Przedszkole, będące administratorem danych osobowych, wskazując zakres danych, które chce pozyskać w trakcie rekrutacji, musi przeanalizować, czy zakres ten wynika z przepisów prawa albo jest związany z realizacją interesu, który uzasadnia przetwarzanie konkretnych danych i nie narusza praw osób, których dane dotyczą – przypomina UODO. Przedszkole musi bowiem wskazać właściwą przesłankę legalizującą przetwarzanie danych osobowych.

Rodzice składają pisemne potwierdzenie woli przyjęcia dziecka do przedszkola, zawierając umowy o świadczenie usług przedszkolnych przez podmioty publiczne lub niepubliczne. Zdarza się, że przedszkola wymagają od rodziców nie tylko danych koniecznych do zawarcia umowy, takich jak imię i nazwisko rodziców dziecka, adres ich zamieszkania, ale także …

(…) takich danych jak: numer PESEL rodziców, miejsce zatrudnienia rodziców, informacje o stanie zdrowia dziecka. W tym wypadku zbieranie takich danych stanowi naruszenie nie tylko Prawa oświatowego, ale i zasad m.in. legalizmu, proporcjonalności i minimalizacji, o których mowa w art. 5 RODO – podkreśla UODO.

Informacja dotycząca zawodu rodziców oraz miejsca ich pracy należy do tzw. zwykłych danych osobowych, których przetwarzanie jest możliwe, gdy spełniona jest co najmniej jedna z przesłanek określonych art. 6 ust. 1 RODO. Nie jest jednak jasne, w jakim celu przedszkole przetwarza powyższe dane, które związane są z życiem zawodowym rodziców dziecka. Dlatego tak ważne jest odpowiednie informowanie rodziców i uczniów o tym, kto jest administratorem ich danych, na jakiej podstawie dane są przetwarzane, w jakim celu i przez jaki okres.

Przykładowo, zgodnie z § 41 ust. 1 rozp. MENiS z dn. 31.12.2002 r. w sprawie bezpieczeństwa i higieny w publicznych i niepublicznych szkołach i placówkach (t. jedn. Dz.U. z 2020 r. poz. 1604), o każdym wypadku zawiadamia się niezwłocznie m.in. rodziców (opiekunów) poszkodowanego. Dla wypełnienia powyższego obowiązku przetwarzanie informacji o miejscu pracy rodzica może być niezbędne w przypadku braku możliwości innej formy kontaktu z rodzicem.

Informacja na temat porodu, przebytych chorób, hospitalizacji oraz stanu psychicznego i emocjonalnego dziecka jest związana z przetwarzaniem szczególnej kategorii danych (dotyczących zdrowia), określonych w art. 9 ust. 1 RODO, których przetwarzanie jest co do zasady zabronione. Ogólne rozporządzenie dopuszcza przetwarzanie szczególnych kategorii danych tylko i wyłącznie, jeżeli zostanie spełniona jedna z przesłanek wskazanych w art. 9 ust. 2 RODO.

Przedszkole nie może pozyskiwać ww. danych, ponieważ nie są one warunkiem koniecznym przy rekrutacji oraz nie są związane z realizacją obowiązku wychowania i sprawowania opieki nad dzieckiem. Niedopuszczalne jest przetwarzanie danych osobowych dzieci i rodziców dotyczących ich zdrowia, które nie wynikają wprost z przepisów prawa, chyba że rodzic lub opiekun wyrazili na to świadomą, dobrowolną i możliwą do wycofania zgodę.

Czy forma placówki (publiczna, niepubliczna) ma w tym wypadku znaczenie?

Przedszkola mogą być zarówno podmiotami publicznymi, jak i niepublicznymi. Oznacza to, że przedszkola niepubliczne, tak samo jak placówki publiczne, realizują prawa dzieci do wychowania i opieki, odpowiednich do ich wieku i osiągniętego rozwoju. Dlatego też w placówkach niepublicznych, tak jak w publicznych, podstawą legalizującą przetwarzanie danych osobowych m.in. dzieci, ich rodziców lub opiekunów jest wypełnienie obowiązku prawnego ciążącego na administratorze, czyli przesłanka określona w art. 6 ust. 1 lit. c RODO.

Przedszkola niepubliczne mogą oprócz realizowania ww. obowiązków – w takim zakresie jak szkoły publiczne – realizować inne lub w innym zakresie, dodatkowe zadania, które nie wynikają z obowiązku zawartego wprost w przepisach prawa. W takim przypadku podczas rekrutacji podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora, czyli przesłanka określona w art. 6 ust. 1 lit. f RODO.

Ogólne rozporządzenie o ochronie danych wskazuje jednak, że interes ten nie może mieć nadrzędnego charakteru wobec podstawowych praw i wolności osoby, w szczególności, jeżeli jest ona dzieckiem. Dlatego też administrator danych osobowych w przedszkolu niepublicznym musi poddać analizie, czy dane, które chce pozyskać nie będą naruszały podstawowych praw i wolności dziecka, a także jego rodziców czy opiekunów prawnych.

Małgorzata Tabaszewska – specjalistka prawa oświatowego

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.Urz. UE z 2016 r. L 119/1.