STAN FAKTYCZNY
Urząd Ochrony Danych Osobowych skontrolował jeden z Zespołów Szkół Ogólnokształcących (dalej jako ZSO) w zakresie ochrony danych osobowych uczniów w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 badań ankietowych, dotyczących ich sytuacji osobistej, przy użyciu ankiety pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”.
Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych, ZSO, jako administrator, naruszył przepisy o ochronie danych osobowych poprzez przetwarzanie bez podstawy prawnej danych osobowych uczniów w związku z przeprowadzeniem ww. ankiety.
Dyrektor ZSO w związku z zawiadomieniem otrzymanym od PUODO w przedmiocie wszczęcia postępowania złożył wyjaśnienia, w których wskazał m.in., że okolicznością, którą powinien wziąć pod uwagę organ nadzorczy w związku z kontrolą jest fakt, iż przedmiotowa ankieta była przeprowadzana za kadencji poprzedniego Dyrektora. Ponadto, Dyrektor ZSO podniósł, że z uwagi na brak ciągłości zarządzania dokumentacją i procedurami w ZSO, w tym także dotyczącymi ochrony danych osobowych, nie zostały mu przekazane dokumenty wewnętrzne ZSO dotyczące ochrony danych osobowych w tej placówce oraz nie został poinformowany o osobie pełniącej obowiązki Inspektora Ochrony Danych i jej danych kontaktowych.
Dyrektor ZSO wskazał także, iż „został zmuszony” do tworzenia zasad dotyczących należytej ochrony danych w ZSO od początku, bez należytego wsparcia ze strony Inspektora Ochrony danych, który nie skontaktował się z dyrekcją ZSO aż do zaistnienia incydentu objętego przedmiotową kontrolą, przez co Dyrektor ZSO podejmował działania na podstawie wiedzy i doświadczenia swojego personelu. Ponadto, po przekazaniu Dyrektorowi ZSO przez szkolnego pedagoga ankiety do wglądu, Dyrektor ZSO miał zaznaczyć w rozmowie z ww. pedagogiem, że ankiety muszą być dobrowolne i powinny być anonimowe tj. uczeń może je wypełniać lub ich nie wypełniać, a także wypełniać tylko w części, w której uzna to za stosowne. Dyrektor ZSO przyznał w piśmie, że pedagog szkolny w tamtym czasie nie skonsultował treści ankiety z Inspektorem Ochrony Danych ZSO, gdyż ten pełnił swoje obowiązki nienależycie, tj. nie kontaktował się podczas pełnienia swoich obowiązków z dyrekcją ZSO. Ponadto, Dyrektor ZSO wskazał, że w każdej z klas, w której ankiety były rozdawane uczniom, miały być wydane zalecenia, że są to ankiety dobrowolne i mogą być anonimowe. Według twierdzenia Dyrektora ZSO, pomimo kierowania ww. pouczeń przez większość wychowawców, część uczniów wskazała w ankiecie swoje imiona i nazwiska lub dane osobowe ich rodziców lub przedstawicieli ustawowych. Do swych wyjaśnień Dyrektor ZSO dołączył dokumentację wskazującą na to, że ZSO posiada wdrożone uregulowania w zakresie ochrony danych osobowych tj. chociażby Polityka Bezpieczeństwa Danych Osobowych.
PUODO zaznaczył, że w toku kontroli ustalono, że w ZSO było przeprowadzone wśród jego uczniów badanie z wykorzystaniem wyłącznie pisemnego formularza ankietowego pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia” (dalej jako Ankieta). W ramach przeprowadzonej ankiety, doszło do przetwarzania danych osobowych uczniów ZSO, w tym także danych osób niepełnoletnich, przede wszystkim w następującym zakresie: imię i nazwisko, oznaczenie klasy, określenie opiekunów prawnych (rodziców), informacja o stanie rodziny (pełna, niepełna), a także informacje o śmierci opiekuna prawnego (rodzica), separacji opiekunów prawnych (rodziców), ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia oraz nałogach opiekunów prawnych (rodziców), sytuacji mieszkaniowej oraz o fakcie otrzymania albo nieotrzymania pomocy finansowej. Przetwarzanie danych uczniów odbywało się w zakresie ich zbierania, przechowywania oraz usunięcia.
W toku kontroli ustalono również, że ankietę przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę, do której uczęszczają. Wszystkie zwrócone Dyrektorowi ZSO egzemplarze ankiety zostały komisyjnie zniszczone w październiku 2019 r. Jak wynika z ustaleń kontroli, dane osobowe zawarte w ankietach nie zostały wprowadzone do elektronicznych systemów telekomunikacyjnych, nie zostały też utrwalone na nośnikach danych elektronicznych ani na innych nośnikach informacji, w tym w formie papierowej. Po zebraniu ankiet, wychowawcy nie sporządzali ich skanów, kopii papierowych, ani nie sporządzali innych, dodatkowych dokumentów, zawierających dane osobowe, dotyczące ankiet. Na dzień rozpoczęcia kontroli dane osobowe uczniów pozyskane w związku z przeprowadzeniem ankiet nie były już przetwarzane przez ZSO.
W związku z powyższymi ustaleniami stwierdzić należy, że ZSO, przeprowadzając ankietę wśród uczniów, naruszyło zasadę przetwarzania danych zgodnie z prawem, wyrażoną w art. 5 ust. 1 lit. a RODO, w myśl którego dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Powyższa zasada została rozwinięta w treści art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie w jakim – spełniony jest warunek, iż przetwarzanie to jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
PUODO stwierdził zatem, iż przetwarzanie danych osobowych uczniów ZSO odbywało się bez podstawy prawnej wynikającej z przepisów obowiązujących aktów normatywnych.
Ponadto, w decyzji PUODO wskazał, że ZSO jako podmiot publiczny może przetwarzać dane osobowe w zakresie wykonywanych przez niego zadań nałożonych ustawami, wyłącznie w zgodzie z art. 5 ust. 1 lit. a oraz art. 6 ust. 1 lit. c RODO. Z kolei w myśl art. 30a ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe, szkoły przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.
Przeprowadzenie ankiety, które pociągnęło za sobą przetwarzanie danych uczniów przez ZSO nie stanowiło wykonania ciążącego na tej placówce oświatowej obowiązku lub zadania wynikającego z ustawy i dlatego należy uznać, iż doszło także do naruszenia art. 6 ust. 1 lit. c RODO
PUODO wskazał również, iż fakt zmian personalnych w dyrekcji ZSO, na które powołał się Dyrektor ZSO, nie ma żadnego znaczenia dla odpowiedzialności ZSO jako administratora danych osobowych w świetle rozporządzenia RODO. Administrator danych, którym jest ZSO reprezentowany przez Dyrektora, jest obowiązany zapewnić ciągłość wykonywania obowiązków wynikających z RODO bez względu na zmiany personalne na ww. stanowisku. Wyjaśnienia Dyrektora ZSO w tym względzie, w tym powoływanie się, między innymi, na okoliczności nieprzekazania mu dokumentacji, mogą mieć znaczenie, co najwyżej w sferze jego odpowiedzialności wynikającej ze stosunku pracy łączącego go z organem samorządowym będącym organizatorem ZSO, nie zaś w sferze odpowiedzialności wynikającej z przepisów o ochronie danych osobowych.
CO WPŁYNĘŁO NA BRAK KARY FINANSOWEJ?
PUODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie ZSO upomnienia. Za okoliczność łagodzącą, która za tym przemawia, PUODO uznał, że ww. naruszenie miało charakter niezamierzony. ZSO niezwłocznie podjął szereg działań naprawczych takich m. in jak: zniszczenie formularzy ankiety lub jej nieprzeprowadzenie przez niektórych nauczycieli, zorganizowanie szkolenia pracowników ZSO w celu podniesienia ich świadomości w zakresie kwestii ochrony danych osobowych, a także dokonanie analizy zdarzenia, jakim było przeprowadzenie ankiety wśród uczniów, ze względu na wystąpienie ryzyka naruszenia praw i wolności osób fizycznych. Ponadto, na podstawie okoliczności przedmiotowej sprawy brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły na skutek zdarzenia szkodę.
PUODO nie otrzymał także innych sygnałów, aby ze strony ZSO miały miejsce podobne zachowania skutkujące naruszeniami. Zdarzenie dotyczy więc jednorazowego incydentu, nie zaś systematycznego działania lub zaniechania, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane przez ZSO.
Podsumowując, wskazać należy, że należyta współpraca z organem ze strony Dyrektora ZSO, podjęcie działań naprawczych oraz wdrożenia środków mitygujących ryzyko naruszenia praw i wolności podmiotów danych – uczniów ZSO, miała wpływ na zastosowanie w tym przypadku przez organ jedynie upomnienia i odstąpienie od wymierzenia sankcji pieniężnej, o której mowa w przepisach RODO.
opracował adw. Piotr Stankiewicz