UODO: Szkoła upomniana za udostępnienie danych osobowych w BIP

Udostępnianie dokumentów w BIP wymaga dokonania pseudonimizacji w celu uniemożliwienia zidentyfikowania danych osobowych osób, których te dokumenty dotyczą – uznał Prezes UODO w jednej z niedawnych decyzji.

Sprawa dotyczyła skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącej w zakresie jej imienia, nazwiska poddanego pseudonimizacji poprzez jego skrócenie oraz udostępnienie tych danych w BIP szkoły. Zarzuty skargi dotyczyły również danych małoletniego dziecka skarżącej, w tym danych obejmujących stan jego zdrowia.

Dyrektor szkoły na podstawie wniosku o dostęp do informacji publicznej udostępniała na stronie internetowej szkoły wymagane dokumenty, w tym protokoły z kontroli przeprowadzonych w ciągu ostatnich 5 lat. Udostępniony w ten sposób dokument (został poddany anonimizacji) był przedmiotem postępowania przed Prezesem UODO.

W treści opublikowanego w BIP szkoły protokołu z przeprowadzonej w placówce kontroli ujawniono: imię skarżącej, początkową część jej nazwiska oraz informację, że jest matką ucznia. Wskazano także imię jej dziecka i podano, do której placówki oświatowej uczęszcza i w której klasie się uczy. Co więcej, w treści protokołu udostępniono uwagę o nieharmonijnym rozwoju niektórych funkcji poznawczych dziecka.

Po wszczęciu postępowania administracyjnego ww. protokół usunięto z BIP szkoły, a placówka wyjaśniła, że błędy w anonimizacji są wynikiem omyłki i braku doświadczenia w tym zakresie.

Czy tak udostępnione dane stanowią dane osobowe?

Prezes UODO przypomniał, że zgodnie z RODO „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Osoba fizyczna możliwa do zidentyfikowana to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Nadto, motyw 26 RODO stanowi, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania trzeba uwzględnić technologię dostępną w momencie przetwarzania danych.

Pseudonimizacja a identyfikacja

Polski organ nadzorczy tłumaczy, że dane osobowe poddane pseudonimizacji, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

W omawianej sprawie z treści opublikowanego w BIP protokołu możliwy był do ustalenia zakres danych dotyczący skarżącej oraz jej małoletniego dziecka. UODO ocenił, że zakres tych danych można przypisać odpowiednio tym osobom. Dane obejmujące imię skarżącej w połączeniu z nazwą szkoły i klasy, do której uczęszcza jej dziecko, już samodzielnie pozwalają przypisać spseudonimizowane dane osobie fizycznej (tj. skarżącej). Analogiczna sytuacja ma miejsce w przypadku małoletniego ucznia szkoły.

Informacja publiczna a RODO

Bez wątpienia szkoła jest zobligowana do udostępniania w BIP informacji publicznej w postaci np. dokumentacji przebiegu i efektów kontroli. Jednakże przy realizacji tego obowiązku administrator danych osobowych musi przestrzegać zasad dotyczących ich ochrony.

Przetwarzanie danych osobowych musi odbywać się zgodnie z zasadami określonymi w art. 5 ust. 1 RODO, tj. zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, a także zgodnie z zasadą minimalizacji danych.

UODO uznał, że szkoła publikując protokół kontroli na BIP, naruszyła właśnie zasadę minimalizacji danych, bowiem udostępnione dane osobowe nie były adekwatne, stosowne ani ograniczone do celu.

W konsekwencji naruszono również zasadę zgodności z prawem przetwarzania danych osobowych.

Werdykt UODO

Organ nadzorczy udzielił upomnienia szkole w zakresie stwierdzonych naruszeń, nawet pomimo tego, że ww. dokument został usunięty z BIP.

Z omówieniem decyzji polskiego organu nadzorczego można zapoznać się w najnowszym biuletynie UODO – link do usługi: uodo.gov.pl

Ten serwis używa cookies i podobnych technologii, brak zmiany ustawienia przeglądarki oznacza zgodę na to.

UODO: Szkoła upomniana za udostępnienie danych osobowych w BIP

Popularne

Stypendia dla uczniów przyznaje się w drodze decyzji administracyjnej

MSWiA zapowiada pieniądze dla szkół z klasami mundurowymi

Zaniedbania dyrektora w zakresie BHP nie uzasadniają jego natychmiastowego odwołania

Wyzwania dla kierowniczej kadry oświaty w roku szkolnym 2024/2025 – ruszyło badanie „LEXOMETR Oświatowy”

Szkoła międzypokoleniowa - startuje nowy projekt i konkurs dla szkół

Ewidencja gruntów i budynków. Będzie nowelizacja rozporządzenia

Niedożywienie wśród chorych: jak opiekunowie i specjalistyczna żywność wspierają walkę o zdrowie

Współwłasność pojazdu a obowiązek zawiadomienia o jego zbyciu. WSA wyjaśnia

Śmierć bliskiej osoby a prawne formalności

Od drobiazgów do rewolucji: Co powstrzymuje Polaków przed większymi zmianami?

„Kolejna wielka powódź - lekcje odrobione i nieodrobione” - podsumowanie VI Międzynarodowego Kongresu Miasto-Woda-Jakość życia