Pytania i odpowiedzi UODO – październik 2020

Pytanie 1. Co powinna zrobić szkoła planując wprowadzenie wejścia na teren szkoły za pomocą personalizowanych kart?

W takiej sytuacji UODO rekomenduje analizę ryzyka.

Ze swojej jako IOD strony sugeruję, aby na karcie dostępowej nie „kodować” danych osobowych uczniów, jeżeli nie jest to konieczne. Karta powinna zapewnić dostęp do konkretnych obszarów i zakodowanie na niej systemowego identyfikatora ucznia (np. unikalny numer w systemie dostępu) wydaje się zupełnie wystarczające.

Pytanie 2. Czy w salach komputerowych można zainstalować monitoring pod kątem uniknięcia kradzieży albo dojścia do sprawców?

Przedstawiciel UODO nie udzielił konkretnej odpowiedzi na to pytanie odpowiadając, że szkoła wraz z IOD powinni dokonać analizy zgodności takiego rozwiązania z prawem. Jeżeli okaże się, że jest zgodne z przepisami prawa, to instalacja mogłaby być możliwa.

Ze swojej jako IOD strony muszę zauważyć, że jest to wymijająca odpowiedź, gdyż przepisy zabraniają monitorowania m. in. sal lekcyjnych, a do takiej należy zaliczyć również salę komputerową. Z drugiej strony mamy ustawę o mieniu państwowym, która daje możliwość monitorowania wybranych przestrzeni w budynkach publicznych w celu zapobiegania aktom wandalizmu na mieniu państwowym. Jednak obawiam się, że ta ustawa nie może zostać zastosowana podczas zajęć lekcyjnych. Natomiast podejrzewam, że monitorowanie sali komputerowej po zakończeniu wszystkich zajęć byłoby akceptowalne.

Pytanie 3. Czy organizator konkursu może wysłać zaproszenie do uczestników, którzy brali udział w podobnym, ale ubiegłorocznym konkursie? Na jakiej podstawie może takie czynności wykonać?

Jeżeli zgoda na udział w ubiegłorocznym konkursie została udzielona jednorazowo bez jednoznacznego potwierdzenia danej osoby fizycznej, że zgadza się ona na przechowywanie jej danych na potrzeby kolejnych konkursów – to brak podstaw do dalszego przetwarzania takich danych oraz ich wykorzystania do kolejnego konkursu. Organizator mógłby wysłać takie zaproszenie, gdyby miał zgodę osoby fizycznej na przetwarzanie jej danych po zakończeniu konkursu.

Pytanie 4. W naszej szkole wyciekły dane wszystkich uczniów, co robić?

UODO rekomenduje skontaktowanie się z IOD i wdrożenie stosownych procedur, aby zapobiec kolejnym wyciekom. Rekomenduje również poddać analizie jakie dane wyciekły i zgłosić naruszenie.

Pytanie 5. Jakich platform można używać podczas nauczania zdalnego?

UODO oraz MEN nie rekomendują konkretnego rozwiązania jako platformy do nauki zdalnej, ale zalecają stosowanie jednego środowiska, aby nie przełączać się między różnymi środowiskami. Jako platformę dla materiałów dydaktycznych rekomendują portal epodreczniki.pl.

Pytanie 6. Pytanie ogólne dotyczące problemów w dostępie do sieci Internet.

MEN przekazało informację, że poczyniło rozmowy z operatorami telekomunikacyjnymi o darmowych pakietach danych przy dostępie do takich platform jak epodreczniki.pl.

Pytanie 7. Czy szkoły powinny zawierać umowy powierzenia danych z dostawcami elektronicznych narzędzi.

Jeżeli podmiot zewnętrzny ma przetwarzać powierzone dane osobowe na rzecz administratora (placówki oświatowej), a nie dla własnych celów – to powinna zostać zawarta umowa powierzenia danych. Nie zawsze musi być to dodatkowa umowa w postaci papierowej, gdyż przy dużych dostawcach (np. działających na arenie międzynarodowej) organizacyjnie jest to trudne do przeprowadzenia. Korzystając z usług takich dostawców może wystarczyć zaakceptowanie regulaminu związanego z usługą pod warunkiem, że zawiera on elementy charakterystyczne dla umowy powierzenia danych określone z art. 28 RODO.

Pytanie 8. Kto odpowiada za wyciek danych, jeżeli doszło do niego w wyniku wykorzystania prywatnego komputera nauczyciela?

Odpowiedzialność prawna za prawidłowe przetwarzanie danych osobowych spoczywa na szkole. Nauczyciel jest odpowiedzialny za prawidłowe wykonywanie swoich obowiązków wobec pracodawcy, ale za odpowiednie środki techniczne oraz organizacyjne ochrony danych osobowych odpowiedzialny jest administrator danych.

Pytanie 9. Czy organa ścigania oraz gminne/powiatowe stacje sanitarno-epidemiologiczne należy traktować jako odbiorców danych osobowych?

Nie i dlatego szkoła nie musi informować na początku szkolnego, że będzie takim podmiotom przekazywać dane osobowe, gdyż trudno takie sytuacje przewidzieć i zaplanować.

Pytanie 10. Czy pomiędzy instytucjami musi być spełniony obowiązek informacyjny?

Jeżeli przekazanie danych dotyczy konkretnego postępowania np. działań sanepidu czy stacji sanitarno-epidemiologicznej, to wypełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą nie występuje. Podobnie należy podejść do sytuacji, w których dane są przekazywane na wniosek innych podmiotów na podstawie odrębnych przepisów prawa.

Pytanie 11. Czy klauzule informacyjne powinny być podpisywane przez osoby, których dane dotyczą?

UODO stoi na stanowisku, że nie ma takiej potrzeby, gdyż nie ma żadnego obowiązku prawnego w tej kwestii.

Osobiście jednak uważam, że podpisanie klauzuli informacyjnej znajdującej się na oddzielnej stronie niż podpisywana zgoda na przetwarzanie danych osobowych zabezpiecza administratorów danych osobowych przed zarzutem, że klauzula nie została przedłożona takiej osobie. Można odstąpić w mojej ocenie od podpisywania klauzuli informacyjnej, jeżeli znajduje się ona w tej samej części dokumentu, w której znajduje się udzielenie zgody na przetwarzanie danych.