Tak jak poprzedni rok, zbliżający się rok szkolny będzie inny niż wszystkie. Wiedzą o tym i uczniowie, i nauczyciele, którym koronawirus wywrócił szkolną rutynę do góry nogami. Nastał okres, w którym dyrektorzy szkół muszą przygotować zarządzaną przez siebie placówkę do działania w nowych warunkach i przygotować się na każdy wariant pracy: tradycyjny, mieszany oraz nauczanie zdalne. MEN nieustannie wydaje wytyczne w jaki sposób zorganizować tę pracę, a my w niniejszym artykule wskażemy Państwu na co zwrócić uwagę, aby nie naruszyć przepisów o ochronie danych osobowych i jak daleko szkoła może ingerować w prywatność ucznia dla dobra publicznego.
Oświadczenia o stanie zdrowia
Szkoły przygotowują oświadczenia o stanie zdrowia, w których rodzice ucznia deklarują m.in., że dziecko nie miało kontaktu z osobą zakażoną oraz że nikt z członków najbliższej rodziny, otoczenia, nie przebywa na kwarantannie, nie przejawia widocznych oznak choroby. Stan zdrowia dziecka jest dobry, dziecko nie przejawia żadnych oznak chorobowych np.: podwyższona temperatura, katar, alergia, kaszel, biegunka, duszności, wysypka, bóle mięśni, ból gardła, utrata smaku czy węchu i inne nietypowe. Oświadczenia, które do tej pory zdarzyło mi się czytać, zawierały dużo innych danych, co nie jest prawidłowym działaniem ze strony szkoły.
Ważne: ustalenie podstawy prawnej.
Dane o stanie zdrowia, należą do szczególnej kategorii danych osobowych, których co do zasady zabrania się przetwarzać, chyba, że zostaną spełnione pewne warunki. W omawianym przypadku, podstawą prawną do przetwarzania danych o stanie zdrowia jest art. 9 ust. 2 lit. i RODO (przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego). Dodatkowym czynnikiem warunkującym legalność przetwarzania na tej podstawie, jest to, aby odpowiednie uregulowania były zawarte w prawie krajowym.
Wytyczne i zalecenia GIS są wiążącym źródłem prawa, dzięki art. 8a ust. 5 pkt 2 ustawy o Państwowej Inspekcji Sanitarnej (dodanej na mocy tarczy antykryzysowej (Dz.U. z 2020 r. poz. 374)), zgodnie z którym szef sanepidu może wydać zalecenia i wytyczne „określające sposób postępowania w trakcie realizacji zadań w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej, które może stanowić zagrożenie dla zdrowia publicznego, w szczególności wystąpienia choroby szczególnie niebezpiecznej lub wysoce zakaźnej […]”.
Wytyczne GIS dla szkół wydane we współpracy z MEN i MZ mówią, że do szkoły może uczęszczać wyłącznie uczeń bez objawów infekcji dróg oddechowych, którego domownicy nie przebywają na kwarantannie lub w izolacji w warunkach domowych, przy czym nie ustalono, w jaki sposób te wytyczne mają zostać spełnione. Oznacza to, że nie ma wskazanych kategorii danych, które szkoła może przetwarzać, aby zrealizować zalecenie.
W tej sytuacji zalecenia trzeba czytać literalnie i należy zastosować się do ogólnych zasad RODO, tj. zasady adekwatności, ograniczenia celu oraz minimalizacji danych. Szkoła może zażądać od rodzica złożenia oświadczenia o stanie zdrowia, wyłączenie w zakresie, w jakim pozwalają wytyczne, czyli: oświadczenie, że dziecko nie ma objawów infekcji dróg oddechowych a domownicy nie przebywają w kwarantannie lub w izolacji domowej.
Przykład: Oświadczam, że mój syn/córka nie przejawia objawów sugerujących infekcję dróg oddechowych oraz, że żaden z domowników nie przebywa na kwarantannie lub w izolacji w warunkach domowych. Jednocześnie zobowiązuję się do niezwłocznego powiadomienia Dyrektora w przypadku podejrzenia wystąpienia objawów COVID-19 lub przebywania na kwarantannie lub izolacji domowej przeze mnie, moje dziecko, członków rodziny lub najbliższego otoczenia.
Wszelkie pozostałe informacje dotyczące stanu zdrowia mogą być podane przez rodziców dobrowolnie, za ich zgodą, po spełnieniu obowiązku informacyjnego.
Przykład: Dobrowolnie oświadczam, że mój syn Jan Kowalski miał/nie miał kontaktu z osobą zakażoną wirusem COVID-19. Stan zdrowia dziecka jest dobry, syn nie przejawia żadnych oznak chorobowych np.: podwyższona temperatura, katar, alergia, kaszel, biegunka, duszności, wysypka, bóle mięśni, ból gardła, utrata smaku czy węchu i inne nietypowe.
Ważne: ustalenie okresu przechowywania oświadczeń
Oświadczenia o stanie zdrowia nie wchodzą w zakres dokumentów rekrutacyjnych. Są to dodatkowe oświadczenia, związane ze szczególną sytuacją. W związku z tym dyrektor, jako ADO, musi przed rozpoczęciem gromadzenia oświadczeń określić po jakim czasie dane zawarte w oświadczeniach zostaną usunięte. Przy określaniu kryterium tego okresu należy wziąć pod uwagę cel, dla którego są one zbierane oraz aktualność informacji w nich zawartych (np. we wrześniu rodzic oświadcza, że dziecko nie jest chore, a w grudniu przejawia objawy chorobowe).
Pomiar temperatury
Na temat pomiaru temperatury wypowiedział się UODO,który (w dużym uproszczeniu) stwierdził, że w przypadku dokonania pomiaru i utrwalenia wyniku tego pomiaru dochodzi do przetwarzania szczególnych kategorii danych osobowych i należy stosować przepisy RODO. Jeśli zaś pomiar jest wykonywany na bieżąco, bez zapisywania wyniku, to do przetwarzania w rozumieniu RODO nie dochodzi.
W wytycznych skierowanych do żłobków i przedszkoli, wyraźnie wskazano, że „należy uzyskać zgodę rodziców na pomiar temperatury ciała dziecka, jeśli zajdzie taka konieczność, w przypadku wystąpienia niepokojących objawów chorobowych”. Przy czym należy pamiętać, że jest to zgoda na wykonanie pomiaru, a nie na przetwarzanie danych osobowych dot. stanu zdrowia. Zgoda ta musi być uprzednia, czyli przed wykonaniem pomiaru, w sytuacji, gdy zajdzie taka konieczność. Oznacza to, że nie trzeba gromadzić zgód rodziców na pomiar temperatury na początku roku szkolnego, zgoda taka może być wyrażona nawet telefonicznie przez rodzica.
Dyrektor placówki, jako ADO, musi jednak podjąć decyzję, czy wykonane pomiary będzie odnotowywał, czy będą one służyły tylko do bieżącej kontroli. Jeśli podejmie decyzję o zapisywaniu pomiarów, należy o tym poinformować rodziców, ustalić i wskazać stosowną podstawę prawną do przetwarzania takich danych, ustalić okres obowiązywania oraz ustalić czas przechowywania tej dokumentacji.
Jednak czytając wytyczne GIS, MEN i MZ w zakresie pomiarów temperatury natrafiamy na pewną nieścisłość. Otóż, w wytycznych dla szkół rekomenduje się posiadanie termometru bezdotykowego (co najmniej 1 termometr dla szkoły) i dezynfekowanie go po użyciu w danej grupie, jednak nie wskazano, czy również potrzebna jest tu zgoda rodziców na jego użycie coraz w jakich okolicznościach go stosować (przed każdą lekcją, przy wejściu do szkoły czy tylko w sytuacji wystąpienia objawów). Wierząc w racjonalność ustawodawcy, proponujemy zastosować analogiczne do wytycznych dla żłobków i przedszkoli zasady pomiaru temperatury, do czasu aż wątpliwości nie zostaną rozwiane w kolejnej aktualizacji wytycznych.
Po podjęciu wszystkich trudnych decyzji, o których była mowa powyżej, dyrektor w porozumieniu z inspektorem ochrony danych powinien:
ustalić podstawy prawne przetwarzania danych osobowych w ramach opisanych czynności,
zweryfikować rejestr czynności przetwarzania, pod kątem ewentualnego dodania nowych czynności (gromadzie oświadczeń, pomiar temperatury),
ustalić okres przetwarzania danych zawartych w oświadczeniach, wyniki pomiarów,
dostosować klauzule informacyjne (art. 13 RODO) pod kątem dodania czynności mających przeciwdziałać rozprzestrzenianiu się COVID-19,
wprowadzić odpowiednie zabezpieczenia w oparciu o ryzyko.
Jeśli mają Państwo wątpliwości, w jaki sposób spełnić wymagania, nie naruszając przy tym przepisów o ochronie danych osobowych, zapraszamy do kontaktu.
Tak jak poprzedni rok, zbliżający się rok szkolny będzie inny niż wszystkie. Wiedzą o tym i uczniowie, i nauczyciele, którym koronawirus wywrócił szkolną rutynę do góry nogami. Nastał okres, w którym dyrektorzy szkół muszą przygotować zarządzaną przez siebie placówkę do działania w nowych warunkach i przygotować się na każdy wariant pracy: tradycyjny, mieszany oraz nauczanie zdalne. MEN nieustannie wydaje wytyczne w jaki sposób zorganizować tę pracę, a my w niniejszym artykule wskażemy Państwu na co zwrócić uwagę, aby nie naruszyć przepisów o ochronie danych osobowych i jak daleko szkoła może ingerować w prywatność ucznia dla dobra publicznego.
Oświadczenia o stanie zdrowia
Szkoły przygotowują oświadczenia o stanie zdrowia, w których rodzice ucznia deklarują m.in., że dziecko nie miało kontaktu z osobą zakażoną oraz że nikt z członków najbliższej rodziny, otoczenia, nie przebywa na kwarantannie, nie przejawia widocznych oznak choroby. Stan zdrowia dziecka jest dobry, dziecko nie przejawia żadnych oznak chorobowych np.: podwyższona temperatura, katar, alergia, kaszel, biegunka, duszności, wysypka, bóle mięśni, ból gardła, utrata smaku czy węchu i inne nietypowe. Oświadczenia, które do tej pory zdarzyło mi się czytać, zawierały dużo innych danych, co nie jest prawidłowym działaniem ze strony szkoły.
Ważne: ustalenie podstawy prawnej.
Dane o stanie zdrowia, należą do szczególnej kategorii danych osobowych, których co do zasady zabrania się przetwarzać, chyba, że zostaną spełnione pewne warunki. W omawianym przypadku, podstawą prawną do przetwarzania danych o stanie zdrowia jest art. 9 ust. 2 lit. i RODO (przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego). Dodatkowym czynnikiem warunkującym legalność przetwarzania na tej podstawie, jest to, aby odpowiednie uregulowania były zawarte w prawie krajowym.
Wytyczne i zalecenia GIS są wiążącym źródłem prawa, dzięki art. 8a ust. 5 pkt 2 ustawy o Państwowej Inspekcji Sanitarnej (dodanej na mocy tarczy antykryzysowej (Dz.U. z 2020 r. poz. 374)), zgodnie z którym szef sanepidu może wydać zalecenia i wytyczne „określające sposób postępowania w trakcie realizacji zadań w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej, które może stanowić zagrożenie dla zdrowia publicznego, w szczególności wystąpienia choroby szczególnie niebezpiecznej lub wysoce zakaźnej […]”.
Wytyczne GIS dla szkół wydane we współpracy z MEN i MZ mówią, że do szkoły może uczęszczać wyłącznie uczeń bez objawów infekcji dróg oddechowych, którego domownicy nie przebywają na kwarantannie lub w izolacji w warunkach domowych, przy czym nie ustalono, w jaki sposób te wytyczne mają zostać spełnione. Oznacza to, że nie ma wskazanych kategorii danych, które szkoła może przetwarzać, aby zrealizować zalecenie.
W tej sytuacji zalecenia trzeba czytać literalnie i należy zastosować się do ogólnych zasad RODO, tj. zasady adekwatności, ograniczenia celu oraz minimalizacji danych. Szkoła może zażądać od rodzica złożenia oświadczenia o stanie zdrowia, wyłączenie w zakresie, w jakim pozwalają wytyczne, czyli: oświadczenie, że dziecko nie ma objawów infekcji dróg oddechowych a domownicy nie przebywają w kwarantannie lub w izolacji domowej.
Wszelkie pozostałe informacje dotyczące stanu zdrowia mogą być podane przez rodziców dobrowolnie, za ich zgodą, po spełnieniu obowiązku informacyjnego.
Ważne: ustalenie okresu przechowywania oświadczeń
Oświadczenia o stanie zdrowia nie wchodzą w zakres dokumentów rekrutacyjnych. Są to dodatkowe oświadczenia, związane ze szczególną sytuacją. W związku z tym dyrektor, jako ADO, musi przed rozpoczęciem gromadzenia oświadczeń określić po jakim czasie dane zawarte w oświadczeniach zostaną usunięte. Przy określaniu kryterium tego okresu należy wziąć pod uwagę cel, dla którego są one zbierane oraz aktualność informacji w nich zawartych (np. we wrześniu rodzic oświadcza, że dziecko nie jest chore, a w grudniu przejawia objawy chorobowe).
Pomiar temperatury
Na temat pomiaru temperatury wypowiedział się UODO,który (w dużym uproszczeniu) stwierdził, że w przypadku dokonania pomiaru i utrwalenia wyniku tego pomiaru dochodzi do przetwarzania szczególnych kategorii danych osobowych i należy stosować przepisy RODO. Jeśli zaś pomiar jest wykonywany na bieżąco, bez zapisywania wyniku, to do przetwarzania w rozumieniu RODO nie dochodzi.
W wytycznych skierowanych do żłobków i przedszkoli, wyraźnie wskazano, że „należy uzyskać zgodę rodziców na pomiar temperatury ciała dziecka, jeśli zajdzie taka konieczność, w przypadku wystąpienia niepokojących objawów chorobowych”. Przy czym należy pamiętać, że jest to zgoda na wykonanie pomiaru, a nie na przetwarzanie danych osobowych dot. stanu zdrowia. Zgoda ta musi być uprzednia, czyli przed wykonaniem pomiaru, w sytuacji, gdy zajdzie taka konieczność. Oznacza to, że nie trzeba gromadzić zgód rodziców na pomiar temperatury na początku roku szkolnego, zgoda taka może być wyrażona nawet telefonicznie przez rodzica.
Dyrektor placówki, jako ADO, musi jednak podjąć decyzję, czy wykonane pomiary będzie odnotowywał, czy będą one służyły tylko do bieżącej kontroli. Jeśli podejmie decyzję o zapisywaniu pomiarów, należy o tym poinformować rodziców, ustalić i wskazać stosowną podstawę prawną do przetwarzania takich danych, ustalić okres obowiązywania oraz ustalić czas przechowywania tej dokumentacji.
Jednak czytając wytyczne GIS, MEN i MZ w zakresie pomiarów temperatury natrafiamy na pewną nieścisłość. Otóż, w wytycznych dla szkół rekomenduje się posiadanie termometru bezdotykowego (co najmniej 1 termometr dla szkoły) i dezynfekowanie go po użyciu w danej grupie, jednak nie wskazano, czy również potrzebna jest tu zgoda rodziców na jego użycie coraz w jakich okolicznościach go stosować (przed każdą lekcją, przy wejściu do szkoły czy tylko w sytuacji wystąpienia objawów). Wierząc w racjonalność ustawodawcy, proponujemy zastosować analogiczne do wytycznych dla żłobków i przedszkoli zasady pomiaru temperatury, do czasu aż wątpliwości nie zostaną rozwiane w kolejnej aktualizacji wytycznych.
Po podjęciu wszystkich trudnych decyzji, o których była mowa powyżej, dyrektor w porozumieniu z inspektorem ochrony danych powinien:
Jeśli mają Państwo wątpliwości, w jaki sposób spełnić wymagania, nie naruszając przy tym przepisów o ochronie danych osobowych, zapraszamy do kontaktu.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie