Umowa o świadczenie usług przedszkolnych - jakich danych nie trzeba podawać?

Umowy z przedszkolem - jakich danych nie trzeba podawać

Administrator wskazując zakres danych osobowych, które chce pozyskać w trakcie rekrutacji musi przeanalizować, czy zakres ten wynika z przepisów prawa, czy też jest związany z realizacją interesu, który uzasadnia przetwarzanie konkretnych danych i nie narusza praw osób, których dane dotyczą. Wówczas będzie miał możliwość wskazania właściwej przesłanki legalizującej przetwarzanie danych osobowych.

Polecamy: Seria poradników z prawa pracy

Rodzice przyjętych dzieci, składają pisemne potwierdzenie woli przyjęcia dziecka do przedszkola, zawierając umowy. Do UODO docierają pytania rodziców dotyczące zakresu pozyskiwanych danych w ramach umów o świadczenie usług przedszkolnych zarówno przez podmioty publiczne jak i niepubliczne. Zainteresowani sygnalizują zbieranie nie tylko danych koniecznych do zawarcia umowy jak imię i nazwisko rodziców dziecka, adres ich zamieszkania, ale i  takich danych jak: numer PESEL rodziców, miejsce zatrudnienia rodziców, informacje o stanie zdrowia dziecka. W tym wypadku zbieranie takich danych stanowi naruszenie nie tylko Prawa oświatowego, ale i zasad (m.in. legalizmu, proporcjonalności i minimalizacji), o których mowa w art. 5 RODO.

Informacja dotycząca zawodu rodziców oraz miejsca ich pracy należy do tzw. zwykłych danych osobowych, których przetwarzanie jest możliwe, gdy spełniona jest co najmniej jedna z przesłanek określonych art. 6 ust. 1 RODO. Nie jest jednak jasne, w jakim celu przedszkole przetwarza powyższe dane, które związane są z życiem zawodowym rodziców dziecka.

Dlatego tak ważne jest odpowiednie informowanie rodziców i uczniów o tym, kto jest ich administratorem danych, na jakiej podstawie dane są przetwarzane, w jakim celu i przez jaki okres.

Przykładowo, zgodnie z  §  41 ust. 1 rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 31 grudnia 2002 r. w sprawie bezpieczeństwa i higieny w publicznych i niepublicznych szkołach i placówkach, o każdym wypadku zawiadamia się niezwłocznie m.in. rodziców (opiekunów) poszkodowanego. Dla wypełnienia powyższego obowiązku, przetwarzanie informacji o miejscu pracy rodzica może być niezbędne, w przypadku braku możliwości innej formy kontaktu z rodzicem.

Informacja na temat porodu, przebytych chorób, hospitalizacji oraz stanu psychicznego i emocjonalnego dziecka jest związana z przetwarzaniem szczególnej kategorii danych (dotyczących zdrowia), określonych w art. 9 ust. 1 RODO, których przetwarzanie jest co do zasady zabronione. Ogólne rozporządzenie dopuszcza przetwarzanie szczególnych kategorii danych tylko i wyłącznie, jeżeli zostanie spełniona jedna z przesłanek wskazanych w art. 9 ust. 2 RODO.

Niedopuszczalne jest przetwarzanie danych osobowych dzieci i rodziców dotyczących ich zdrowia, które nie wynikają wprost w przepisów prawa, chyba że rodzic bądź opiekun wyraził na to świadomą, dobrowolną i możliwą do wycofania zgodę. Przedszkole nie może pozyskiwać wyżej wymienionych danych, ponieważ nie są one warunkiem koniecznym przy rekrutacji oraz nie są związane z realizacją obowiązku wychowania i sprawowania opieki nad dzieckiem.

Publiczne/niepubliczne. Czy forma placówki ma znaczenie?

Przedszkola mogą być zarówno podmiotami publicznymi, jak i niepublicznymi. Oznacza to, że przedszkola niepubliczne, tak samo jak placówki publiczne, realizują prawa dzieci do wychowania i opieki, odpowiednich do ich wieku i osiągniętego rozwoju. Dlatego też, w placówkach niepublicznych, tak jak w publicznych, podstawą legalizującą przetwarzanie danych osobowych m.in. dzieci, ich rodziców bądź opiekunów jest wypełnienie obowiązku prawnego ciążącego na administratorze, czyli przesłanka określona w art. 6 ust. 1 lit. c RODO.

Przedszkola niepubliczne mogą oprócz realizowania ww. obowiązków – w takim zakresie jak szkoły publiczne – realizować inne, bądź w innym zakresie, dodatkowe zadania, które nie wynikają z obowiązku zawartego wprost w przepisach prawa. W takim przypadku podczas rekrutacji podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora, czyli przesłanka określona w art. 6 ust. 1 lit. f RODO. Ogólne rozporządzenie o ochronie danych wskazuje jednak, że interes ten nie może mieć nadrzędnego charakteru wobec podstawowych praw i wolności osoby, w szczególności, jeżeli jest ona dzieckiem. Dlatego też administrator danych osobowych w przedszkolu niepublicznym musi poddać analizie czy dane, które chce pozyskać nie będą naruszały podstawowych praw i wolności dziecka, a także jego rodziców bądź opiekunów prawnych.

Polecamy serwis: Edukacja