W każdej jednostce oświatowej powstaje znaczna ilość dokumentacji, w tym zawierającej dane osobowe. W szczególności dane takie zawiera oczywiście dokumentacja kadrowa, ale podkreślić należy, że również dokumentacja przebiegu nauczania takie dane osobowe zawiera. Przykładowo, zgodnie z …

(…) rozporządzeniem MEN w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji:

• do dziennika zajęć przedszkola wpisuje się w porządku alfabetycznym nazwiska i imiona dzieci, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania dziecka, adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają, oraz tematy przeprowadzonych zajęć, a także godziny przyprowadzania i odbierania dziecka z przedszkola;
• do księgi uczniów wpisuje się imię (imiona) i nazwisko, datę i miejsce urodzenia, numer PESEL oraz adres zamieszkania ucznia, imiona i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania ucznia, a także datę rozpoczęcia nauki w danej szkole oraz oddział, do którego ucznia przyjęto;
• do księgi wychowanków wpisuje się imię (imiona) i nazwisko, datę i miejsce urodzenia oraz numer PESEL wychowanka, adres zamieszkania wychowanka, imiona i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania wychowanka, datę przyjęcia wychowanka do placówki oraz datę i przyczynę skreślenia z listy wychowanków, a także nazwę i adres placówki, do której wychowanek został przeniesiony;
• do dziennika lekcyjnego wpisuje się w porządku alfabetycznym lub innym ustalonym przez dyrektora szkoły nazwiska i imiona uczniów albo słuchaczy, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania ucznia albo słuchacza, adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają, imiona i nazwiska nauczycieli prowadzących zajęcia edukacyjne oraz tygodniowy rozkład zajęć, a w szkołach prowadzących kształcenie w formie zaocznej – semestralny rozkład zajęć. W przypadku dziennika lekcyjnego prowadzonego przez szkołę dla dorosłych, branżową szkołę II stopnia i szkołę policealną nie wpisuje się danych rodziców pełnoletnich słuchaczy;
• do dziennika zajęć w świetlicy wpisuje się plan pracy świetlicy na dany rok szkolny, imiona i nazwiska uczniów korzystających ze świetlicy, oddział, do którego uczęszczają, i tematy przeprowadzonych zajęć oraz odnotowuje się obecność uczniów na poszczególnych godzinach zajęć. Przeprowadzenie zajęć wychowawca świetlicy potwierdza podpisem, itd.

Jak widać, jest to znaczna ilość dokumentacji, która zawiera dane osobowe, a podkreślić należy, że przywołane rozporządzenie nie obejmuje wszystkich przypadków, w których dane osobowe są przetwarzane w jednostkach oświatowych, a jako kolejny przykład podać można dane związane z udzielaniem pomocy psychologiczno-pedagogicznej.

Dokumentacja pomocy psychologiczno-pedagogicznej zawiera z reguły dane szczególnej kategorii, dotyczące zdrowia, których przetwarzanie co do zasady jest zabronione przez art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.  z 2016 r. Nr 119, poz. 1), czyli RODO. Zgodnie z tym przepisem zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Zakaz ten nie ma jednak zastosowania w przypadkach wskazanych w art. 9 ust. 2 RODO, a więc wówczas, gdy spełniony jest jeden z poniższych warunków:

• osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
• przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
• przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
• przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
• przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
• przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
• przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego;
• przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
• przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

W przypadku udzielania pomocy psychologiczno-pedagogicznej można wskazać kilka z powyższych regulacji, które dają podstawy przetwarzania danych wrażliwych, w tym zgodę przedstawicieli ustawowych ucznia (lit. a), przetwarzanie w celu ochrony interesów ucznia (lit. b), czy też przetwarzanie w celu profilaktyki zdrowotnej (lit. h). Żadnej z kategorii danych osobowych jednostki oświatowe nie mogą jednak przetwarzać przez nieograniczoną ilość czasu, bowiem ma tu zastosowanie zasada adekwatności wskazana w art. 4 RODO, a więc dane powinny zostać zarchiwizowane lub usunięte natychmiast, gdy ustaje cel przetwarzania, np. uczeń opuścił już szkołę, lub upłynął czas wskazany w szkolnym jednolitym rzeczowym wykazie akt (JRWA).

Zauważyć należy, że zgodnie z art. 6 ust. 1 ustawy o narodowym zasobie archiwalnym i archiwach, organy państwowe oraz państwowe jednostki organizacyjne, organy jednostek samorządu terytorialnego oraz samorządowe jednostki organizacyjne obowiązane są zapewnić odpowiednią ewidencję, przechowywanie oraz ochronę przed uszkodzeniem, zniszczeniem bądź utratą:

• powstającej w nich dokumentacji, w sposób odzwierciedlający przebieg załatwiania i rozstrzygania spraw;
• nadsyłanej i składanej do nich dokumentacji.

Samorządową jednostką organizacyjną w rozumieniu tej regulacji jest również samorządowa szkoła, przedszkole i placówka co oznacza, że do dyrektora takiej jednostki należy zapewnienie odpowiedniej ewidencji, przechowywania oraz ochrony dokumentacji. Zgodnie z art. 6 ust. 2 przywołanej ustawy – kierownicy jednostek organizacyjnych, a zatem również dyrektorzy szkół i przedszkoli, w porozumieniu z Naczelnym Dyrektorem Archiwów Państwowych, określają:

• instrukcję kancelaryjną określającą szczegółowe zasady i tryb wykonywania czynności kancelaryjnych;
• sposób klasyfikowania i kwalifikowania dokumentacji w formie jednolitego rzeczowego wykazu akt, który określa klasy, według których w szkole grupuje się jednolicie, w systemie dziesiętnym, dokumentację oraz ustala dla dokumentacji kwalifikację archiwalną; jednolity rzeczowy wykaz akt stanowi podstawę oznaczania, rejestracji i grupowania dokumentacji w organie lub jednostce organizacyjnej w chwili wszczynania spraw oraz może być uzupełniony przez kwalifikator dokumentacji, który określa kwalifikację archiwalną jednorodnego rodzaju lub typu dokumentacji;
• instrukcję w sprawie organizacji i zakresu działania archiwum zakładowego lub składnicy akt.

Kategorie archiwalne są określone w JRWA wyglądają następująco:

• symbolem B z dodaniem cyfr arabskich (np. B2, B3, B5, B10, B20, B25, B50) oznacza się kategorię archiwalną dokumentacji o tzw. czasowym znaczeniu praktycznym, która po upływie obowiązującego okresu przechowywania podlega brakowaniu;
• symbolem BE z dodaniem cyfr arabskich (np. BE5, BE10, BE50, itp.) oznacza się kategorię archiwalną dokumentacji, która po upływie określonego dla tej dokumentacji okresu przechowywania podlega sprawdzeniu pod kątem m.in. jej dalsze przydatności. Może ona wówczas uzyskać inna kategorię archiwalną;
• symbolem Bc oznacza się kategorię archiwalną akt manipulacyjnych, posiadających krótkotrwałe znaczenie praktyczne. Akta te mogą być przekazane na makulaturę po całkowitym ich wykorzystaniu.

Sama archiwizacja dokumentacji polega w pierwszej kolejności na jej przejrzeniu pod kątem bieżącej przydatności, a następnie sprawdzenia kompletności akt spraw, uzupełnienia akt spraw o brakujące przesyłki lub pisma oraz sprawdzenie czy odnotowano zakończenie sprawy.

Archiwizacja danych osobowych wymaga doświadczenia, a ponadto jest procesem czasochłonnym. Na rynku istnieje jednak szereg firm, które oferują usługę archiwizacji, zatem zachodzi pytanie, czy jednostki oświatowe mogą skorzystać z takiej usługi do przeprowadzenia archiwizacji powstającej w nich dokumentacji?

Pierwszym krokiem ku podjęciu takiej decyzji powinna być analiza ryzyka, ustalenie, czyli ustalenie, czy wynajęcie profesjonalnej, zewnętrznej firmy archiwizacyjnej jest niezbędne. W przypadku mniejszej ilości dokumentacji można ją oczywiście przeprowadzić we własnym zakresie, natomiast archiwizacja powstających przez kilka lat dokumentów może być na tyle czasochłonnym przedsięwzięciem, że lepszym pomysłem jest skorzystanie z usług wyspecjalizowanych firm, oczywiście pod warunkiem przedsięwzięcia określonych środków ochrony danych.

Środkiem tym jest natomiast zawarcie z firmą archiwizacyjną umowy powierzenia przetwarzania danych,  na podstawie art. 28 RODO. Zgodnie z ust. 3 tej regulacji umowa powinna określać:

    1) przedmiot i czas trwania przetwarzania – czyli jakie czynności i przez jaki okres czasu będą wykonywane w ramach umowy, z których jednocześnie wynika obowiązek przetwarzania danych – w tym wypadku przedmiotem będzie przeprowadzenie czynności archiwizacji przedszkolnej dokumentacji, natomiast czas trwania tych czynności powinien zostać ustalony z firmą, która ma archiwizację przeprowadzić.

   2) charakter i cel przetwarzania – np. przetwarzanie w celu oddania dokumentacji do archiwum państwowego i brakowania dokumentacji niearchiwalnej,

    3) rodzaj danych osobowych oraz kategorie osób których dane dotyczą,

    4) obowiązki i prawa administratora.

Umowa powinna również uwzględniać szczególne wymogi jednostki oświatowej, w szczególności zastrzeżenie, że archiwizacja odbywa się wyłącznie na terenie szkoły (przedszkola czy placówki) i żadne dokumenty do czasu wykonania na nich wszystkich archiwizacyjnych czynności nie mogą przedszkola opuścić. Jest to szczególnie ważne zabezpieczenie przed utratą danych osobowych.

Warto tu zresztą zauważyć, że przepisy RODO przewidują obowiązek zawiadomienia organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych, o wszelkich przypadkach naruszenia ochrony danych. Samo pojęcie „naruszenie ochrony danych osobowych” zostało zdefiniowane w art. 4 pkt 12 RODO i oznacza „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Skutkiem naruszenia bezpieczeństwa, które uznawane jest za naruszenie danych osobowych, może być przykładowo nieuprawnione:

1) zniszczenie danych;

2) utrata danych;

3) zmodyfikowanie danych;

4) ujawnienie danych;

Konsekwencje naruszenia ochrony danych zostały natomiast przewidziane w art. 33 RODO. Zgodnie z regulacją ust. 1 tego przepisu „w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (UODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.

Przepis określa terminy realizacji obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu. Ogólną zasadą przyjętą w tym przepisie jest zatem dokonanie zgłoszenia bez zbędnej zwłoki, lecz co ważne, przepis ten przewiduje wyjątek od obowiązku zgłoszenia naruszenia ochrony danych. Zgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych nie jest wymagane w przypadku, gdy „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Oceny spełnienia tej przesłanki dokonuje dyrektor jednostki oświatowej.

Z kolei zgodnie z art. 34 RODO w przypadku, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Tu również RODO przewiduje wyjątek od obowiązku zawiadomienia, w przypadku, gdy:

• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
• administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
• wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Michał Łyszczarz – specjalista prawa oświatowego

Podstawa prawna:

1. Rozporządzenie Ministra Edukacji Narodowej z dn. 25.08.2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji – Dz.U. z 2017 r. poz. 1646, ze zm.
2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane RODO) – Dz.Urz. UE z 2016 r. L 119/1.
3. Ustawa z dn. 14.07.1983 r. o narodowym zasobie archiwalnym i archiwach – Dz.U. z 2020 r. poz. 164.