fizycznych. Podobnie w przypadku planowanej konserwacji systemu, dane osobowe mogą być niedostępne przez pewien czas i nie należy traktować tego jako naruszenia bezpieczeństwa (ryzyko niskie).

Chociaż utrata dostępu do systemów administratora może być tylko tymczasowa i w początkowej fazie naruszenia nie wywołuje skutków dla praw i wolności osób fizycznych, ważne jest, aby administrator po przeprowadzeniu pełnej analizy ryzyka, rozważył wszystkie możliwe konsekwencje naruszenia, zarówno te które już zaistniały jak i te, które mogą zaistnieć w przyszłości.

Naruszenie danych może mieć miejsce również w następujących przypadkach:

• zmiana danych bez zgody osoby, której dane dotyczą;
• wysłanie danych do niewłaściwej osoby (np. poprzez niewłaściwie zaadresowanie poczty elektronicznej);
• utrata nośników danych (telefon, laptop, USB, teczki zawierające dane w wersji papierowej);
• nieuprawnione udostępnienie danych (np. elektronicznie – przekazywanie danych przez zdalny dostęp np. VPN, często przydzielane bezterminowo - ale też np. telefonicznie (rozmówca podaje się za pracownika policji czy urzędu, próbując wyciągnąć informacje);
• nieodpowiednie usuwanie danych (np. administrator postanawia pozbyć się starych komputerów. Przed sprzedażą usuwa jedynie pliki na pulpicie i opróżnia kosz ze starych plików. Nie usuwa jednak danych z  dysku komputera).

Źródło:

https://uodo.gov.pl/pl/134/230

Rada rodziców gromadzi dane rodziców (imiona i nazwiska), którzy dokonali dobrowolnych wpłat na fundusze rady w celu udokumentowania tych wpłat. Kto jest administratorem tych danych i czy ich gromadzenie wymaga zgody?

Administratorem tych danych jest szkoła, a gromadzenie będzie związane z realizacją celów statutowych szkoły, zatem w oparciu o art. 6 ust. 1 lit. e) RODO.

Rada rodziców jest wewnętrznym organem szkoły, który reprezentuje ogół rodziców uczniów. Jej działanie regulują art. 83 i 84 ustawy Prawo oświatowe. Natomiast administratorem danych osobowych rodziców uczestniczących w radzie rodziców, jak i danych przetwarzanych na jej posiedzeniach jest szkoła, w ramach której ta rada działa, nie zaś sama rada rodziców. Zgodnie z art. 84 ust. 6 ustawy Prawo oświatowe w celu wspierania działalności statutowej szkoły lub placówki, rada rodziców może gromadzić fundusze z dobrowolnych składek rodziców oraz innych źródeł. Zasady wydatkowania funduszy rada rodziców określa regulamin, o którym mowa w art. 83 ust. 4 ustawy. W świetle zaprezentowanego powyżej stanowiska należy przyjąć, że rada gromadzi dane rodziców, którzy wpłacili środki na fundusze w celu udokumentowania wpłaty, jako wewnętrzny organ szkoły i wyłącznie na jej rzecz. Nie ma przy tym potrzeby odbierania od rodziców dodatkowych zgód na przetwarzanie danych.

Źródło: https://twitter.com/UODOgov_pl/status/1357675344296247299/photo/1

08-02-2021

Pracodawca prowadząc proces rekrutacji pozyskuje dane osobowe. Jak podkresla UODO pracodawca nie może żądać od kandydata danych nadmiarowych, które są niepotrzebne do przeprowadzenia rekrutacji. Ponadto dane osobowe nie mogą być zbierane na zapas,  tj. bez wykazania przez administratora zgodnego z prawem celu ich pozyskania i niezbędności do realizacji tego celu.

Jakie dane można pozyskać?

Zgodnie z art. 22¹ § 1 kodeksu pracy, pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

Ponadto pracodawca może żądać podania wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia, ale tylko wtedy gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Katalog danych, które mogą być przetwarzane w procesie rekrutacji przez pracodawcę jest zamknięty, co oznacza, że pracodawca nie może przetwarzać danych, które wykraczają poza ten zakres.

Wyrażam zgodę na przetwarzanie danych…

Uwga! Do przetwarzania wyżej wymienionych danych nie jest potrzebna zgoda, a co za tym idzie dotychczasowa praktyka zamieszczenia w liście motywacyjnym CV zgody na przetwarzanie danych w celach rekrutacyjnych nie jest właściwa. Zgoda, a w szczególności wyraźna zgoda na przetwarzanie wybranych danych, może być niezbędna jedynie w określonych sytuacjach, np.: kandydat może zgodzić się na przetwarzanie jego danych na potrzeby przyszłych rekrutacji przez określony czas.

Referencje

Złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Potencjalny pracodawca nie może tym samym zwrócić się do poprzedniego pracodawcy o informację, jakie zadania realizował kandydat u tego podmiotu oraz jaką ma opinię o kandydacie do pracy. Podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat.

Jakich danych nie trzeba pozyskiwać?

Pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w kodeksie pracy, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika. Może się oczywiście zdarzyć, że osoba kandydująca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wówczas pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie. Zdarza się, że osoby kandydujące do pracy przekazują z własnej inicjatywy więcej danych, niż jest to wskazane w kodeksie pracy. Przepisy kodeksu pracy nie nakładają obowiązku przekazywania pracodawcy przez kandydata do pracy swojego zdjęcia (niezależnie od formy jego udostępnienia). Niekiedy podajemy także informację o stanie cywilnym, numer PESEL, miejsce urodzenia czy nawet imiona rodziców.

W takiej sytuacji dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą godzi się na przetwarzanie jej danych osobowych, które sama przekazała. Zatem o ile kandydat sam z własnej woli zechce udostępnić dodatkowe informacje na swój temat, np. zdjęcie, to wyrażona przez niego zgoda na ich wykorzystanie będzie elementem legalizującym przetwarzanie tych danych na potrzeby naboru przez pracodawcę.

Co istotne zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Pracodawca nie może sugerować kandydatowi do pracy zakresu innych danych, które z własnej woli kandydat miałby przekazywać.

Innym przykładem danych, których pracodawca nie może żądać od osoby ubiegającej się o zatrudnienie jest informacja o toczących się i niezakończonych postępowaniach karnych oraz o ich przebiegu. Tego typu informacje nie mieszczą się w katalogu danych, które mogą być przez niego przetwarzane.

Toczące się postępowanie karne nie musi bowiem doprowadzić do prawomocnego skazania danej osoby. Informacji o takich postępowaniach nie zawiera również Krajowy Rejestr Karny, w którym wskazuje się dane, m.in. osób prawomocnie skazanych oraz przeciwko którym prawomocnie umorzono postępowanie karne.

Po dokonaniu wyboru

Jeżeli cel przetwarzania związany z rekrutacją, w związku z którą pozyskano dane, ustaje to dane nie powinny być dłużej przetwarzane. Jednocześnie administrator musi ocenić, czy nie wystąpią inne cele i podstawy prawne uzasadniające ich przetwarzanie (np. archiwizacja). Ponadto w przypadku gdy toczy się spór związany z niezatrudnieniem, jest jeszcze kwestia przetwarzania w celu dochodzenia roszczeń.

Pracodawca administratorem

Jak stanowi art. 5 RODO administrator powinien przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której one dotyczą. Powinien też zbierać je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wykorzystywać ich w sposób niezgodny z tymi celami. Jednocześnie RODO zobowiązuje go, by pozyskując dane osobowe, w sposób jasny, przejrzysty i zrozumiały informował m.in. o pełnej nazwie i adresie swojej siedziby; o celu i podstawie prawnej przetwarzania danych osobowych, a także o okresie, przez który zebrane dane będą przechowywane.

Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy.

Każda osoba, która ma wątpliwość, czy po zakończeniu rekrutacji usunięto jej dane osobowe, ma prawo – zgodnie z art. 15 RODO – zwrócić się do administratora z pytaniem, czy i jakie dotyczące jej dane przetwarza oraz w jakim celu to robi i na jakiej podstawie. Gdyby okazało się, że mimo zakończonej rekrutacji jej dane nadal są przetwarzane, to może zażądać od administratora ich usunięcia.

Źródło: https://uodo.gov.pl/pl/138/1599

13-07-2020

Przepisy specustawy ds. walki z COVID-19 wprowadziły możliwość publikowania list dzieci przyjętych do szkoły czy przedszkola na stronach interentowych tych placówek.

Rodzice oraz inspektorzy ochrony danych z sektora oświaty zwracają się do UODO z licznymi pytaniami nt. przetwarzania danych osobowych podczas trwającej obecnie rekrutacji do szkół i przedszkoli. Ich wątpliwości budzi m.in. zakres danych wymagany we wnioskach rekrutacyjnych czy okres przechowywania danych osobowych kandydatów.

Rekrutacja i zakres danych we wniosku

Prawo oświatowe w art. 150 i 151 wskazuje treść wniosku i zgłoszenia o przyjęcie dziecka do przedszkola, szkoły i innych placówek oraz niezbędne załączniki. Dane te ─ wymienione w art. 150 ust. 1 ─ są przetwarzane w celu realizacji obowiązku prawnego, który ciąży na administratorze (art. 6 ust. 1 lit. c RODO). W związku z tym administrator (szkoła /przedszkole/inna placówka oświatowa) nie musi pozyskiwać zgody rodziców dzieci na przetwarzanie danych zawartych w tych wnioskach.

Powyższe przepisy prawa oświatowego wskazują zakres danych osobowych, które zawiera wniosek o przyjęcie do placówki oświatowej. Są to dane osobowe kandydata, m.in. jego: imię, nazwisko, data urodzenia, numer PESEL oraz adres miejsca zamieszkania. Przepisy wskazują również na przetwarzanie danych osobowych rodziców kandydata, jednakże różnicują zakres gromadzonych danych w zależności od tego, czy kandydat jest osobą pełnoletnią, czy też nie.

Do wniosku załącza się również dokumenty, które potwierdzają odpowiednio spełnianie przez kandydata określonych w ustawie kryteriów.

Do UODO napływają w związku z prowadzonymi rekrutacjami pytania, sygnalizujące zbieranie przez szkoły danych, takich jak: numer PESEL, numer i seria dowodu osobistego rodziców kandydata. W tym wypadku zbieranie takich danych stanowi naruszenie nie tylko Prawa oświatowego, ale i zasad (m.in. legalizmu, proporcjonalności i minimalizacji), o których mowa w art. 5 RODO. Regulacje prawa oświatowego dotyczące treści wniosku o przyjęcie do przedszkola, szkoły (art. 150 i 151) nie wymieniają bowiem danych rodziców w postaci numeru PESEL, numeru i serii dowodu osobistego (w odróżnieniu od np. numeru PESEL kandydata), jako tych, które szkoła (przedszkole) może żądać w ramach rekrutacji.

Obowiązek informacyjny

W trakcie rekrutacji organ prowadzący przedszkole lub szkołę pozyskuje bardzo wiele danych dotyczących nie tylko samego dziecka, ale także jego rodziców. Dlatego tak ważne jest odpowiednie informowanie rodziców i uczniów o tym, co dalej będzie się działo z tymi danymi (np. kto jest ich administratorem, na jakiej podstawie są przetwarzane, w jakim celu i przez jaki okres).

Prawo oświatowe pozwala na przeprowadzanie postępowania rekrutacyjnego z wykorzystaniem systemów informatycznych. W takiej sytuacji możliwe jest sporządzenie formularza elektronicznego zawierającego odpowiednią klauzulę informacyjną, co powinno stanowić jego niezbędny element. Należy także pamiętać, że każda komunikacja prowadzona przez administratora z osobami, których dane dotyczą, musi spełniać odpowiednie wymagania. Wszelkie informacje podawane odbiorcom, w tym na podstawie art. 13 i 14 RODO, w szczególności muszą przybrać przejrzystą, zrozumiałą i łatwo dostępną formę, co oznacza, że powinny być napisane jasnym i prostym językiem, zwłaszcza, gdy są kierowane do dzieci.

Przechowywanie danych

Warto odnotować, że dane uzyskane podczas postępowania rekrutacyjnego są przechowywane nie dłużej niż do końca okresu, w którym uczeń korzysta z wychowania przedszkolnego w danym przedszkolu albo uczęszcza do danej szkoły. Natomiast dane osobowe kandydatów nieprzyjętych są przechowywane przez rok, chyba że na rozstrzygnięcie dyrektora przedszkola, szkoły lub placówki została wniesiona skarga do sądu administracyjnego i postępowanie nie zostało zakończone prawomocnym wyrokiem.

Publikacja list uczniów przyjętych do szkoły 

Wyniki rekrutacji podaje się do publicznej wiadomości, podając imię i nazwisko kandydata oraz adnotację, czy został przyjęty czy nieprzyjęty do danej placówki.

Listy takie są umieszczane w widocznym miejscu, w siedzibie danego publicznego przedszkola, szkoły, czy innej placówki. Powinny one zawierać imiona i nazwiska kandydatów uszeregowane w kolejności alfabetycznej oraz najniższą liczbę punktów, która uprawnia do przyjęcia.

Dotychczas dyrektorzy placówek nie udostępniali list obejmujących wspomniane dane osobowe, np. na stronach internetowych lub na portalach społecznościowych, w tym na fanpage’ach szkoły.

W związku z obecną sytuacją epidemiczną – zgodnie z nowymi przepisami wydanymi na podstawie specustawy ws. koronawirusa ─ wyniki postępowania rekrutacyjnego w formie list kandydatów, o których mowa w art. 158 ust. 1 i 3 Prawa oświatowego, podaje się do publicznej wiadomości także na stronach internetowych tych jednostek. W ocenie UODO nie jest natomiast dopuszczalne publikowanie tych  list na portalach społecznościowych czy fanpage’ach placówek oświatowych.

Administrator przed udostępnianiem danych powinien dokonać analizy ryzyka, jakie wiąże się z publikacją list w Internecie. Ważna jest zasada minimalizacji danych czy ograniczenia przechowywania. Zatem należy przetwarzać te dane, które są ograniczone oraz przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane. UODO jednak zaleca, aby dyrektorzy korzystali z form komunikacji elektronicznej i indywidualnie informowali kandydata i jego rodziców o wynikach przeprowadzonej rekrutacji.

UWAGA!

Jednocześnie w ocenie UODO, po zakończeniu czasowego ograniczenia funkcjonowania jednostek systemu oświaty, należy usunąć listy przyjętych kandydatów ze strony internetowej i zamieścić je na tablicy ogłoszeń  w placówce.

Źródło: https://uodo.gov.pl/pl/138/1497

22-04-2020

UODO przygotowało miniprzewodnik dla rodziców, który zawiera odpowiedzi na najczęściej zadawane przez rodziców pytania o przetwarzanie danych osobowych uczniów.

Pytania i odpowiedzi zostały pogrupowane w cztery obszary tematyczne:

1. Przetwarzanie danych osobowych w szkole

Przykładowe pytania:

Czy szkoła może przetwarzać dane osobowe rodziców w dzienniku elektronicznym?

Zgodnie z rozporządzaniem w sprawie dokumentacji dzienniki lekcyjne mogą być prowadzone także w postaci elektronicznej jako tzw. dzienniki elektroniczne (§ 21 ust. 1 rozporządzenia w sprawie dokumentacji), a za zgodą organu prowadzącego szkołę (np. gminy) mogą być prowadzone wyłącznie w tej postaci. Prowadzenie dzienników zarówno w formie papierowej, jak i elektronicznej wynika zatem wprost z regulacji prawnych.

Dziennik elektroniczny stanowi dokumentację prowadzoną przez szkołę, którego sposób prowadzenia, w tym zakres danych osobowych w nim zawartych, regulują przepisy prawa. Oznacza to, że zgodnie z RODO szkoła przetwarza dane osobowe w dziennikach elektronicznych na podstawie przepisów prawa.

Czy rodzice innych uczniów mogą mieć wgląd w dzienniku elektronicznym do informacji dotyczących nie swojego dziecka?

Przetwarzanie danych osobowych w dzienniku elektronicznym, do którego mają dostęp rodzice, nie oznacza, że dane te będą powszechnie dostępne w Internecie. Dziennik elektroniczny to rozwiązanie służące dokumentowaniu przebiegu nauczania, które umożliwia rodzicom m.in. bieżące śledzenie postępów w nauce ich dziecka. Prowadzenie dziennika elektronicznego wymaga zastosowania odpowiednich zabezpieczeń, co oznacza, że dostęp do danych w nim zawartych mają tylko osoby uprawnione, np. rodzice uczniów – w zakresie, który dotyczy wyłącznie ich dziecka/dzieci, i osoby upoważnione (np. nauczyciele).

Czy szkoła może opublikować na stronie internetowej wyniki i osiągniecia uczniów zdobyte podczas różnych konkursów lub olimpiad?

Publikacja ogólnej informacji o wynikach, bez wyraźnego wskazania, który uczeń jaki wynik osiągnął, będzie możliwa bez uprzedniej zgody rodziców ucznia. Natomiast jeżeli opublikowanie informacji na stronie będzie się wiązało z podaniem danych osobowych ucznia/uczniów, dzięki którym będzie możliwa ich identyfikacja, wówczas jest potrzebna zgoda rodziców. Wynika to z faktu, że tego rodzaju działanie nie jest ani obowiązkiem, ani uprawnieniem szkoły. Ma to na celu np. wypromowanie konkretnej placówki oświatowej. Natomiast RODO jednoznacznie wskazuje, że dane osobowe muszą być przetwarzane zgodnie z prawem; zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przesłanką legalizującą publikowanie danych osobowych uczniów na stronie internetowej szkoły będzie art. 6 ust. 1 lit. a RODO, a zatem zgoda rodziców.

Czy przedstawiciel szkoły ma prawo prosić osobę upoważnioną do odbioru dziecka o okazanie dowodu osobistego w celu weryfikacji tożsamości?

W świetle ustawy Prawo oświatowe, dyrektor szkoły wykonuje zadania związane z zapewnieniem bezpieczeństwa uczniom i nauczycielom w czasie zajęć organizowanych przez szkołę lub placówkę. Jednak przedstawiciel szkoły nie ma podstaw do legitymowania osób, może co najwyżej zażądać uwiarygodnienia tożsamości. Takie uwiarygodnienie może następować w różny sposób, np. przez okazanie dowodu tożsamości lub innego dokumentu potwierdzającego tożsamość (paszport, legitymacja inwalidy itp.). Wybór środków dla uwierzytelnienia swej tożsamości należy do osoby, która posiada pełnomocnictwo do odbioru dziecka.

2. Udostępnianie danych osobowych ucznia

Przykładowe pytania:

Szkoła nie prowadzi dziennika elektronicznego. Czy mogę się skontaktować z nauczycielem mailowo?

Tak, jest to możliwe. Rekomendowane jest, by nauczyciele do korespondencji e-mailowej, np. z uczniami czy rodzicami, korzystali ze służbowych adresów poczty elektronicznej. Szkoła może wykorzystywać adresy e-mail rodziców/opiekunów prawnych dzieci do kontaktu z nimi, jeżeli osoby te wyrażą na to zgodę. Szczególną uwagę należy zwrócić na zabezpieczenie danych osobowych udostępnianych w przesyłanych wiadomościach. Dlatego też wykorzystując pocztę elektroniczną do kontaktów z rodzicami, szkoła powinna wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiedni do ryzyka. Trzeba podkreślić, że to szkoła a nie nauczyciele są administratorami podejmującymi decyzję co do przyjmowanych w szkole kanałów komunikacji. Dlatego tak ważne jest, aby wdrażać odpowiednie procedury i przeprowadzać systematyczne szkolenia, w celu uświadamiania określonych ryzyk, jakie wiążą się z przetwarzaniem danych poza przyjętymi procedurami.

Czy szkoła ma prawo udostępnić informacje o postępach w nauce czy zachowaniu ucznia np. babci lub dziadkowi, których rodzice upoważnili do obioru danego ucznia ze szkoły?

Tylko osoby uprawnione otrzymają informacje o dziecku. Każdorazowe udostępnienie danych dotyczących ucznia musi mieć podstawę w obowiązujących przepisach prawa, na które powinny się one powołać. Udostępnienie danych może nastąpić na podstawie jednej z przesłanek określonych w art. 6 ust. 1 RODO. Wówczas decyzja będzie należała do administratora, który będzie musiał ocenić podstawy.

Aby babcia lub dziadek, nawet jeśli sprawują opiekę nad uczniem, ale nie na mocy obowiązku prawnego, mogli otrzymywać informacje o postępach w nauce czy zachowaniu ucznia, to muszą zostać do tego upoważnieni przez rodziców (opiekunów prawnych). Jeśli zakres upoważnienia obejmuje jedynie odbiór ucznia ze szkoły, to nie można zakładać, że na tej podstawie dziadek lub babcia będą mogli również otrzymywać informacje o postępach w nauce czy zachowaniu ucznia.

Co innego w sytuacji upoważnienia np. dziadków do uczestnictwa w wywiadówce, wówczas szkoła ma podstawę prawną do udostępnienia im danych jako wyznaczonym do tego celu przez rodziców (opiekunów prawnych) pełnomocnikom.

3. Monitoring wizyjny w placówce oświatowej

Przykładowe pytania:

Czy rodzice mogą domagać się od dyrektora szkoły, aby tymczasowo w sali dydaktycznej zamontował monitoring, po to, aby obserwować wykonywanie pracy nauczyciela? 

Przepisy prawa oświatowego regulują, w jakich miejscach nie może być zamontowany monitoring. Jednym z tych miejsc jest sala dydaktyczna. Prawo oświatowe również zastrzega, że założenie monitoringu nie może stanowić środka nadzoru nad jakością wykonywania pracy przez pracowników szkoły lub placówki. Ponadto zamontowanie kamer w sali dydaktycznej może naruszać dobra osobiste, w tym prywatność zarówno nauczyciela, jak i samych uczniów. Wola rodziców w tym zakresie nie będzie zatem wystarczającą podstawą dla wprowadzania monitoringu przez placówki oświatowe.

W szkole doszło do bójki z udziałem uczniów. Czy rodzice, którzy chcą dochodzić roszczeń na drodze sądowej, mogą dla celów dowodowych domagać się udostępnienia nagrania z monitoringu szkolnego?

Pamiętajmy, że administrator danych, do którego wpływa żądanie udostępnienia np. nagrania z monitoringu musi też chronić dane osób trzecich, których wizerunek mógł zostać zarejestrowany kamerą, dlatego jest uprawniony do oceny, czy w określonych okolicznościach udostępnienie danych nie naruszy praw innych osób i gdyby to miało miejsce odmówić udostępnienia np. zarejestrowanego filmu. Zasadność udostępnienia danych muszą wskazywać okoliczności faktyczne w sprawie. Udostępnienie danych innych osób utrwalonych na nagraniu może nastąpić na podstawie przesłanki określonej w art. 6 ust. 1 lit. f RODO. Odmowa może nastąpić dopiero po analizie zasadności skierowanego do administratora żądania.

Ponadto zgodnie z obowiązującymi przepisami przy udostępnianiu informacji o osobach trzeba mieć na względzie ochronę innych praw i wolności np. wolności wypowiedzi.

4. Współpraca z inspektorem ochrony danych

Miniprzewodnik >> Szkolna RODO-wyprawka

W sierpniu 2018 r., UODO we współpracy z MEN opublikowało przewodnik dla szkół o ochronie danych osobowych, który wyjaśnia podstawowe kwestie dotyczące ochrony danych osobowych w szkole i placówce oświatowej >> Poradnik dla szkół.pdf

Natomiast na stronie Rzecznika Praw Dziecka zostały zamieszczone wzory zgód na wykorzystanie wizerunku dziecka i przetwarzanie danych osobowych >> https://brpd.gov.pl/2020/02/03/rodzicu-zobacz-jakie-oswiadczenie-zlozyc-w-sprawie-wizerunku-i-danych-dziecka-lub-dodatkowych-zajec/

23-09-2021

Pytanie: Czy można wymagać do rodziców (innych opiekunów) podania numeru dowodu osobistego od osób odbierających dzieci ze szkoły?  Czy trzeba wobec osób upoważnionych spełnić obowiązek informacyjny.

Odpowiedź: Tak, można wymagać podania numeru dowodu osobistego osób upoważnionych. Tym samym skoro szkoła wchodzi w posiadanie danych osobowych to również musi zrealizować obowiązek informacyjny z RODO wobec tych osób.

Pozyskiwanie danych osób upoważnionych

Jeżeli chodzi o pozyskiwanie danych osobowych osób upoważnionych do odbioru uczniów ze szkoły, to placówka ma do tego prawo. W takim przypadku rodzic przekazuje określone dane szkole wskazanej przez niego osoby (np. imię i nazwisko lub imię i nazwisko, seria i numer dowodu osobistego). Szkoła jako administrator danych może bowiem pozyskiwać te dane osobowe nie tylko od samego podmiotu danych (osoby upoważnionej), ale także od osób trzecich. W praktyce powstaje problem, czy szkoła musi posiadać zgodę osób upoważnionych do przetwarzania ich danych osobowych. W obiegu funkcjonują dwie interpretacje.

Według pierwszejskoro obowiązujące przepisy nie regulują zagadnienia odbierania ucznia przez osobę upoważnioną przez rodzica nie zachodzi przesłanka przetwarzania tych danych w celu wypełnienia obowiązku prawnego ciążącego na administratorze art. 6 ust. 1 lit. c RODO. W związku z tym placówka do przetwarzania danych osób upoważnionych potrzebuje ich zgody (art. 6 ust. 1 lit. a i art. 7 RODO).  Zgoda taka może zostać odebrana przy pierwszym kontakcie takiej osoby ze szkołą. Wtedy można również zrealizować obowiązek informacyjny.  

Według drugiejszkoła nie potrzebuje zgody na przetwarzanie danych osobowych osób upoważnionych wskazanych przez rodziców, bo pozyskiwać dane może nie tylko od samych osób upoważnionych, ale również od rodziców. W tym zakresie możliwa jest sytuacja, kiedy to dana osoba wskazana jako upoważniona zażąda usunięcia swoich danych, ale wtedy rodzic będzie musiał upoważnić inną osobę lub sam odbierać dziecko. Jako przesłankę przetwarzania danych osób upoważnionych bez ich zgody wskazuje się art. 6 ust. 1 lit. e RODO (zapewniając bezpieczeństwo uczniowi placówka oświatowa przetwarza dane w interesie publicznym).

Obowiązek informacyjny

Niezależnie od przyjętej koncepcji szkoła musi spełnić obowiązek informacyjny z art. 14 RODO. Przepis ten wymienia informacje jakie należy przekazać w sytuacji, kiedy przetwarzamy dane pozyskane nie bezpośrednio od osób upoważnionych, a np. od rodziców, Można to zrobić przy pierwszym kontakcie, kiedy dana osoba odbiera dziecko lub w jakiś inny sposób (np. informacja w miejscu odbioru ucznia).

Podstawa prawna:

• art. 6, 14, 17, 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dariusz Skrzyński

10-09-2019

Najnowsze e-szkolenie, które odpowiada na najczęściej pojawiające się pytania nauczycieli w kwestii stosowania przepisów prawa dotyczących ochrony danych osobowych w swojej codziennej pracy, jednocześnie wyjaśniając i wskazując prawidłową ścieżkę postępowania w danej sytuacji.

Poruszane tematy to m.in.:

• publikowanie prac pisemnych uczniów
• nagrywanie głosu nauczyciela
• nagrywanie uroczystości szkolnych przez rodziców
• wywieszanie podpisanych prac plastycznych
• przekazywanie informacji o uczniu dziadkom
• wywoływanie uczniów po nazwisku
• monitoring w szkole
• listy obecności na zebraniach
• przetwarzanie danych osobowych nauczyciela przez pracodawcę

Zastosowana forma szkolenia - stawiane pytania i udzielane odpowiedzi (z uzasadnieniem), na pewno pomoże nauczycielom zrozumieć obecne regulacje, a przede wszystkim stosować je w praktyce, zapewniając bezpieczeństwo danych osobowych uczniów, a administratorowi spokojny sen.

PRZEJDŹ DO SKLEPU

Już nie można bezkarnie straszyć RODO – takie działanie będzie przestępstwem. Wielu oszustów próbowało na szkołach strachem wymusić zakup produktów czy skorzystanie z określonych usług wskazując, że niedochowanie określonych obowiązków  prowadzi od razu do wszczęcia kontroli lub kar finansowych.

Co przyniesie nowelizacja Kodeksu karnego?

Nowelizacja Kodeksu karnego polega na zmodyfikowaniu definicji groźby bezprawnej. Otóż za taką groźbę będzie uznawane grożenie spowodowaniem nie tylko postępowania karnego, ale także innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna. Chodzi tu przede wszystkim o postępowanie w sprawie stwierdzenia naruszenia ochrony danych, prowadzone przez Prezesa Urzędu Ochrony Danych, które w istocie może zakończyć się wymierzeniem bardzo wysokiej kary finansowej.

Sama groźba bezprawna nie jest przestępstwem, ale jest zaliczana do znamion licznych przestępstw m.in. zmuszania do określonego działania (art. 191 Kodeksu karnego). Dlatego właśnie rozszerzenie definicji groźby bezprawnej może prowadzić do skazań za tego typu zachowania.

Art. 115 § 12 Kodeksu karnego

„§ 12. Groźbą bezprawną jest zarówno groźba, o której mowa w art. 190, jak i groźba spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna jak również rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej; nie stanowi groźby zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną.".

Z uzasadnienia projektu zmian

W uzsadnieniu projektu ustawy wdrażającej RODO czytamy:

„Z informacji uzyskanych przez Ministerstwo Cyfryzacji wynika, że obok licznych wiadomości wysyłanych po 25 maja 2018 r. informujących o przetwarzaniu danych osobowych są również takie, które mogą być ukierunkowane na oszustwa. Obok informacji zawierających linki bądź załączniki z dokumentami, z których skorzystanie zapewnić ma pozornie pełną zgodność z RODO, a faktycznie może skutkować zainstalowaniem tzw. wirusa, coraz częściej wysyłane są oferty usług doradczych w obszarze ochrony danych osobowych z informacją, że odmowa skorzystania z usług skutkować może złożeniem skargi do Prezesa Urzędu Ochrony Danych Osobowych. Wiadomości zawierają również często adresowane świadomie nieprawdziwe informacje o prawnej konieczności nabycia szaf zapewniających zgodność z RODO, krat w oknach, szczególnych kategorii niszczarek, nakładek na ekrany monitorów, kłódek oraz innych dedykowanych RODO rozwiązań. Nie ulega więc wątpliwości, że konieczne jest objęcie takich działań podejmowanych na ogromną skalę, regulacjami kodeksu karnego.”

Podstawa prawna:

• art. 40 ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. z 2019 r. poz. 730),
• art. 115 § 12, art. 191 ustawy z 6 czerwca 1997 r. - Kodeks karny (tekst jedn.: Dz.U. z 2018 r. poz. 1600 ze zm.).

Dariusz Skrzyński

10-06-2019

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Zgłoszenia można dokonać za pomocą formularza dostępnego na stronie uodo.gov.pl na 4 sposoby:

1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl
2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP
3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia ochrony danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.

Więcej na temat odpowiedzialności administratora za naruszenie ochrony danych osobowych znajdą Państwo w specjalnym materiale informacyjnym, który przygotował UDOO:

MATERIAŁ INFORMACYJNY

Źródło:

https://uodo.gov.pl/pl/138/1029

W związku z podpisaniem w dniu 3 kwietnia 2019 r. przez Prezydenta RP ustawy wprowadzającej zmiany w stosowaniu tzw. RODO, niniejszym tekstem rozpoczynamy cykl artykułów traktujących o zmianach tych, istotnych z punktu widzenia szkół i placówek oświatowych. Na pierwszy ogień zmiany w Ustawie Prawo Oświatowe.

W dniu 3 kwietnia 2019 r. Prezydent podpisał ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ustawa ta wprowadza zmiany aż w 162 innych aktach prawnych i ma wejść w życie w 14 dni od ogłoszenia, zatem mają one zacząć obowiązywać z dniem 5 maja 2019 r.

Celem tych zmian jest dostosowanie przepisów naszego prawa do RODO – usunięcie tych sprzecznych, powielających zapisy RODO, a także doprecyzowanie zapisów już istniejących a mających wpływ na przetwarzanie danych osobowych. Jak się łatwo domyślić wprowadzone zmiany i nowe zapisy mają także wpływ na funkcjonowanie szkół i placówek oświatowych. Na co należy zwrócić uwagę?

Zmiany do ustawy Prawo oświatowe zostały wprowadzone w art. 148 cytowanej na wstępie ustawy z dnia 21 lutego 2019 r i tak:

• dodany art. 30a wprost wskazuje ustawę jako podstawę prawną przetwarzania danych osobowych w szkołach i placówkach systemu oświaty, a także przez organy prowadzące, sprawujące nadzór pedagogiczny, ale w zakresie niezbędnych do wykonywania zadań i obowiązków wynikających z ustawy, oznacza to, że przetwarzanie danych osobowych w tych jednostkach w na podstawie i zgodnie z zapisami ustawy nie wymaga zgody osób, których dane są przetwarzane;
• nauczyciele oraz inni pracownicy szkół i placówek, organy prowadzące i sprawujące nadzór pedagogiczny, którzy realizują czynności związane z przetwarzaniem danych sensytywnych, zostali zobowiązani do zachowania w tajemnicy informacji, które powzięli w związku z wykonywaniem pracy lub pełnieniem funkcji (art. 30a ust. 2);
• ww. osoby zostały zwolnione z obowiązku stosowania się do obowiązku wynikającego z art. 30a ust. 2 np.: w przypadku zagrożenia zdrowia ucznia lub, gdy uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;
• do obowiązków dyrektora szkoły/placówki została dodana (ust. 12 do art. 68) konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych osobowych przez szkołę z przepisami o ochronie danych osobowych – chodzi tu o zabezpieczenia fizyczne (szafki zamykane na klucz, monitoring – wprowadzony zgodnie z art. 108a ustawy Prawo oświatowe), ale też odpowiednią dokumentację, regulaminy, które wskażą prawa i obowiązki osób przetwarzających dane osobowe, organizację dostępu do zapisanych danych, do pomieszczeń. Nowelizując statut warto także dodać ten obowiązek do katalogu obowiązków dyrektora (!).

Pełna treść wprowadzonych zapisów znajduje się poniżej:

„Po art. 30 dodaje się art. 30a w brzmieniu:

                „Art. 30a. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.

                 2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.

              3. Przepisu ust. 2 nie stosuje się:

1) w przypadku zagrożenia zdrowia ucznia;

2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;

3) w przypadku gdy przewidują to przepisy szczególne.””

"W art. 68 dodaje się pkt 12 w brzmieniu:

„12) wdraża odpowiednie środki techniczne i organizacyjne zapewniające zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych.""

Zaprezentowane przepisy z pewnością mocno nie rewolucjonizują przetwarzania danych w placówkach oświatowych, z całą pewnością jednak wymagają od Państwa dostosowania niektórych już istniejących w placówce dokumentów. Mowa tu oczywiście przede wszystkim o Państwa dokumentacji w zakresie przetwarzania danych, gdzie należy dokonać stosownej aktualizacji (podstawa prawna przetwarzania danych osobowych - np. w klauzulach informacyjnych dla uczniów i rodziców, rejestrze czynności przetwarzania), ale też niestety i statutu.

Proszę pamiętać, że o ile zmiany w procedurach i regulaminach wprowadzić może sam Dyrektor, o tyle zmiany w statucie szkoły wymagają już udziału i uchwały rady pedagogicznej. Na koniec nieśmiało przypomnę o funkcji Inspektora Ochrony Danych, który powinien wesprzeć Dyrektora zarówno w ich opracowaniu, ale przede wszystkim w informowaniu o i przygotowaniu pracowników do stosowania nowych zapisów.

Już wkrótce artykuł: „Zmiany w stosowaniu RODO a Kodeks pracy”,  a także zapraszamy na szkolenia otwarte dotyczące ochrony danych osobowych, zadań, obowiązków IOD i sposobów ich dokumentowania, a także kontroli UODO - zaczynamy już 8 maja!

Podstawa prawna:

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). (Dz. U. z 2019 r. poz. 730).

Beata Linowska

14-04-2019

Na stronie MEN pojawił się poradnik dotyczący bezpieczeństwa przetwarzania danych osobowych w zdalnym nauczaniu. 

Jak podkreśla Prezes UODO - RODO nie stoi na przeszkodzie zdalnej edukacji w czasie pandemii koronawirusa, ale zarówno dyrektorzy, jak i nauczyciele powinni dbać o prawa osób, których dane będą przetwarzane przy pomocy narzędzi wykorzystywanych w zdalnej nauce, a także o bezpieczeństwie tych danych. A w razie wątpliwości powinni konsultować się z wyznaczonymi inspektorami ochrony danych.

Poradnik dla szkół

Przygotowany poradnik odpowiada na najczęściej pojawiające się pytania, wskazuje dobre praktyki dotyczące ochrony danych osobowych, a także przedstawia rekomendacje i wytyczne UODO.

W poradniku dyrektorzy znajdą informacje dotyczące zabezpieczania danych przez zastosowanie odpowiednich środków technicznych i organizacyjnych, bezpieczeństwia w korzystaniu z narzędzi do pracy zdalnej, a także ochrony zewnętrznych nośników pamięci.

Zasady bezpieczeństwa – dobre praktyki

UODO opracowało również 20 zasad bezpieczeństwa, z których powinni korzystać zarówno szkolni administratorzy, nauczyciele, a także uczniowie podczas zdalnej nauki, tak aby jak najlepiej chronić swoje dane.

W tym m.in. podpowiedzi dotyczące haseł, oprogramowania, zabezpieczania plików, sieci bezprzewodowych czy dysków przenośnych. 

Źródło: https://www.gov.pl/web/edukacja/zdalne-nauczanie-uodo

Kolejnym, po ustawie Prawo Oświatowe, niezwykle istotnym aktem prawnym, w którym ostatnie zmiany przepisów odcisnęły swe piętno, jest ustawa Kodeks pracy. Dotyczą one sposobu i katalogu przetwarzanych danych osobowych zarówno pracowników jak i kandydatów do pracy, porządkują także kwestię monitoringu pomieszczeń wykorzystywanych przez organizacje związkowe. Warto się z nimi zapoznać, gdyż podpisana przez Prezydenta RP ustawa z dnia 21 lutego 2019 r. wprowadza kilka zmian – istotnych z punktu widzenia każdego pracodawcy. I tak, po kolei:

• Zmianie uległ katalog danych, jakie pracodawca pozyskuje od kandydata do pracy, a także już po przyjęciu go do pracy. W aktualnym wykazie nie znajdziemy imion rodziców, a pojawiły się dane kontaktowe, ale to jakie otrzyma pracodawca (adres e-mail czy telefon) zależy od decyzji kandydata. Co więcej informacji o wykształceniu, kwalifikacjach zawodowych (nowość), przebiegu dotychczasowego zatrudnienia żądać należy od kandydata do pracy tylko w przypadku, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.Natomiast bez problemu pracodawca może uzyskać te dane (dotyczące wykształcenia i przebiegu dotychczasowego zatrudnienia) od osoby już zatrudnionej (Art. 22¹ . § 2. pkt 4). Ponadto pracownik przekazuje pracodawcy numer rachunku płatniczego, jeżeli nie złożył on wniosku o wypłatę wynagrodzenia do rąk własnych - .
• W przepisach określono także, że kandydat do pracy lub pracownik może z własnej inicjatywy przekazać dodatkowe dane osobowe pracodawcy (np. w życiorysie), ale także pracodawca może wystąpić o ich udostępnienie. Dotyczy to tylko danych osobowych innych niż dane sensytywne. Te bowiem, tzw. dane szczególnej kategorii przetwarzania (zgodnie z nowym artykułem - art. 22¹b. § 1.)mogą być przetwarzane tylko w przypadku gdy sam przekaże je kandydat do pracy lub sam pracownik, wyrażając tym samym zgodę na ich przetwarzanie. UWAGA! Pracodawca może też żądać podania innych danych osobowych – niż te określone w ustawie jeśli jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Ponadto pamiętać należy, że osoby przetwarzające dane sensytywne muszą posiadać pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę (art. 22¹b. § 3).
• Wprowadzono możliwość pobierania danych biometrycznych od pracownika w sytuacjach, w których podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony (art. 22¹b. § 2).
• Wyłączono możliwość stosowania monitoringu pomieszczeń zakładowej organizacji związkowej. Natomiast w przypadku monitoringu pomieszczeń sanitarnych, wprowadzenie go wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.
• Doprecyzowano także zapisy art. 229. Już teraz w przepisach wprost wskazano, że pracodawca żąda od nowego pracownika, który przyjmowany jest do pracy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, orzeczenia lekarskiego z poprzedniego zakładu pracy oraz skierowania na badania, które jest podstawą wydania tego orzeczenia. Podobnie rzecz się ma w przypadku nawiązywania stosunku pracy przez nowego pracownika bez rozwiązywania go w innym miejscu (praca na dwa etaty). Wtedy to pracownik przedstawia nowemu pracodawcy skierowanie i orzeczenie wydane na potrzeby nawiązywania pierwszego, trwającego stosunku pracy. Co istotne dokumenty te (skierowanie oraz orzeczenie) będą ważne tylko, gdy warunki określone w skierowaniu, odpowiadają warunkom występującym na danym nowym stanowisku pracy.  W przypadku  stwierdzenia, że warunki określone w skierowaniu na potrzeby zatrudnienia w pierwszym miejscu pracy nie odpowiadają warunkom występującym na danym „nowym” stanowisku pracy, pracodawca zwraca osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania i kieruje ją na badania (art. 229§ 7¹).

Przedstawione powyżej zmiany nie rewolucjonizują może praw i obowiązków Dyrektora jako pracodawcy, wymagają jednak ujęcia w dokumentacji szkolnej regulującej proces rekrutacji i zatrudniania pracowników oraz zapoznania ze zmianami pracowników, którzy odpowiadają za sprawy kadrowe w szkole. Proszę również pamiętać o pisemnych upoważnieniach dla pracowników przetwarzających dane osobowe kandydatów do pracy i pracowników (Ci z Państwa, którzy jeszcze takich upoważnień nie przygotowali) i dostosowaniu dokumentacji związanej z ochroną danych osobowych (rejestry przetwarzania, mapa czynności przetwarzania, rejestr zbiorów – ujęcie podstaw prawnych przetwarzania danych osobowych).

Wypis z ustawy dotyczący wprowadzonych zmian znajduje się poniżej, a ja już dziś zapraszam na kolejną ich odsłonę to jest artykuł pt. „Zmiany w zakresie RODO a ZFŚS”.

"Art. 4. W ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.) wprowadza się następujące zmiany:

1) art. 22¹ otrzymuje brzmienie:

„Art. 22¹ . § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;

5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

§ 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.”;

2) po art. 22¹ dodaje się art. 22¹a i art. 22¹b w brzmieniu:

„Art. 22¹a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22¹§ 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10

Kontynuując cykl artykułów na temat zbliżających się wielkimi krokami zmian w RODO, dzisiaj czas na Zakładowy Fundusz Świadczeń Socjalnych. Jego konstrukcja oraz wykorzystanie wzbudza często wiele emocji, ponieważ mówimy o środkach finansowych gromadzonych przez pracodawcę na osobnym rachunku bankowym w celu wykorzystania ich na wsparcie socjalne uprawnionych do tego pracowników. Przypomnę, że Fundusz Socjalny jest obowiązkowy dla wszystkich pracodawców z jednostek budżetowych i samorządowych (bez względu na liczbę zatrudnianych pracowników) oraz pozostałych, którzy na dzień 1 stycznia danego roku zatrudniają min. 50 pracowników w przeliczeniu na pełne etaty. Środki finansowe pochodzą z odpisów, których wysokość jest ściśle określona.

Zmiany w ZFŚS nie są może rewolucyjne, ale po pierwsze wchodzą w życie już 5 maja tego roku, a zatem wymagają dość szybkiej reakcji, po drugie zaś jak wszystkie zmiany w tym wprowadzenie ich wymaga nieco więcej wysiłku i działania niż tylko dokonanie czynności po stronie pracodawcy (dyrektora).

Nowe zapisy uregulowały trzy ważne kwestie:

1. Udostępnianie danych pracodawcy.
2. Przetwarzanie danych osobowych dotyczących zdrowia.
3. Okres przetwarzania danych osobowych.

Udostępnianie danych pracodawcy

Zgodnie z zapisami art. 8 ust. 1 przyznawanie świadczeń, ulgowych usług oraz wysokość dopłat z ZFŚS uzależniona jest od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z ZFŚS. Po tym ustępie dodane zostały ust. od 1a do 1d precyzujące jak ma wyglądać kwestia przetwarzania danych osobowych niezbędnych do przyznania świadczenia.

W dodanym ustępie 1a znalazły się zapisy wskazujące, że udostępnianie danych osobowych pracodawcy celem przyznania świadczenia odbywa się poprzez oświadczenie, ale pracodawca ma prawo weryfikacji tych danych żądając ich udokumentowania – szczególnie w formie zaświadczeń i oświadczeń. W kwestii dokumentowania należy odnieść się do stanowiska GIODO (obecnie Prezes UODO), zgodnie z którym konieczność weryfikacji sytuacji materialnej osoby ubiegającej się o środki ZFŚS może być dokonana w inny sposób niż pozyskiwanie przez pracodawcę np. kopii zeznania podatkowego (PIT), osoby będącej członkiem rodzinny pracownika. Przedstawienie takiego dokumentu jedynie do wglądu pracodawcy będzie w celu dokonania takiej weryfikacji w pełni wystarczające - https://www.giodo.gov.pl/318/id_art/4764/j/pl.

Przetwarzanie danych osobowych dotyczących zdrowia

Nowe zapisy (ust 1b art. 8) upoważniają pracodawcę do przetwarzania danych osobowych szczególnej kategorii – ale tylko dotyczących zdrowia – oczywiście w zakresie niezbędnym do przyznania ulgowej usługi czy świadczenia. Niektórzy pracodawcy, nie mając wskazanej w ustawie możliwości pozyskiwania tych danych, prosili osoby, których te dane dotyczyły, o zgody na ich przetwarzanie, teraz sprawa jest klarowna.

Ponadto prawo do przetwarzania danych dotyczących zdrowia w zakładzie pracy przysługuje tylko osobom, które zostały pisemnie do tego upoważnione – proszę zatem pamiętać o stosownych upoważnieniach!

Okres przetwarzania danych osobowych

Według nowych przepisów pracodawca przetwarza pozyskane dane jedynie przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń  (ust. 1c) . Ponadto w ust. 1d pojawił się nowy obowiązek - obowiązek dokonywania przez pracodawców regularnych przeglądów pozyskanych od pracownika informacji - nie rzadziej niż raz w roku, a dane, które nie są już potrzebne do przyznania, realizacji, dochodzenia roszczeń, praw do świadczenia muszą zostać usunięte.

Dokonywanie zmian w regulaminie ZFŚS

Dokonując zmian w regulaminie ZFŚS w związku ze wspomnianymi ustępami 1a i 1b pamiętać należy o odpowiedniej formie ich wprowadzania. W przypadku placówki, w której działają organizacje związkowe należy je z nimi uzgodnić. Jeśli natomiast u pracodawcy nie działają organizacje związkowe ustalenie treści regulaminu zakładowego funduszu świadczeń socjalnych wymaga w takim przypadku uzgodnienia z pracownikiem wybranym przez załogę do reprezentowania jej interesów (art. 8 ust. 2 ustawy o zakładowym funduszu świadczeń socjalnych).

Jak wybrać reprezentatna załogi?

Przepisy nie określają trybu wyboru przedstawiciela załogi. Pracodawca ma w tym zakresie dowolność. Może zrobić to dwuetapowo tj. najpierw zaprosić pracowników do zgłaszania swojej kandydatury, a następnie przeprowadzić głosowanie nad wyborem przedstawiciela lub przedstawicieli spośród zainteresowanych pełnieniem tej roli pracowników. Przedstawicieli załogi można wybrać zarówno do dokonania jednej czynności (tu konsultacja regulaminu ZFŚS), na czas określony (np. rok) albo na czas nieokreślony.

Jeśli w zakładzie pracy działa organizacja związkowa należy ustalić regulamin pracy w uzgodnieniu z tą organizacją związkową. Jeśli w zakładzie pracy działa więcej niż jedna organizacja związkową zasady ustalenia regulaminu określa ustawa o związkach zawodowych (Dz. U. z 2015 r. poz. 1881, z 2018 r. poz. 1608).

Nie są to zmiany wywracające regulamin ZFŚS do góry nogami, ale wymagające dokonania w nim pewnych zmian, , które zawsze mają formę nieco bardziej rozbudowaną niżli jednoosobowa decyzja dyrektora:

1. oświadczenia (nie zaświadczenia) jako podstawowa forma potwierdzania sytuacji socjalnej wnioskodawcy (prosimy zweryfikować zapisy),
2. okres przetwarzania, a zatem przechowywania danych osobowych,
3. zobowiązanie osób przetwarzających dane dotyczące zdrowie do zachowania tajemnicy i ich pisemne upoważenienie do przetwarzania tych danych).

Zapraszamy do zapoznania się z publikacją Regulamin Zakładowego Funduszu Świadczeń Socjalnych, która m.in. zawiera regulamin uwzględniający nowe zapisy ustawy.

Poniżej przedstawiamy wypis z ustawy z dnia 21 lutego 2019 r.:

„Art. 27. W ustawie z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2018 r. poz. 1316, 1608, 1669 i 2435) w art. 8:

1) po ust. 1 dodaje się ust. 1a–1d w brzmieniu:

„1a. Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.

1b. Do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm. ²¹) ), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

1c. Pracodawca przetwarza dane osobowe, o których mowa w ust. 1a, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.

1d. Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 1a, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest