Nie jestem typem osoby, która krytykuje innych pracę, jednak opublikowanie tak nieprzemyślanych i zapewne nie uzgodnionych z nikim znającym się na ochronie danych osobowych wzorów druków przez Rzecznika Praw Dziecka nie może obejść się bez krytyki.
Wzory te mogą być wykorzystywane i składane do szkół, mimo fundamentalnych błędów w nich zawartych.
Niewłaściwie przygotowanych wzorców dokumentów w Internecie można znaleźć dużo, ten jednak pochodzi z domeny gov.pl
Poniżej analiza zgody na przetwarzanie danych.
Zgoda na wizerunek (brak informacji, że rozpowszechnianie ma być nieodpłatne oraz brak odniesienia do przepisów RODO głównie art. 6 i art. 13) .
Zgoda na udział w wycieczce szkolnej – bezcelowe oświadczenie o władzy rodzicielskiej i zbyt duży zakrese danych w postaci adresów zamieszkania oraz daty i miejsca urodzenia ucznia na tych drukach (wystarczy imię i nazwisko i klasa ucznia oraz imię i nazwisko rodzica lub czytelny jego podpis).
Oświadczenie w sprawie zajęć edukacji seksualnej jest z nich wszystkich najlepsze, rozważać należy tylko po co rodzic informuje szkołę o treści jakich promować wobec nieletnich nie wolno i czym to grozi, szkoła ma prawny obowiązek wiedzieć o tym.
Zapraszam do lektury i komentowania, pełne druki do pobrania ze strony Rzecznika Praw Dziecka jednak nie polecam ich promować i rozpowszechniać.
Nie jestem w stanie zrozumieć celu oświadczenia o posiadaniu nieograniczonej władzy rodzicielskiej na dokumencie zgody na przetwarzanie danych, która jak rozumiem ma być złożona w szkole, do której dziecko uczęszcza. Szkoła co do zasady takie informacje posiadać powinna, więc zbieranie ich w postaci dodatkowego oświadczenie jest nadmierne i nie wpisuje się w zasadę z art. 5 ust. 1 lit. c) „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)”.
Powoływanie się na ustawę o ochronie danych osobowych w kontekście wyrażenia zgody jest nieprawidłową praktyką, gdyż w ustawie nie są określone warunki wyrażenia zgody, a więc powoływanie się na nią jest niezgodne z art. 5 ust. 1 lit. a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
Ponadto określanie zgody jako nieodpłatnej może budzić u rodziców poczucie roszczeń o wynagrodzenie za wyrażenie zgody, a nie taki jest cel jej wyrażenia.
W zgodzie kolejny raz należy wskazać imię i nazwisko dziecka co w mojej ocenie nie ma uzasadnienia.
Zakres danych jaki jest wskazany w katalogu zamkniętym budzi szereg wątpliwości, szczególnie w sytuacji w jakiej cele wskazane jako przykładowe wykraczają po za te, na które zgoda jest wymagana. Zapisanie dziecka w szkole na zajęcia pozalekcyjne czy wyrażenie zgody na wycieczkę powoduje na szkole obowiązki prawne wynikające z przepisów Prawa Oświatowego art. 105 ust. 1 oraz art. 1 pkt. 20).
Ponadto połączenie zgody na realizację ustawowych zadań placówki ze zgodą na przetwarzanie wizerunku jest niedopuszczalne – Preambuła RODO motyw (32) „… Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele…. „.
Ponownie wymaga się od podmiotu danych wskazanie kto jest administratorem.
Tu jednak pojawia się dużo więcej wątpliwości, czy oby na pewno od rodzica należy pobrać zgodę na przetwarzanie danych w celach kontaktowych? Czy dane w postaci adresu, telefonu i adresu e-mail szkoła nie posiada? Zerknijmy do Rozporządzenia Ministra Edukacji Narodowej z dnia 29 sierpnia 2019 r. zmieniające rozporządzenie w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji
„§ 8 Do dziennika lekcyjnego wpisuje się w porządku alfabetycznym lub innym ustalonym przez dyrektora
szkoły nazwiska i imiona uczniów albo słuchaczy, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona
i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania ucznia albo słuchacza,
adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają…”.
Należy zastanowić się w jakim innym celu niż kontakt z rodzicem Minister postanowił, iż takie dane powinny znaleźć się w dzienniku lekcyjnym?
Ponadto przetwarzanie takich danych jest jednym z elementów niezbędnych do zapewnienia dziecku bezpieczeństwa w szkole oraz podczas wyjść zorganizowanych, gdyż bez danych kontaktowych nie możliwe byłoby skontaktowanie się z rodzicem w sytuacjach nagłych, a także zagrażających życiu lub zdrowiu.
Ponownie mamy połączenie wielu celów, gdyż wizerunek rodzica w szkole to zakres danych wykorzystywanych głównie do promocji placówki.
Problematyczne jest również „wyrażenie zgody na gromadzenie i zabezpieczanie oświadczeń woli dotyczących małoletniego związanych w jakikolwiek sposób z działalnością placówki…”. Zbieranie i zabezpieczanie takich oświadczeń jest niezbędne ze względu na realizację art. 5 ust. 2 RODO, a więc zasady rozliczalności oraz w wielu przypadkach wynika wprost z przepisów ustawy Prawo Oświatowe (np. art. 37 ust 2 lit. b, art. 131 ust. 5, art. 133 ust. 3, czy art. 150 ust. 2 pkt. 1 lit. a,c pkt. 3 i 4 lit. c), ten zapis jest bardzo niebezpieczny.
Wyobraźmy sobie sytuację, w której rodzic cofa taką zgodę, a następnie żąda od Administratora realizacji prawa z art. 17 ust. 2 (prawo do bycia zapomnianym) co powinno oznaczać, że administrator musi usunąć dane osobowe ze wszystkich oświadczeń woli jakie posiada, a więc oświadczenia woli w związku z rekrutacją, udziałem w zajęciach z religii/etyki, edukacji seksualnej, czy chociażby zgody na przetwarzanie danych i wizerunku. Po czym osoba ta może wysuwać roszczenia do administratora…
Ponownie od rodzica wymaga się określenie i to dwukrotnie nazwy administratora.
Samo oświadczenie, o tym, że dane są podane dobrowolnie jest bezcelowe to art. 13 ust. 2 lit. e) wymaga, aby administrator przekazał podmiotowi danych informacje, czy podanie danych jest wymogiem ustawy, umowy czy jest dobrowolne.
Poinformowanie o prawie dostępu do danych to tylko jeden element art. 13 ust. 2 lit. b, a gdzie reszta z art. 13 ust. 1 i 2?
Oświadczenia o prawie do cofnięcia zgody (z nieznanych powodów w formie oświadczenia) i o możliwości zmiany zgody? W jaki sposób można zgodę zmienić i na podstawie jakich przepisów, cofać tak, ale zmieniać? Ponadto brak pouczenia o możliwości dokonania tego wycofania bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem co jest wymogiem z art. 13 ust. 2 lit. c.
Ponownie oświadczenie, które nie jest wymagane żadnymi przepisami. Zostałem poinformowany, że Administrator nie będzie łamał prawa poprzez łamanie zasady art. 5 ust. 1 lit. b („ograniczenie celu”)….
Na koniec oczywiście 7 raz podanie nazwy administratora..
Warto w tym miejscu przypomnieć sobie przysłowie „Mowa jest srebrem, a milczenie złotem.”. W tych opracowaniach niestety srebra mało, a poddanie tych druków pod konsultacje było by cenne i nie wprowadzało by w błąd.
Następnym razem Panie Rzeczniku zachęcam do opublikowania materiałów do opinii na Forum Inspektorów Ochrony Danych zanim coś się zacznie rozpowszechniać i promować, chętnie bezpłatnie i profesjonalnie zredagujemy i zaopiniujemy przygotowane materiały, gdyż cel był szczytny lecz wykonanie słabe.