49. Umowy z przedszkolem - jakich danych nie trzeba podawać

Administrator wskazując zakres danych osobowych, które chce pozyskać w trakcie rekrutacji musi przeanalizować, czy zakres ten wynika z przepisów prawa, czy też jest związany z realizacją interesu, który uzasadnia przetwarzanie konkretnych danych i nie narusza praw osób, których dane dotyczą. Wówczas będzie miał możliwość wskazania właściwej przesłanki legalizującej przetwarzanie danych osobowych.

Rodzice przyjętych dzieci, składają pisemne potwierdzenie woli przyjęcia dziecka do przedszkola, zawierając umowy. Do UODO docierają pytania rodziców dotyczące zakresu pozyskiwanych danych w ramach umów o świadczenie usług przedszkolnych zarówno przez podmioty publiczne jak i niepubliczne. Zainteresowani sygnalizują zbieranie nie tylko danych koniecznych do zawarcia umowy jak imię i nazwisko rodziców dziecka, adres ich zamieszkania, ale i  takich danych jak: numer PESEL rodziców, miejsce zatrudnienia rodziców, informacje o stanie zdrowia dziecka. W tym wypadku zbieranie takich danych stanowi naruszenie nie tylko Prawa oświatowego, ale i zasad (m.in. legalizmu, proporcjonalności i minimalizacji), o których mowa w art. 5 RODO.

Informacja dotycząca zawodu rodziców oraz miejsca ich pracy należy do tzw. zwykłych danych osobowych, których przetwarzanie jest możliwe, gdy spełniona jest co najmniej jedna z przesłanek określonych art. 6 ust. 1 RODO. Nie jest jednak jasne, w jakim celu przedszkole przetwarza powyższe dane, które związane są z życiem zawodowym rodziców dziecka.

Dlatego tak ważne jest odpowiednie informowanie rodziców i uczniów o tym, kto jest ich administratorem danych, na jakiej podstawie dane są przetwarzane, w jakim celu i przez jaki okres.

Przykładowo, zgodnie z  §  41 ust. 1 rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 31 grudnia 2002 r. w sprawie bezpieczeństwa i higieny w publicznych i niepublicznych szkołach i placówkach, o każdym wypadku zawiadamia się niezwłocznie m.in. rodziców (opiekunów) poszkodowanego. Dla wypełnienia powyższego obowiązku, przetwarzanie informacji o miejscu pracy rodzica może być niezbędne, w przypadku braku możliwości innej formy kontaktu z rodzicem.

Informacja na temat porodu, przebytych chorób, hospitalizacji oraz stanu psychicznego i emocjonalnego dziecka jest związana z przetwarzaniem szczególnej kategorii danych (dotyczących zdrowia), określonych w art. 9 ust. 1 RODO, których przetwarzanie jest co do zasady zabronione. Ogólne rozporządzenie dopuszcza przetwarzanie szczególnych kategorii danych tylko i wyłącznie, jeżeli zostanie spełniona jedna z przesłanek wskazanych w art. 9 ust. 2 RODO.

Niedopuszczalne jest przetwarzanie danych osobowych dzieci i rodziców dotyczących ich zdrowia, które nie wynikają wprost w przepisów prawa, chyba że rodzic bądź opiekun wyraził na to świadomą, dobrowolną i możliwą do wycofania zgodę. Przedszkole nie może pozyskiwać wyżej wymienionych danych, ponieważ nie są one warunkiem koniecznym przy rekrutacji oraz nie są związane z realizacją obowiązku wychowania i sprawowania opieki nad dzieckiem.

Publiczne/niepubliczne. Czy forma placówki ma znaczenie?

Przedszkola mogą być zarówno podmiotami publicznymi, jak i niepublicznymi. Oznacza to, że przedszkola niepubliczne, tak samo jak placówki publiczne, realizują prawa dzieci do wychowania i opieki, odpowiednich do ich wieku i osiągniętego rozwoju. Dlatego też, w placówkach niepublicznych, tak jak w publicznych, podstawą legalizującą przetwarzanie danych osobowych m.in. dzieci, ich rodziców bądź opiekunów jest wypełnienie obowiązku prawnego ciążącego na administratorze, czyli przesłanka określona w art. 6 ust. 1 lit. c RODO.

Przedszkola niepubliczne mogą oprócz realizowania ww. obowiązków – w takim zakresie jak szkoły publiczne – realizować inne, bądź w innym zakresie, dodatkowe zadania, które nie wynikają z obowiązku zawartego wprost w przepisach prawa. W takim przypadku podczas rekrutacji podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora, czyli przesłanka określona w art. 6 ust. 1 lit. f RODO. Ogólne rozporządzenie o ochronie danych wskazuje jednak, że interes ten nie może mieć nadrzędnego charakteru wobec podstawowych praw i wolności osoby, w szczególności, jeżeli jest ona dzieckiem. Dlatego też administrator danych osobowych w przedszkolu niepublicznym musi poddać analizie czy dane, które chce pozyskać nie będą naruszały podstawowych praw i wolności dziecka, a także jego rodziców bądź opiekunów prawnych.

Źródło: https://uodo.gov.pl/pl/138/1637