Rodzic dzwoni w piątek po południu. Jest zdenerwowany, bo zdjęcie jego córki z przedszkolnego balu karnawałowego pojawiło się właśnie na profilu placówki na Facebooku. Nikt go o zgodę nie pytał. Tego samego popołudnia pomoc nauczyciela przewraca do góry nogami szatnię, bo zgubiła pendrive z listą całej grupy: imiona, nazwiska, alergie, numery telefonów do rodziców. Dwie różne sytuacje, ten sam problem. Dane dzieci wymknęły się spod kontroli, a placówka często nawet nie wie, w którym momencie.

RODO w przedszkolu to nie jest segregator, który stoi na półce w gabinecie dyrektora i kurzy się między jedną a drugą kontrolą. To zbiór decyzji, które ktoś podejmuje codziennie. Kto może zobaczyć listę dzieci. Czy zdjęcie z wycieczki trafia na stronę. Gdzie leży kopia dokumentów rekrutacyjnych. Im młodsze dane, tym większa odpowiedzialność, bo mówimy o najbardziej wrażliwej grupie, jaką placówka w ogóle obsługuje.

RODO w przedszkolu. Kto tak naprawdę odpowiada za dane dzieci

W języku RODO przedszkole jest administratorem danych. To znaczy, że to ono decyduje, po co i jak przetwarza informacje o dzieciach i rodzicach, i to ono ponosi za to odpowiedzialność. Nie dostawca e-dziennika, nie firma od strony internetowej, nie nauczyciel z prywatnego telefonu. Placówka.

W przypadku przedszkola publicznego administratorem jest zwykle samo przedszkole reprezentowane przez dyrektora, działające w ramach zadań nałożonych przez gminę. W placówkach niepublicznych rolę tę pełni podmiot prowadzący. Brzmi formalnie, ale ma to bardzo praktyczny skutek: jeśli wydarzy się wyciek, to dyrektor będzie tłumaczył się przed rodzicami i przed Urzędem Ochrony Danych Osobowych, a nie zewnętrzny informatyk.

Jakie dane dzieci przewijają się przez przedszkole

Większość kadry nie zdaje sobie sprawy, jak dużo informacji przechodzi przez placówkę w ciągu jednego dnia. Warto to rozpisać, bo dopiero wtedy widać skalę.

Dane zwykłe to imię i nazwisko dziecka, adres zamieszkania, PESEL, dane rodziców i opiekunów, numery telefonów, adresy mailowe, informacje o tym, kto jest upoważniony do odbioru.

Osobna kategoria, dużo bardziej wrażliwa, to dane dotyczące zdrowia. Alergie pokarmowe, diety, orzeczenia o potrzebie kształcenia specjalnego, informacje o lekach, czasem zaświadczenia od specjalistów. RODO traktuje te dane szczególnie i wymaga wobec nich wyraźnie wyższej ostrożności. To nie jest ten sam poziom ryzyka co lista obecności.

Im węższy krąg osób z dostępem do danych o zdrowiu, tym mniejsze ryzyko. To prosta zasada, która rozwiązuje połowę problemów.

Kiedy potrzebna jest zgoda, a kiedy nie

Większość pytań o RODO w przedszkolu sprowadza się do jednej rzeczy: czy na daną czynność trzeba mieć zgodę rodzica. Tu placówki mylą się najczęściej, i to w obie strony. Albo zbierają zgodę na coś, na co zgoda w ogóle nie jest potrzebna, albo publikują dane bez zgody tam, gdzie była konieczna.

RODO daje kilka podstaw przetwarzania. Dla przedszkola najważniejsze są trzy. Pierwsza to obowiązek prawny, na przykład prowadzenie dokumentacji przebiegu nauczania czy sprawozdawczość do organu prowadzącego. Druga to realizacja zadania w interesie publicznym, czyli sama opieka i wychowanie. Trzecia to zgoda, którą wykorzystujemy tam, gdzie placówka chce coś zrobić ponad swoje podstawowe zadania.

Z tego płynie konkretny wniosek. Na zapisanie dziecka do przedszkola i prowadzenie jego dokumentacji nie potrzebujesz zgody rodzica, bo działasz na podstawie przepisów. Ale na opublikowanie zdjęcia dziecka na stronie internetowej albo na Facebooku już tak, bo to nie jest niezbędne do opieki nad dzieckiem. Najczęstszy błąd polega na wrzucaniu wszystkiego do jednego worka i odbieraniu od rodzica jednej zbiorczej zgody na start roku. To nie działa.

Zgody rodziców w praktyce. Zdjęcia, wizerunek, strona i social media

Zdjęcia to temat, który wywołuje najwięcej napięć. Uśmiechnięte dzieci na balu, na wycieczce, przy świątecznym przedstawieniu. Świetny materiał na profil placówki i jednocześnie pole minowe.

Publikacja wizerunku dziecka wymaga zgody rodzica lub opiekuna. I tu pojawia się rzecz, o której łatwo zapomnieć: zgody powinny być rozdzielne. Co to znaczy w praktyce? Rodzic ma móc zgodzić się na zdjęcie na zamkniętej tablicy w przedszkolu, ale odmówić publikacji w internecie. Albo zgodzić się na stronę placówki, a nie zgodzić na Facebooka. Jedna kratka „wyrażam zgodę na wykorzystanie wizerunku” obejmująca wszystko naraz jest słaba i łatwo ją podważyć.

Dobra zgoda na przetwarzanie danych osobowych dziecka jest konkretna. Mówi, czyje dane, w jakim celu, gdzie zostaną opublikowane, jak długo i że można ją w każdej chwili wycofać. Jeśli szukasz wzoru zgody rodzica, potraktuj go jako punkt wyjścia, a nie gotowca do skopiowania w ciemno. Dopasuj go do tego, co Twoja placówka faktycznie robi ze zdjęciami, bo zgoda ma odpowiadać rzeczywistości, a nie odwrotnie.

Jeszcze jedna pułapka. Jeśli na zdjęciu grupowym widać dziesięcioro dzieci, a zgodę na publikację dało ośmioro rodziców, to nie możesz opublikować tego zdjęcia bez zasłonięcia lub wykadrowania dwójki pozostałych. W praktyce łatwiej wybierać kadry, na których widać tylko dzieci z odpowiednią zgodą.

Monitoring w przedszkolu. Co wolno, a czego nie

Kamery w placówkach oświatowych są dopuszczalne, ale nie wszędzie i nie bez warunków. Monitoring w przedszkolu ma służyć bezpieczeństwu, a nie podglądaniu, i przepisy dość wyraźnie to rozgraniczają.

Kamery zwykle umieszcza się przy wejściach, na korytarzach, przy szatniach od strony wejścia, na terenie wokół budynku i placu zabaw. Są też miejsca, w których monitoringu być nie powinno, bo naruszałby godność i prywatność. To przede wszystkim sale zajęć w trakcie normalnej pracy z dziećmi, łazienki, przebieralnie i pomieszczenia socjalne personelu. Jeśli ktoś proponuje kamerę nad leżakami w sali, to znak, że warto zapytać inspektora ochrony danych, zanim cokolwiek się zamontuje.

Reguły, o których placówki zapominają najczęściej:

• Trzeba oznaczyć teren objęty monitoringiem, czytelnie i przed wejściem w jego zasięg.
• Rodzice i personel muszą zostać poinformowani o tym, że monitoring działa, w jakim celu i kto ma dostęp do nagrań.
• Nagrania przechowuje się tylko przez określony czas, w praktyce zwykle do trzech miesięcy, chyba że stały się dowodem w sprawie. Po tym czasie należy je usuwać.
• Dostęp do podglądu i nagrań ma wąskie grono osób, a nie każdy, kto akurat siedzi w sekretariacie.

Monitoring w przedszkolu publicznym i niepublicznym rządzi się podobną logiką, podobnie jak monitoring w żłobku. Różnice bywają w szczegółach proceduralnych, dlatego zasady działania kamer najlepiej spisać w wewnętrznym dokumencie i raz na jakiś czas do niego wrócić, zamiast trzymać je w głowie dyrektora.

Bezpieczeństwo danych to bezpieczeństwo IT placówki

Można mieć wzorową dokumentację i komplet zgód, a i tak stracić dane, bo cała ochrona kończy się tam, gdzie zaczyna się sprzęt. RODO mówi o tym wprost w artykule 32: administrator ma stosować odpowiednie środki techniczne i organizacyjne. Brzmi abstrakcyjnie, więc przełóżmy to na codzienność przedszkola.

E-dziennik i systemy do zarządzania placówką. Każdy nauczyciel powinien mieć własne konto, a nie wspólny login przyklejony karteczką do monitora. Po odejściu pracownika dostęp trzeba odebrać tego samego dnia, nie po miesiącu.

Skrzynki mailowe i dyski. Listy dzieci, dane o zdrowiu i dokumenty rekrutacyjne nie powinny krążyć po prywatnych mailach i prywatnych telefonach kadry. To najczęstsza droga, którą dane wychodzą z placówki bez niczyjej złej woli.

Nośniki. Pendrive z listą grupy to wygoda, która kończy się tak jak w scenariuszu z początku tego tekstu. Jeśli dane muszą być przenoszone, powinny być szyfrowane.

Kopie zapasowe. Awaria dysku albo atak na system to nie abstrakcja. Bez działającej kopii zapasowej placówka traci dokumentację, do której prowadzenia jest prawnie zobowiązana. Kopia, której nikt nigdy nie próbował odtworzyć, to często kopia, która nie istnieje.

Umowy z dostawcami. Tu pojawia się rzecz, którą łatwo przeoczyć. Firma od e-dziennika, hostingu strony czy obsługi IT przetwarza dane dzieci w imieniu placówki. To wymaga umowy powierzenia przetwarzania danych. Bez niej przekazujesz dane na zewnątrz bez podstawy, a odpowiedzialność i tak zostaje po Twojej stronie. Warto sprawdzić, czy taka umowa jest podpisana z każdym dostawcą, który widzi dane dzieci.

To właśnie ten obszar, czyli dostępy, szyfrowanie, kopie zapasowe i porządek w umowach, jest w stanie ogarnąć zewnętrzna obsługa informatyczna. Część prawną zostaw inspektorowi ochrony danych, a stronę techniczną komuś, kto na co dzień zajmuje się bezpieczeństwem systemów.

Czy przedszkole musi mieć inspektora ochrony danych

Krótko: przedszkole publiczne tak. RODO nakłada obowiązek wyznaczenia inspektora ochrony danych na organy i podmioty publiczne, a placówki publiczne się w tym mieszczą. W przypadku przedszkoli niepublicznych obowiązek zależy od skali i charakteru przetwarzania, ale biorąc pod uwagę, że mówimy o danych dzieci, w tym danych o zdrowiu, posiadanie IOD jest w praktyce rozsądnym standardem nawet tam, gdzie nie jest bezwzględnie wymagane.

Inspektor nie jest od tego, żeby raz podpisać dokumenty i zniknąć. Doradza, szkoli kadrę, pomaga reagować na incydenty i jest punktem kontaktu dla rodziców oraz dla UODO. Jeśli placówka traktuje IOD jak formalność, to znaczy, że płaci za coś, z czego nie korzysta.

Co się dzieje, gdy coś pójdzie nie tak

Naruszenie ochrony danych w placówce oświatowej zwykle nie wygląda jak włamanie z filmu. Wygląda jak zgubiony pendrive, jak mail z listą dzieci wysłany do wszystkich rodziców w polu „do” zamiast „ukrytej kopii”, jak zdjęcia opublikowane bez zgody, jak wspólne hasło, które zna pół kadry.

Jeśli dojdzie do naruszenia, administrator ma obowiązek je ocenić i, jeśli wiąże się z ryzykiem dla osób, zgłosić do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin. W części przypadków trzeba też powiadomić rodziców. Dlatego placówka powinna mieć prosty wewnętrzny tryb postępowania: kto komu zgłasza incydent, kto podejmuje decyzję, gdzie zapisujemy zdarzenie. UODO nakładał już kary na placówki oświatowe za zaniedbania w ochronie danych, a niezależnie od finansów najszybciej traci się zaufanie rodziców.

Dokumentacja i checklista, którą warto mieć

Dokumentacja to część RODO w przedszkolu, która budzi najwięcej oporu, bo kojarzy się z biurokracją. Nie chodzi jednak o to, żeby produkować papier dla papieru. Chodzi o to, żeby w razie pytania ze strony rodzica albo kontroli dało się pokazać, że placówka panuje nad danymi. Minimum, które powinno być na miejscu:

• polityka ochrony danych opisująca, jak placówka przetwarza dane,
• rejestr czynności przetwarzania, czyli spis tego, jakie dane, po co i na jakiej podstawie są przetwarzane,
• klauzule informacyjne dla rodziców,
• wzory zgód, w tym rozdzielne zgody na wizerunek,
• upoważnienia do przetwarzania danych dla pracowników,
• umowy powierzenia z dostawcami IT, e-dziennika i hostingu,
• zasady działania monitoringu,
• procedura zgłaszania naruszeń.

Jeśli któregoś z tych elementów brakuje, to dobry punkt, od którego zacząć porządki, zamiast pisać wszystko naraz w ostatnim tygodniu przed kontrolą.

Od czego zacząć

Ochrona danych osobowych w przedszkolu nie zaczyna się od grubego regulaminu. RODO w przedszkolu sprowadza się w praktyce do kilku prostych pytań. Kto ma dostęp do listy dzieci i danych o ich zdrowiu. Czy zdjęcia trafiają do sieci tylko za zgodą. Gdzie leżą kopie dokumentów i czy ktoś sprawdził, że da się je odtworzyć. Czy z każdym dostawcą, który widzi dane dzieci, jest podpisana umowa powierzenia.

Jeśli przy którymś z tych pytań pojawia się wahanie, to znak, że warto przyjrzeć się placówce od strony technicznej. Sprawdź, czy dane dzieci w Twoim przedszkolu są naprawdę bezpieczne, i umów audyt IT, zanim zrobi to za Ciebie przypadek.

Zobacz też: Rozporządzenie DORA | EU AI ACT a poufne dane

Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. Szczegółowe rozwiązania w zakresie ochrony danych w placówce warto skonsultować z inspektorem ochrony danych oraz w oparciu o aktualne wytyczne Urzędu Ochrony Danych Osobowych.