RODO w przedszkolach i żłobkach

Prowadzisz żłobek, klubik dziecięcy lub przedszkole i masz wątpliwości dotyczące stosowania przepisów RODO? Doskonale trafiłeś. Mam dla ciebie odpowiedzi na najczęściej zadawane pytania dotyczące RODO w przedszkolach i żłobkach.

Spis treści

Dla twojej wygody przygotowałem spis treści, który ułatwi ci poruszanie się po tej stronie.

RODO w przedszkolach i żłobkach, wideo do obejrzenia

Na zaproszenie aplikacji Inso usprawniającej pracę w przedszkolach i żłobkach, wziąłem udział w webinarze poświęconym przetwarzaniu danych osobowych (RODO) w tychże placówkach.

Webinar przyjął formę pytań i odpowiedzi. Prowadząca zadawała mi pytania, ja na nie odpowiadałem. Następnie odbyła się sesja Q&A, podczas której każdy z uczestników webinaru mógł zadać swoje własne pytanie.

Nagranie webinaru dostępne jest tutaj: https://inso.pl/akademia/rodo-w-przedszkolach-i-zlobkach/.

Indywidualna pomoc

Potrzebujesz indywidualnej pomocy związanej z ochroną danych osobowych? Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

RODO w przedszkolach i żłobkach, audio do odsłuchu

Jeżeli słuchasz podcastów i taka forma jest dla ciebie lepsza niż wideo na YT, zapraszam cię do odsłuchu 38. odcinka podcastu „Prawo dla kreatywnych”, który poświęcony jest właśnie tematowi RODO w przedszkolach i żłobkach.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Podobał ci się odcinek? Udostępnij go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

RODO w przedszkolach i żłobkach, tekst do czytania

Dla twojej wygody udostępniam ci również zapis tekstowy webinaru. Jeżeli wolisz słowo pisane, możesz w wygodny dla siebie sposób przyswoić interesującą cię wiedzę.

RODO – co to w ogóle jest?

Justyna: Czym jest RODO i jaki jest tak naprawdę cel ochrony danych?

Wojciech: RODO to rozporządzenie unijne. Można powiedzieć, że to taki zbiór przepisów, który w sposób kompleksowy reguluje tematykę danych osobowych.

Co ważne, robi to w sposób jednolity dla całej Unii Europejskiej. Dzięki temu mamy w ramach całej Unii zbieżny system ochrony danych.

Jaki jest cel? Taki, jak sama nazwa rozporządzenia wskazuje, czyli właśnie ochrona danych osobowych.

Od razu jednak powiem, że taka rozważna i roztropna ochrona danych osobowych, bo od maja 2018 roku narosło już bardzo dużo mitów związanych z RODO, które tak naprawdę dotyczą absurdów i nie mają nic wspólnego z ochroną danych, a bardziej z takim rygorystycznym i formalistycznym podejściem do tematu.

Dlatego dzisiaj postaramy się obalić trochę takich mitów, które krążą po placówkach oświatowych, przedszkolach i żłobkach w zakresie danych osobowych i które związane są z mitologizacją RODO w mediach, uczynieniu z tego potwora, który wcale takim potworem nie jest.

Kompleksowy przewodnik po RODO znajdziesz tutaj: RODO – czy naprawdę trzeba się bać?

Jakie dane przetwarzane są w przedszkolach i żłobkach?

Justyna: Jakie mamy rodzaje przetwarzanych danych w przedszkolach i w żłobkach?

Wojciech: Na pewno każde przedszkole i każdy żłobek przetwarza tak zwane dane zwykłe, czyli imię i nazwisko, numer telefonu, adres email, dane osoby kontaktowej, wszystkie takiego typu dane identyfikacyjne.

Na pewno również przetwarzane są dane, tak zwane szczególne, czyli dane np. o stanie zdrowia.

Można powiedzieć, że dane zwykłe korzystają z takiego podstawowego reżimu ochrony, a dane szczególne, właśnie w szczególności dane o stanie zdrowia, z podwyższonego poziomu ochrony.

Jak przetwarzać dane zgodnie z prawem?

Justyna: Kiedy przetwarzanie danych osobowych w przedszkolu i w żłobku jest zgodne z prawem?

Wojciech: Żeby móc przetwarzać czyjeś dane osobowe zgodnie z prawem, trzeba to robić na jakieś podstawie prawnej i RODO trochę tych podstaw prawnych zna. To nie jest tak, że występuje tylko jakaś jedna, konkretna sytuacja, w której przetwarzanie danych osobowych jest legalne.

Najczęściej wykorzystywana podstawa do przetwarzania danych to oczywiście zgoda. Natomiast zgoda jest bardzo często nadużywana. Od razu mówię, że zgoda nie jest jedynym lekarstwem na całe zło i nie na wszystko te zgody trzeba odbierać.

Oprócz tego, że możemy przetwarzać dane osobowe na podstawie czyjejś zgody, możemy przetwarzać również czyjeś dane osobowe, dlatego że zawarł z nami umowę.

Przykładowo, jeżeli rodzic zawiera z nami umowę o udział swojego dziecka w naszej placówce, to my dane tego rodzica przetwarzamy po to, żeby się z tej umowy wywiązać i nie musimy w tym zakresie odbierać oddzielnej zgody.

Podstawą przetwarzania danych może być również tak zwany prawnie uzasadniony interes administratora, czyli jeszcze coś innego. Nie mamy zgody, nie mamy nawet umowy bądź mamy umowę, ale przetwarzamy jeszcze dane w jakimś celu, który jest naszym prawnie uzasadnionym interesem. I ten prawnie uzasadniony interes zapewne pojawi nam się przy monitoringu w żłobkach, bo on właśnie będzie realizowany w oparciu o prawnie uzasadniony interes administratora.

Dane osobowe można też przetwarzać legalnie w oparciu o taką podstawę, którą jest realizacja jakiegoś obowiązku nałożonego przez przepisy prawa.

Przykładowo, przepisy prawa nakazują nam przechowywać przez określony czas dokumentację księgową. W dokumentacji księgowej znajdują się jakieś dane osobowe, więc tym przypadku my nie odbieramy zgody od naszych klientów na to, żebyśmy przetwarzali ich dane. Przetwarzamy te dane dlatego, że mamy obowiązek podać je do księgowości i tam przechowywać.

Często występuje również przetwarzanie danych w ramach realizacji jakiegoś celu publicznego. To w ramach naszego webinaru może dotyczyć przedszkoli publicznych, które w ustawie prawo oświatowe mają określone konkretne zadania do realizowania. Realizacja tych zadań może wymagać również przetwarzania danych osobowych.

Jeżeli ktoś po raz pierwszy interesuje się tematyką danych osobowych, może mu się to wydawać trochę zagmatwane i poplątane, natomiast prosiłbym, żeby wyjąć z tego najważniejszą kwestię, która regularnie na szkoleniach się pojawia – nie wpadajmy w taką panikę, że pod wszystko zbieramy zgodę, bo potem w ramach swojej działalności tworzymy mnóstwo różnych papierków, zgoda na to, zgoda na tamto, podczas gdy jesteśmy w stanie zidentyfikować inną podstawę prawną przetwarzania danych.

Dane osobowe w rekrutacji do przedszkola lub żłobka

Justyna: Każde przedszkole prowadzi też procesy rekrutacyjne.

Wojciech: Zgadza się.

Justyna: Proszę nam powiedzieć, jakie dokumenty RODO są obowiązkowe w trakcie prowadzenia postępowania rekrutacyjnego w przedszkolach i w żłobkach?

Wojciech: Jeżeli chodzi o dokumenty, tak naprawdę jest to kwestia wtórna. Zastanowiłbym się nad kwestią pierwotną, czyli jakie w ogóle dane można przetwarzać na potrzeby rekrutacji.

Żeby sobie na to pytanie odpowiedzieć, trzeba zajrzeć do ustawy prawo oświatowe, która reguluje kwestię rekrutacji w przedszkolach oraz do ustawy o opiece nad dziećmi do lat trzech, która będzie regulować rekrutację w żłobkach.

Tam mamy zakres danych, jaki możemy zbierać na temat dziecka w ramach rekrutacji.

Natomiast jeżeli chodzi o dokumenty, to takim najważniejszym dokumentem, jak ja to mówię, ze sfery zewnętrznej, czyli takiej, którą widzą osoby, których dane przetwarzamy, jest dokument z obowiązkiem informacyjnym.

Więcej o obowiązku informacyjnym przeczytaj tutaj: Obowiązek informacyjny – czym jest i jak go zrealizować?

W ramach formularza rekrutacyjnego, niezależnie od formy tego formularza, czy to jest formularz elektroniczny, czy to jest formularz papierowy, powinniśmy zawrzeć tak zwaną klauzulę informacyjną, która będzie przekazywać wszystkie informacje, które RODO każe nam przekazać.

Jest taki artykuł trzynasty w RODO, który wylistowuje wszystkie informacje, jakie musimy przekazać drugiej osobie, której dane przetwarzamy. Musimy między innymi poinformować o naszych danych kontaktowych, danych nas jako administratora, o celach przetwarzania, o okresach przetwarzania, o uprawnieniach związanych z przetwarzaniem.

To nie jest teraz miejsce, żeby opowiadać o każdym z tych szczegółów, natomiast gdy otworzymy sobie artykuł trzynasty rozporządzenia, a rozporządzenie jest ogólnodostępne, to możemy sobie prześledzić, o czym tych uczestników rekrutacji musimy poinformować.

To jest ta sfera zewnętrzna, czyli to, co przedstawiamy osobom jak gdyby na wejściu w proces rekrutacyjny.

Dokumenty związane z RODO w przedszkolu lub żłobku

Natomiast jeżeli chodzi o takie zaplecze wewnętrzne, czyli wszystko to, co administrator danych powinien mieć u siebie, a niekoniecznie jest to widoczne dla innych, to są tego typu dokumenty jak polityka ochrony danych osobowych, w której opisujemy procedury, za pomocą których chronimy dane osobowe w ramach naszej organizacji.

To będzie rejestr czynności przetwarzania, w ramach którego grupujemy poszczególne czynności przetwarzania w ramach naszej organizacji. To będzie również rejestr realizacji żądań osób, których dane są przetwarzane.

To jest generalnie całe spektrum dokumentów, natomiast to nie jest tak, że to są dokumenty związane wyłącznie z rekrutacją. Rekrutacja jest tylko pewną czynnością przetwarzania danych, jedną z wielu, jakie mają miejsce w przedszkolu, czy w żłobku.

Oprócz rekrutacji mamy przecież księgowość, mamy fakturowanie, mamy również bieżącą obsługę przedszkola, mamy monitoring. Te wszystkie dokumenty tak naprawdę powinniśmy stworzyć dla każdej czynności przetwarzania, nie tylko dla rekrutacji.

Aczkolwiek domyślam się, że pytanie o rekrutację wynika z tego, że koło rekrutacji zawsze jest sporo zamętu, bo zawsze jest to taki temat gorący również medialnie, więc pewnie dlatego. Natomiast uczulam, że zadbanie o dane osobowe i tak zwane wdrożenie RODO nie kończy się wyłącznie na rekrutacji.

Wdrożenie RODO w przedszkolu lub żłobku

Potrzebujesz pomocy przy wdrożeniu RODO w przedszkolu lub żłobku?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl a porozmawiamy o możliwych formach współpracy.

Umowa z rodzicami a RODO

Justyna: W takim razie jesteśmy już po procesie rekrutacji, sporządzamy umowę z naszymi rodzicami i jakie dokumenty RODO powinna zawierać umowa dotycząca świadczenia tych usług opiekuńczo-wychowawczo-edukacyjnych przez przedszkole i żłobek?

Wojciech: Tak naprawdę tutaj nie ma żadnego prawniczego wtajemniczenia. Nie ma tutaj jakichś szczególnych wymagań akurat co do przedszkola czy żłobka.

Oczywiście nie mówię o treści umowy jak gdyby merytorycznej co do zobowiązań stron, natomiast jeżeli chodzi o te kwestie RODO-wskie, kwestie związane z danymi osobowymi, to tak jak w przypadku rekrutacji, znowu pojawia nam się przede wszystkim obowiązek informacyjny.

Możemy wpisać taki obowiązek informacyjny prosto do umowy, do jakiegoś paragrafu. Na przykład tworzymy paragraf zatytułowany dane osobowe i tam wymieniamy te wszystkie informacje, które powinniśmy wymienić.

Możemy też stworzyć załącznik do umowy, w którym poinformujemy o tych wszystkich kwestiach związanych z przetwarzaniem danych.

Oczywiście, jeżeli przewidujemy na przykład, że chcielibyśmy odbierać od rodziców zgody na rozpowszechnianie wizerunków ich dzieci na fanpage’u naszego przedszkola czy żłobka, na stronie internetowej, czy w jakichś działaniach marketingowych, to takiej umowie może towarzyszyć jeszcze dokument właśnie ze zgodą na rozpowszechnianie wizerunku.

Natomiast na tym tak naprawdę kwestia się kończy w zakresie danych osobowych. Nie ma tutaj jakichś szczególnych, skomplikowanych procesów. Tak naprawdę wystarczy ten obowiązek informacyjny, ewentualnie zgoda, tam gdzie ta zgoda rzeczywiście jest potrzebna.

Oczywiście, gdy mówimy o umowie, bo w zakresie wdrożenia wewnętrznego, przetwarzanie danych w związku z zawarciem umowy jest czynnością, która raz, że musi zostać wskazana w rejestrze czynności przetwarzania danych, a dwa, że musi podlegać wszystkim procedurom zapewniającym bezpieczeństwo i poufność danych.

Monitoring w przedszkolu lub żłobku a RODO

Justyna: Co w przypadku, jeśli placówka korzysta z monitoringu w przedszkolu? Czy korzystanie jest zgodne z RODO, czy potrzebujemy do tego jakichś odpowiednich zgód rodziców, no i pracowników również?

Wojciech: Tutaj należy rozróżnić sytuację monitoringu w przedszkolu i monitoringu w żłobku, dlatego że monitoring w przedszkolu jest uregulowany wprost w przepisach ustawy prawa oświatowe i w określonych celach tam zdefiniowanych, które wiążą się z zabezpieczeniem mienia, ochroną naszych informacji, zapewnieniu bezpieczeństwa. Taki monitoring może być wdrażany bez pytania o zgodę.

W żłobku też będziemy mogli taki monitoring wprowadzić bez pytania o zgodę, tylko będzie ta procedura trochę bardziej zaawansowana, bo trzeba będzie jeszcze przeprowadzić tak zwany test uzasadnionego interesu.

Natomiast od razu uprzedzę mit, który bardzo często się pojawia, że od czasu RODO monitoring jest zakazany. To jest błędne przekonanie. Monitoring jest nadal dopuszczalny pod określonymi warunkami. On ma być nieinwazyjny, ma obejmować określone przestrzenie, ma być realizowany w określonych, ściśle wyznaczonych celach.

No i oczywiście o tym monitoringu trzeba w ramach tego obowiązku informacyjnego poinformować – gdzie są kamery, jaki jest okres przechowywania nagrań, jakie są cele prowadzenia tego monitoringu, jakie są zasady uzyskiwania dostępu do tego monitoringu.

Zatem monitoring jak najbardziej w zgodzie z RODO można wdrożyć, natomiast trzeba po prostu zrobić to odpowiednio.

Więcej o monitoringu wizyjnym możesz przeczytać tutaj: Monitoring wizyjny zgodny z RODO – jak to zrobić?

Upoważnienie do odbioru dziecka z placówki

Justyna: Czy w upoważnieniach do odbioru dziecka z przedszkola lub żłobka jest również konieczna zgoda na przetwarzanie danych osobowych osoby, której to upoważnienie dotyczy?

Wojciech: W tym zakresie reprezentowane są dwa podejścia. Bardzo często można się spotkać, że na tych wszystkich upoważnieniach wpisywana jest z automatu zgoda na przetwarzanie danych osoby upoważnionej. Osobiście uważam jednak, że przetwarzanie danych takiej osoby można oprzeć na innej podstawie.

Mianowicie jednym z obowiązków i w ogóle celów przedszkola, żłobka jest zapewnienie bezpieczeństwa dziecku. No, a zapewnienie bezpieczeństwa dziecku wiąże się również z tym, żeby „wydawać” je w ręce właściwej osoby.

W związku z tym możemy oprzeć takie przetwarzanie na innej podstawie prawnej, nie odbierając zgody, a po prostu realizując obowiązek informacyjny w stosunku do tej osoby, która jest upoważniona. Natomiast zgoda tutaj też wielkim błędem nie będzie.

Problem polega jednak na tym, że zgodę zawsze można cofnąć. Natomiast skutki cofnięcia akurat w tym przypadku będą mało inwazyjne, bo jeżeli przyjdzie nam osoba upoważniona do odbioru i powie, że cofa zgodę na przetwarzanie jej danych, to my jej powiemy, że przepraszam, ale nie możemy dalej tego upoważnienia respektować.

Więc de facto w praktyce zgoda też błędem nie będzie, ale jeżeli ktoś nie chciałby w takim formularzu dodatkowej zgody zamieszczać, to myślę, że może to ograć, powołując się na inną podstawę przetwarzania.

Zgoda na wykorzystanie wizerunku dziecka

Justyna: Czy zgoda na wykorzystanie wizerunku dziecka jest również zgodna z RODO?

Wojciech: To zależy, o jakim wykorzystaniu wizerunku będziemy mówić. Jeżeli będziemy wykorzystywać wizerunek stricte wewnętrznie, bo to się będzie mieścić w jakiejś naszej działalności oświatowej właśnie – wyobrażam sobie, że możemy np. zrobić jakieś zdjęcia z uroczystości wewnętrznych i wewnątrz klas je dzieciom prezentować czy rodzicom na jakichś tam spotkaniach – to będzie się mieściło w realizacji celu, jakiemu ta placówka służy, czyli temu, że ma integrować dzieci, pokazywać im określone wartości i tak dalej, i tak dalej.

Natomiast w sytuacji, w której my byśmy chcieli te zdjęcia puszczać gdzieś dalej, w szczególności publikować na swojej stronie internetowej, publikować w mediach społecznościowych, bo to się najczęściej spotyka, żeby pokazywać, że u nas jest fajna atmosfera, że generalnie są fajne zajęcia i wszystko jest cacy, to rzeczywiście na taką eksploatację wizerunku już powinniśmy mieć zgodę.

Natomiast pytanie, czy ona jest zgodna z RODO? To zależy jak ją sformujemy. Znowu wróćmy do takiej odpowiedzi, że można odbierać zgody na rozpowszechnianie wizerunku. RODO nie zabrania tego.

Natomiast trzeba zrobić to odpowiednio, czyli trzeba odpowiednią tą zgodę zaprojektować, żeby jej treść była właściwa i żeby spełniała wszystkie wymagania związane z przetwarzaniem danych osobowych, czyli informowała znowu o tych wszystkich szczegółach.

Krótko mówiąc, można przyjąć sobie taką zasadę, że nadrzędnym celem RODO w zakresie tych obowiązków informacyjnych jest to, żeby ta druga osoba zawsze wiedziała, co będzie się działo z tymi jej danymi.

Jeżeli my odbieramy od rodziców zgodę na rozpowszechnianie wizerunku dziecka, to przyjmijmy sobie w głowie po prostu, żeby oni w pełni wiedzieli, co rzeczywiście z tym wizerunkiem będzie się dalej działo.

I nawet nie ma tu teraz jakiejś wielkiej prawniczej magii w przygotowaniu takich dokumentów, bo chodzi po prostu o precyzyjny opis tego, w jaki sposób ten wizerunek będzie wykorzystywany. Więc o wizerunek dzieci też również bym się nie bał, jest to jak najbardziej do zrobienia.

O zgodzie na rozpowszechnianie wizerunku przeczytasz więcej tutaj: Zgoda na rozpowszechnianie wizerunku, kiedy potrzebna?

Dane wrażliwe w przedszkolach i żłobkach

Justyna: Co należy do danych wrażliwych? Kiedy w ogóle mamy prawo je pobierać? Jak chronić takie dane w przedszkolu i w żłobku?

Wojciech: W przypadku przedszkoli i żłobków dane wrażliwe to najczęściej dane o stanie zdrowia. Mogą się one pojawić choćby przy okazji jakiś przeciwwskazań przy dietach.

Jeżeli mamy jakąś dietę dla dziecka, często będzie się to wiązało z tym, że rodzice nam przekażą informację, dlaczego ta dieta, a z tej diety można wywnioskować jakieś schorzenie, więc przetwarzamy dane o stanie zdrowia.

Domyślam się, że również te dane mogą się pojawić w sytuacji, w której mamy pielęgniarkę czy jakąś inną osobę odpowiedzialną za obsługę medyczną. One wtedy również się pojawią.

Odpowiadając na pytanie, kiedy my możemy je zbierać, to wtedy, kiedy jest to potrzebne. To znowu jest taka wada i zaleta RODO, że ono nie stawia konkretnych, precyzyjnych wymogów, kiedy można jakoś tak kazuistycznie określić, że w przedszkolu to wtedy i wtedy.

Ono nam raczej mówi tak – drogi administratorze, drogi dyrektorze placówki, zastanów się czy rzeczywiście w danym momencie dane są ci potrzebne, czyli zbieraj je tylko tam, gdzie rzeczywiście masz do tego jakiś cel.

Zatem trzeba po prostu trochę racjonalnie do tego podejść i też uwolnić się od tych demonów medialnych, po prostu zastanowić się, kiedy rzeczywiście te dane medyczne się pojawiają i czy pojawiają się w tym momencie, dlatego że jest to uzasadnione.

Jeżeli jest to uzasadnione jakimś wyższym celem, tak kolokwialnie mówiąc, jest to dopuszczalne.

Natomiast jak je zabezpieczać? Tutaj znowu RODO nie mówi nam „drogi administratorze musisz mieć to, to i to”. Mówi nam, że musisz zrobić to tak, żeby było bezpiecznie, czyli tak, żeby nikt nieuprawniony nie uzyskał do nich dostępu, żeby te dane nie wyciekły, żeby były należycie zabezpieczone.

Zatem w zależności od każdej placówki, jakimi ona możliwościami dysponuje, tak te dane będą zabezpieczane. Czy one będą przetwarzane elektronicznie, czy będą przetwarzane papierowo, czy będą składane w jakieś szafie z certyfikatem, czy będą przesyłane do jakiejś chmury i przetwarzane w ramach jakiegoś oprogramowania, jeżeli tak, to czy to oprogramowanie daje odpowiednie gwarancje ochrony tych danych.

Nie sposób odpowiedzieć po prostu jednoznacznie, bo w każdym przedszkolu, w każdej placówce może to troszkę inaczej wyglądać.

Justyna: Mamy też przedszkola terapeutyczne, gdzie uczęszczają dzieci z różnymi niepełnosprawnościami, więc rozumiem, że tutaj też te dane wrażliwe będą w ten sposób jakby traktowane.

Wojciech: Tak, to kto przetwarza dane wrażliwe, schodzi na dalszy plan, bo dane wrażliwe może przetwarzać tak naprawdę każdy, jeżeli będzie to uzasadnione i będzie ku temu jakaś podstawa.

Akurat w przypadku przedszkoli terapeutycznych będzie to tym bardziej uzasadnione, bo jak gdyby w funkcji ich działania mieści się samo to, że one muszą mieć określone informacje na temat tych dzieci.

Udostępnianie danych w przedszkolu i żłobku

Justyna: W takim przypadku mamy również do czynienia z różnymi terapeutami, którzy przychodzą nawet z zewnątrz placówek i takie dane tym osobom również możemy udostępnić.

Wojciech: Niekiedy nawet nie możemy, co wręcz musimy, żeby zrealizować swoją misję.

Tylko teraz musimy się zastanowić nad tym, jak dobrać te osoby, żeby one dawały rękojmie, że z tymi danymi wszystko będzie w porządku. Tutaj występują dwa modele.

Jeżeli mamy osobę wewnątrz naszej organizacji, czyli pracownika, który jest nam podporządkowany, pracuje na etacie, to dla takiego pracownika wystarczy upoważnienie do przetwarzania danych, bo on je przetwarza pod nadzorem pracodawcy.

Natomiast jeżeli są to rzeczywiście osoby z zewnątrz, jakieś współprace doraźne, typowe zatrudnienie B2B przez podwykonawcę, to z takimi podmiotami powinniśmy zawrzeć umowę powierzenia przetwarzania danych.

W tej umowie zabezpieczamy wszystkie potencjalne problemy, czyli zobowiązujemy taką osobę, żeby ona te dane przetwarzała wyłącznie w celach realizacji tej umowy, żeby ona tych danych nie wynosiła poza teren przedszkola czy żłobka, a jeżeli ma taką konieczność, żeby to było właściwie zabezpieczone, żeby te dane nie były nikomu udostępniane.

Także jak najbardziej istnieje możliwość zapewnienia określonym osobom dostępu do tych danych w sytuacji, w której jest to niezbędne, żeby one realizowały swoje usługi, natomiast znowu trzeba to odpowiednio zabezpieczyć i od strony takiej praktycznej, i od strony formalnej, czyli dokumentowej.

Oznakowywanie szafek dzieci danymi osobowymi

Justyna: Czy w przedszkolach i żłobkach można znakować szafki dzieci imieniem i nazwiskiem? Czy można wywieszać na przykład listy grup dzieci? I czy w takich wypadkach rodzice też muszą wyrazić zgodę na to?

Wojciech: Jeżeli to jest taki użytek stricte wewnętrzny, czyli to wszystko nadal skupia się w przedszkolu, służy jak gdyby zapewnieniu właściwej organizacji pracy tego przedszkola i jednocześnie wpisuje się w utrzymanie jakiegoś porządku i realizacji celów, to jak najbardziej takie oznaczanie będzie dopuszczalne. Na przykład zakładamy sobie, że będziemy przechowywać jakieś tam przybory dzieci, żeby nie musiały ich nosić czy żeby się nie zgubiły.

Po prosu należy na etapie obowiązku informacyjnego poinformować o tym, że wykorzystywanie danych będzie miało miejsce w taki i w taki sposób, w takim i w takim celu.

Nie popadajmy przede wszystkim w taką panikę, jaka miała miejsce po maju 2018 roku, gdzie pojawiały się kuriozalne doniesienia medialne, że teraz nagle dzieci są wywoływane po numerach albo po pseudonimach, bo nie można się do nich zwracać po imieniu albo nazwisku, zeszyty muszą być zahasłowane, prace konkursowe składane z sygnaturą Smerf, Smerfetka, Gargamel i przyporządkowane w ten sposób.

Nie o to chodzi w ochronie danych osobowych. Jeżeli te dane są przetwarzane wewnątrz przedszkola i one są odpowiednio zabezpieczone, i nie mamy tam wstępu osób trzecich, i wszystko jest uzasadnione i ładnie opisane w dokumentach, to przy zdrowym rozsądku możemy to robić.

Umowa powierzenia przetwarzania danych osobowych

Justyna: Wspomniał Pan o umowie powierzenia danych osobowych. Co taka umowa powinna zawierać?

Wojciech: Oj, czego nie powinna zawierać? To jest pytanie rzeka. Jest konkretny artykuł w rozporządzeniu, który mówi po prostu, co taka umowa ma zawierać.

Ona ma zawierać wskazanie danych, jakie powierzamy, czyli przykładowo powierzamy tobie, drogi terapeuto, dane osobowe dzieci w procesie terapii, w której uczestniczysz, obejmujące takie i takie dane.

Powierzamy ci je po to, żebyś robił to i to, czyli wskazywanie celów.

Zobowiązujemy cię, żebyś zachował odpowiednie środki ostrożności i bezpieczeństwa, i żebyś wdrożył takie i takie zabezpieczenia.

Zobowiązujemy cię, że gdyby się okazało, że dane wyciekły czy doszło do jakiegoś naruszenia po twojej stronie, to nas o tym poinformujesz.

Plus jeszcze wiele takich różnych innych drobiazgów formalistycznych.

Generalnie moja rada jest taka, że jeżeli będą chcieli Państwo samodzielnie takie umowy powierzenia konstruować, to najłatwiej po prostu jest odszukać podstawę prawną pod to. Dotrzeć do rozporządzenia, co w tej umowie musi się znaleźć, niż bazować na wzorach znalezionych w Internecie, bo często te wzory bywają niedoskonałe.

Natomiast tak naprawdę najprostszą i taką najbardziej bezpieczną opcją dla każdego przedszkola czy żłobka, uważam, że jest powierzenie takiego procesu wdrożenia tej ochrony danych jednemu podmiotowi, dlatego że on zrobi to raz, dobrze, przygotuje dla Państwa całość dokumentów na wszystkie potrzeby i będą Państwo uspokojeni i tacy spokojni, że za chwilę nie pojawi się temat, który trzeba będzie znowu Google’ować i coś szyć na szybko.

Najgorzej wychodzą wszystkie sytuacje w stylu „dzisiaj sobie napiszemy umowę powierzenia, a za tydzień nam potrzebna zgoda na to, a za dwa tygodnie to konkurs” i potem w każdym dokumencie jest co innego, wszystko się nie trzyma kupy.

RODO w przedszkolach i żłobkach – pytania dodatkowe

Justyna: Dobrze, ja na tą chwilę chyba wyczerpałam swój limit pytań, natomiast widzę, że pojawiają nam się pytania na czacie, więc przejdziemy sobie może teraz do tych pytań.

Wojciech: Pewnie, to zawsze najcenniejsze.

Justyna: Pani Marlena zadała nam pytanie, co w przypadku przedszkoli, jeśli chodzi o wywieszenie listy ze znaczkami. Czy nie wolno podać pełnego nazwiska wychowanka? Tu w sumie troszeczkę już Pan odpowiedział na ten temat, ale możemy się odnieść do tego pytania.

Wojciech: Listy ze znaczkami?

Justyna: Tak, co w przypadku przedszkoli, jeśli chodzi o wywieszenie listy ze znaczkami. Czy nie wolno podać pełnego nazwiska wychowanka?

Wojciech: Ja, szczerze mówiąc, nie wiem, czym są te znaczki, więc trudno mi powiedzieć o co chodzi.

Justyna: Szczerze mówiąc, to ja chyba też nie rozumiem o co chodzi nam z tymi znaczkami. Czy pani Marlena mogłaby nam tutaj doprecyzować? A my w takim razie może przejdziemy sobie do następnego pytania. Pani Aurelia pyta, czy jest potrzebna zgoda rodziców na publikację zdjęć dzieci do prezentacji, którą przygotowują nauczyciele na egzamin?

Wojciech: I znowu trzeba by znać realia przedszkola, bo teraz jest pytanie, o jaki egzamin chodzi i w jaki sposób on się odbywa, kto w tym egzaminie uczestniczy.

Justyna: Okej, mamy tutaj podpowiedź od pana Wojtka również, na szafce jest kotek i kwiatek zamiast imienia i nazwiska. Aha, czyli tu chodzi o takie znaczki. Że zamiast takiego znaczka, czy możemy podać po prostu pełne nazwisko dziecka?

Wojciech: Tak jak wspomniałem, ja uważam, że jak najbardziej możemy. Jesteśmy w stanie to uzasadnić. W drugą stronę oczywiście można pójść, że teraz oznaczanie kwiatkiem i tam kotkiem to też jest jakiś cel, bo stymuluje pamięć dziecka. Natomiast wywieszenie imienia i nazwiska na szafce, która i tak znajduje się w obrębie, gdzie przebywają dzieci, rodzice, nauczyciele, czyli osoby, które i tak te dane osobowe znają, nie jest w mojej ocenie naruszeniem i zawsze jesteśmy w stanie obronić, że to się tam znajduje i po co to się tam znajduje, i że to służy konkretnemu celowi.

Justyna: Tak, pani Anna też tutaj dopisała, że w szatni jest po prostu lista dzieci, imię i nazwisko oraz znaczek, który dziecku zostaje przyznany. Szatnie jest ogólnodostępna, no i czy w tej szatni mogą być podane na tych szafkach imiona i nazwiska dzieci? Czyli to już wiemy, dobrze.

Wojciech: Ja się odniosę do komentarza pana Wojtka na czacie, który pisze, że my wolimy nie uzasadniać i nie wykorzystywać imion z nazwiskami. Oczywiście, prawo nie przewiduje, że muszą być znaczki czy muszą być imiona i nazwiska. To jest decyzja administratora. Generalnie zawsze jest tak, że im mniej danych osobowych wykorzystujemy, tym dla nas bezpieczniej, więc jeżeli bardzo nie potrzebujemy tych imion i nazwisk, to możemy się posługiwać znaczkami. Natomiast gdybyśmy chcieli posługiwać się imionami i nazwiskami, moim zdaniem jesteśmy w stanie to obronić.

Justyna: A pani Magdalena pyta, czy można właśnie wywiesić taką listę ze znaczkami w szatni? Czyli ja rozumiem, że mamy na szafkach znaczki, a gdzieś w jednym miejscu jest lista ze znaczkami i imiona i nazwiska przypisanych dzieci do danego znaczka.

Wojciech: Tutaj słusznie pani Paulina na czacie pisze, że do szatni wchodzą osoby z zewnątrz. To jest to, co komunikowałem. To znaczy, jeżeli nie jesteśmy w stanie uzasadnić, że te dane dzieci w tej szatni są należycie zabezpieczone, że tam sobie nie wejdzie teraz postronny pan z ulicy i przekona się, że jakaś tam dziewczynka posiada szafkę w tym przedszkolu, to mamy problem, mamy te dane niezabezpieczone. Ale raczej nie wyobrażam sobie, że do takiej szatni może się dostać każdy bezwarunkowo i bez żadnych ograniczeń. Raczej sądzę, że i tak jest to wewnętrznie jakiś dostęp regulowany.

Justyna: Tak, często placówki mają zamknięte wejście i mogą tak naprawdę wpuścić dopiero osoby, które są wewnątrz, rodziców z dziećmi. Natomiast, są też placówki, które oczywiście takich jakby zamkniętych drzwi cały czas nie mają, więc wchodzą rodzice z dziećmi czy to opiekunowie normalnie.

Mam tutaj doprecyzowany ten egzamin, czyli wracamy do pytania, czy jest potrzebna zgoda rodziców na publikację zdjęć dzieci do prezentacji, którą przygotowuje nauczyciel na egzamin. Chodzi tu o egzamin na nauczyciela ubiegającego się o stopień nauczyciela mianowanego czy jakiegoś innego. Głównie chodzi o awanse, które robią nauczyciele. W komisji jest zazwyczaj od czterech do pięciu osób.

Wojciech: Czyli tak naprawdę nie mamy do czynienia z publicznym wykorzystaniem tych wizerunków, a na określone potrzeby, jakby nazwijmy je wewnętrzne. No i znowu uważam, że kierując się zdrowym rozsądkiem, nie musimy na to odbierać zgody. Oczywiście można snuć różne scenariusze, że są to jakieś zdjęcia wkraczające w sferę intymności czy pokazujące to, czego rodzice by nie chcieli pokazywać, więc oczywiście wtedy się zmienia kontekst sytuacyjny, ale jeżeli są to po prostu zdjęcia prezentujące nasze codzienne obowiązki wykorzystywane teraz na potrzeby egzaminu gdzieś tam wewnętrznie i nigdzie nie rozpowszechniane dalej, to uważam, że nie ma konieczności odbierania na to zgody, bo w przeciwnym wypadku za chwilę musielibyśmy na wszystko odbierać te zgody.

Zresztą już tak nieprawniczo bardzo, bardziej ludzko, zasadnicze pytanie, które można sobie postawić z takiej praktyki bardzo brutalnej, życiowej, skąd ten rodzic się dowie, że to zdjęcie tego dziecka na tym egzaminie wewnętrznym zostało wykorzystane? Wiem, że jest to słaby argument, natomiast często przedsiębiorcy dokonujący kalkulacji różnych biznesowych tak do naruszeń podchodzą.

Listy dzieci przyjętych w ramach rekrutacji

Justyna: Co z listami dzieci przyjętych do przedszkola lub żłobka, czy mogą tam być imiona i nazwiska?

Wojciech: To akurat jest pytanie proste, bo odpowiedź wynika wprost z przepisów.

Zarówno prawo oświatowe w zakresie przedszkoli, jak i ustawa o opiece na dziećmi do lat trzech wprost przewiduje obowiązek wywieszenia takiej listy z imiona i nazwiskami w przedszkolu. Jak gdyby zakres publikowanych danych przy ogłoszeniu rekrutacyjnym wynika z przepisów prawa po prostu.

Rozpowszechnianie zdjęć dzieci

Justyna: Czy zgoda rodziców wystarczy, kiedy wysyłamy materiały ze zdjęciami do różnych programów zewnętrznych, na przykład „Czyściochowe przedszkole”, czy do czasopism fachowych, na przykład „Bliżej przedszkola”?

Wojciech: Teraz zależy, jakim celom te programy zewnętrzne służą. Jeżeli one służą właśnie jakimś naszym działaniom relacyjnym, informacyjnym, marketingowym, to jak najbardziej potrzebujemy zgody. Jeżeli jednak mamy jakieś oprogramowanie wewnętrzne, które pomaga nam realizować jakieś cele dydaktyczne, to ono będzie po prostu jak gdyby kolejnym podmiotem przetwarzającym najczęściej i wtedy zgody nie trzeba.

Więc jak gdyby nie patrzymy przez pryzmat programu, co przez pryzmat celu. Jeżeli są to cele, które realizuje przedszkole w ramach swojej działalności statutowej, to zgody nie potrzebujemy. Jeżeli jest to cel jakiś własny przedszkola, w szczególności promocyjny, marketingowy, PR-owy, wizerunkowy, to jak najbardziej zgoda jest wtedy potrzebna.

Szafa na dane osobowe

Justyna: W gabinecie mam szafę przeszkloną, w której znajdują się segregatory opisane z imienia i nazwiska. Do gabinetu przychodzą rodzice z dziećmi, które dopiero ubiegają się o przyjęcie do przedszkola. Czy to jest właściwe, czyli mam na myśli tą przeszkloną szafę?

Wojciech: Nie jest to właściwe. Znowu, nie jest to samobójstwo, nie jest to naruszenie danych osobowych jakieś bardzo dotkliwe. Nie jest to np. wykorzystywanie ich w celach marketingowych bez uprzedniej zgody.

Natomiast, jeżeli my diagnozujemy, że mamy jakąś dokumentację papierową, w której zawarte są dane osobowe, to przechowywanie jej zalecane jest w tak zwanej szafie biurowej klasy A. To są szafy biurowe przeznaczone do przechowywania dokumentów zawierających dane osobowe. To nie jest duży wydatek. Jest w tej chwili na rynku sporo producentów, którzy takie szafy biurowe z certyfikatami produkuje. No i prawidłowe postępowanie zakładałoby przechowywanie tego właśnie w takowej szafie.

Zawsze mówię swoim klientom, że zakup takiej szafy od razu spędza dużo problemów z głowy, takich mentalnych, bo właśnie, a to mamy na półce, a to mamy segregator tutaj w jakiejś kosteczce z Ikei, a to coś do komórki zniesiemy, a tak to kupujemy tę szafę, dwie bądź trzy, robimy sobie archiwum, przyjmujemy zasadę, że wszystkie dokumenty zawierające dane osobowe przechowywane są w takiej szafie i nagle taki mentalny spokój na nas spływa, że oto wszystkie problemy i wątpliwości swoje rozwiązaliśmy w tym zakresie.

Justyna: Czyli polecamy zakupić szafę.

Wojciech: Trochę też jest to zabawne, bo bardzo się rozwinął przemysł tak zwanych mebli RODO, szaf RODO. To tak zabawnie się o nich mówi. Natomiast w takiej fachowej terminologii to rzeczywiście jest to szafa biurowa klasy A.

Gdy zaczniemy się zagłębiać w temat, to okaże się, że w ogóle są różne rodzaje klas tych szaf, na dokumenty niejawne, tajne, poufne i tak dalej, natomiast w takiej działalności biurowej wystarczająca jest ta szafa biurowa klasy A.

Wtedy się nią wykazujemy w dokumentacji i nawet jeżeli przydarzy nam się kontrola, to zawsze możemy przedstawić, że oto mamy szafę certyfikowaną, bo jesteśmy na tyle przebiegłym, przemyślnym administratorem, który po prostu tak dba o te dane.

Numer dowodu osobistego osoby upoważnionej do odbioru dziecka

Justyna: Do ubiegłego roku w upoważnieniach do odbioru zawarte były dane osoby upoważnionej do odbioru dziecka z numerem dowodu osobistego. W tym roku jest już tylko imię i nazwisko takiej osoby. W jaki sposób mamy zweryfikować, że pan Kowalski to ten pan Kowalski od danego dziecka?

Wojciech: To jest dobry przykład na takie racjonalne podejście do RODO. RODO nie mówi nam „przedszkolu, żłobku nie możesz w upoważnieniu do odbioru odbierać numeru dowodu”. Nigdzie nie ma takiego przepisu.

RODO nam mówi „przedszkolu i żłobku, zastanów się, jakie są dane potrzebne, żebyś zrealizował swój cel”. Taki minimalny zakres danych, jaki jest ci potrzebny, żebyś bezpiecznie zrealizował swój cel.

Jeżeli my uznajemy, że wystarczające nam jest imię i nazwisko, bo bazujemy na przykład na tym, że mamy pamięć do twarzy bądź w jakikolwiek inny sposób wcześniej ta weryfikacja miała miejsce, to w porządku. Natomiast uważam, że bylibyśmy w stanie również obronić upoważnienie z numerem dowodu, tłumacząc to w naszej dokumentacji z takiego powodu, że jeżeli na przykład zmieni się nam się pracownik odpowiedzialny za wydawanie dzieci, to będzie on musiał w jakiś sposób zweryfikować tożsamość osoby, którą po raz pierwszy zobaczy.

Więc akurat przechowywanie tego numeru dowodu może okazać się uzasadnione. I uważam, że bylibyśmy w stanie w razie kontroli obronić przechowywanie takiego zakresu danych.

Musimy się po prostu zastanowić, jakie nam personalnie dane są potrzebne w takim minimalnym zakresie, żeby realnie realizować swoje obowiązki. Bo RODO nie jest po to, żebyśmy nie przetwarzali danych w ogóle, tylko żebyśmy przetwarzali je tam, gdzie jest to niezbędne i robili to po prostu w mądry i bezpieczny sposób.

Justyna: Tak, dokładnie. Ja już próbuję sobie wyobrazić przedszkole, w którym jest pięćset dzieci i każda z pań musi zapamiętać po dwie, trzy osoby, które są przykładowo upoważnione do odbioru takiego dziecka. No wydaje się to raczej, no nie do ogarnięcia, więc jak najbardziej takie numery dowodu osobistego będą adekwatne do tego, aby wydać takie dziecko odpowiedniej osobie.

Korzystanie z wizerunku pracowników

Czy pracodawca ma obowiązek, tak jak w przypadku dzieci, uzyskania zgody na upublicznienie wizerunku lub informacji dotyczących również nauczycieli pracujących w placówce na stronie internetowej lub na profilu na Facebooku?

Wojciech: Ja bym rozdzielił znowu cele, bo jeżeli my jako pracodawca zatrudniający pracownika na naszej stronie internetowej chcemy po prostu poinformować o naszej kadrze, to osobiście uważam, że jest to możliwe bez zgody, ponieważ to się mieści jak gdyby w przyjętym standardzie związanym z zatrudnieniem. Pracownik spodziewa się, że będą jego dane prezentowane jako pracownika.

To można porównać do tego absurdu, który był jakiś czas temu, że oto nie można wywieszać imion i nazwisk lekarzy czy nauczycieli na tabliczkach, bo ochrona danych osobowych. No okej, ale to znaczy, że teraz to nie wiemy, z kim pracujemy, bo nauczyciele są anonimowi i lekarz jest anonimowy? No nie o to chodzi.

Więc jeżelibyśmy tylko przyjmowali taki wariant informacyjnego rozpowszechniania, to uważam, że zgoda nie jest konieczna. Natomiast osobiście dla większości klientów, którym robimy wdrożenia, przygotowujemy zgody na rozpowszechnianie wizerunku parownika, zleceniobiorcy czy jakiegokolwiek podwykonawcy, dlatego że nigdy nie wiadomo, co nam przyjdzie do głowy.

Dzisiaj chcemy tylko wypisać w liście nauczycieli na stronie, a za trzy dni nam przyjdzie do głowy, że chcielibyśmy na Facebooku pokazać tego nauczyciela, że mamy taką fajną kadrę, bo dobrze wykształceni, z fajnym podejściem do dzieci i robi nam się z tego materiał marketingowy, no i wtedy już taka zgoda jest potrzebna. Więc najlepiej sobie po prostu mieć taki komplet dokumentów przedstawiany osobie przyjmowanej i ona podpisuje bądź nie podpisuje, jeżeli sobie by nie życzyła, no i mamy tą sprawę załatwioną.

Justyna: Okej. I jeszcze przeglądam, ale to w sumie chyba już było ostatnie pytanie, które otrzymaliśmy od naszych uczestników.

Wojciech: To idealnie w czasie się zmieściliśmy.

Justyna: Idealnie, dokładnie tak. Bardzo serdecznie dziękuję, Panie Wojciechu, za te wszystkie odpowiedzi, za pokazanie, że RODO jednak nie jest takie straszne, jak nam się wydaje. Trzeba tylko w odpowiedni sposób do niego podejść.

Indywidualna pomoc

Potrzebujesz indywidualnej pomocy przy danych osobowych?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Bonus: praktyczne opracowanie

Dodatkiem do tego artykułu jest praktyczne opracowanie na temat najczęściej występujących naruszeń ochrony danych osobowych.

Dodatek dostępny jest dla subskrybentów newslettera.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.