Статии

Полският орган по защита на личните данни наложи наказание „порицание“ във връзка с обработването на лични данни на ученици

Тази статия е полезна за училищата от гледна точка на извършването на самоинициативни кампании, които не съответстват на закона. Една такава инициатива довежда и до установяване на нарушение на Регламент (ЕС) 2016/679.

През учебната 2019/2020 г. полско учлилище е организирало проучване, под наименованието „Диагнозата на ученическия дом и училищно положение“. Целта на това проучване била да се идентифицират учениците, които се нуждаят от психологическа подкрепа. Проучването се провеждало от учителите. 

В хода на провежданото проучване, училището обработвало на всички ученици, включително и на непълнолетните, данни като име и презиме, клас, данни за законни представители (родители), семеен статус (с един родител или с има двама родители), тяхното образование и професионално положение, брой на членовете в домакинството, финансово положение и др. Обработването на тези данни се състояло в тяхното събиране, съхраняване и унищожаване.   

Във връзка с проведеното изследване в училището е извършена инспекция от Органа по защита на личните данни, в хода на която е установено, че всички копия на документи, както и всички събрани данни на учениците не са били въведени в електронни телекомуникационни системи, нито са били качени на електронни носители на данни или други носители на данни, включително и хартиени. 

Съгласно доказателствата, събраните в хода на инскпекцията, проучването в училището е проведено по начин, който изключва възможността от неправомерно разкриване на данни, събрани по време на самото проучване.

Според учениците проведеното проучване нарушава принципа за законосъобразно обработване на данни, според който личните данни трябва да се обработват законосъобразно, честно и по ясен начин за субекта на данните. Принципът за законосъобразно обработване на данни е уреден в чл. 6 от Общия регламент за защита на личните данни. В ал. 1, б. „в“ на цитираната разпоредба е посочено, че обработването е законосъобразно, само ако и доколкото е необходимо спазването на законово задължение, което се прилага спрямо администратора. 

Училището, като публично лице, трябва да обработва лични данни само в при изпълнение на задълженията си, въведени от закона. В случая провеждането на проучването не е било възложено от закона и следователно не е била налице законова основа за обработване на личните данни на учениците. Председателят на Органа на защита на личните данни е преценил, че въз основа на установените в хода на изследването обстоятелства и събрани доказателства, наказанието „порицание“ е достатъчно.

Линк към цялата статия: https://edpb.europa.eu/news/national-news/2020/polish-dpa-imposes-penalty-reprimand-processing-students-personal-data_en