DKN.5112.7.2020
Warszawa, 30 czerwca 2020 r.
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b, w związku z art. 5 ust. 1 lit. a oraz art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Zespół Szkół Ogólnokształcących w D., Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia za naruszenie przez Zespół Szkół Ogólnokształcących w D. przepisów art. 5 ust. 1 lit. a oraz art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.) zwanego dalej „rozporządzeniem 2016/679”, polegające na przetwarzaniu bez podstawy prawnej danych osobowych uczniów w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 badań (wywiadów) ankietowych, dotyczących ich sytuacji osobistej, przy użyciu ankiety pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”.
Uzasadnienie
Na podstawie art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „ustawą”, w związku z art. 57 ust. 1 lit. a oraz lit. h, art. 58 ust. 1 lit. b oraz lit. e rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dokonano czynności kontrolnych w Zespole Szkół Ogólnokształcących w D. (sygn. akt DKN.5112.7.2020).
Zakresem kontroli objęto przetwarzanie przez Zespół Szkół Ogólnokształcących w D. (zwany dalej również „ZSO”) danych osobowych uczniów w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 badań (wywiadów) ankietowych, dotyczących ich sytuacji osobistej, przy użyciu ankiety pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”.
W toku kontroli odebrano od pracowników ZSO ustne wyjaśnienia. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez Dyrektora ZSO.
Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych, ZSO, jako administrator, naruszył przepisy o ochronie danych osobowych poprzez przetwarzanie bez podstawy prawnej danych osobowych uczniów w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 badań (wywiadów) ankietowych, dotyczących ich sytuacji osobistej, przy użyciu ankiety pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”.
W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu wyjaśnienia okoliczności sprawy (pismo z […] maja 2020 r., znak: […]).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Dyrektor ZSO pismem z […] czerwca 2020 r. (znak: […]) złożył wyjaśnienia, w których wskazał m.in., że okolicznością, którą powinien wziąć pod uwagę organ nadzorczy w związku z kontrolą jest fakt, iż z dniem […] lipca 2019 r. na stanowisku Dyrektora ZSO nastąpiły zmiany personalne. Ponadto, Dyrektor ZSO podniósł, że z uwagi na brak ciągłości zarządzania dokumentacją i procedurami w ZSO, w tym także dotyczącymi ochrony danych osobowych, nie zostały mu przekazane dokumenty wewnętrzne ZSO dotyczące ochrony danych osobowych w tej placówce oraz nie został poinformowany o osobie pełniącej obowiązki inspektora ochrony danych i jej danych kontaktowych.
Dyrektor ZSO wskazał także, iż „został zmuszony” do tworzenia zasad dotyczących należytej ochrony danych w ZSO od początku, bez należytego wsparcia ze strony inspektora ochrony danych, który nie skontaktował się z dyrekcją ZSO aż do zaistnienia incydentu objętego przedmiotową kontrolą, przez co Dyrektor ZSO podejmował działania na podstawie wiedzy i doświadczenia swojego personelu. Ponadto, po przekazaniu Dyrektorowi ZSO przez szkolnego pedagoga ankiety do wglądu, Dyrektor ZSO miał zaznaczyć w rozmowie z ww. pedagogiem, że ankiety muszą być dobrowolne i powinny być anonimowe tj. uczeń może je wypełniać lub ich nie wypełniać, a także wypełniać tylko w części, w której uzna to za stosowne. Dyrektor ZSO przyznał w piśmie, że pedagog szkolny w tamtym czasie nie skonsultował treści ankiety z inspektorem ochrony danych ZSO, gdyż ten pełnił swoje obowiązki nienależycie, tj. nie kontaktował się podczas pełnienia swoich obowiązków z dyrekcją ZSO. Ponadto, Dyrektor ZSO wskazał, że w każdej z klas, w której ankiety były rozdawane uczniom, miały być wydane zalecenia, że są to ankiety dobrowolne i mogą być anonimowe. Według twierdzenia Dyrektora ZSO, pomimo kierowania ww. pouczeń przez większość wychowawców, część uczniów wskazała w ankiecie swoje imiona i nazwiska lub dane osobowe ich rodziców lub przedstawicieli ustawowych.
Do ww. pisma skierowanego do Urzędu Ochrony Danych Osobowych, Dyrektor ZSO dołączył następujące załączniki:
1) Politykę Bezpieczeństwa Informacji w ZSO z 2019 r.,
2) zarządzenie Nr […] Dyrektora Zespołu Szkół Ogólnokształcących w D. z […] października 2019 r.,
3) protokół zniszczenia ankiet z […] października 2019 r.,
4) rejestr incydentów związanych z bezpieczeństwem informacji w ZSO,
5) analizę zdarzenia pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych (analiza ryzyka) wykonaną przez inspektora ochrony danych […] października 2019 r.,
6) korespondencję z poczty e-mail pomiędzy Dyrektorem ZSO a inspektorem ochrony danych z […] października 2019 r.,
7) protokół pokontrolny Kuratorium Oświaty w L. z […] października 2019 r.,
8) informację Rzecznika Dyscyplinarnego Dla Nauczycieli przy Wojewodzie […] do Dyrektora ZSO z prośbą o przesłanie dokumentów w związku z wszczęciem postępowania wyjaśniającego,
9) protokół zdawczo - odbiorczy przekazania Zespołu Szkół Ogólnokształcących w D. z […] lipca 2019 r.,
10) listę obecności osób przeszkolonych z zakresu ochrony danych osobowych przez inspektora ochrony danych ZSO z […] października 2019 r.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) zważył, co następuje:
Art. 5 rozporządzenia 2016/679, formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W myśl art. 5 ust. 1 lit. a rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Ponadto, zgodnie z art. 6 ust. 1 lit. c rozporządzenia 2016/679, przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie w jakim – spełniony jest warunek, iż przetwarzanie to jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
W toku kontroli ustalono (protokół przyjęcia ustnych wyjaśnień stanowi załącznik nr 1 do protokołu kontroli), że w ZSO było przeprowadzone wśród jego uczniów badanie z wykorzystaniem formularza ankietowego pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia” (dalej „ankieta”). W ramach przeprowadzonej ankiety, doszło do przetwarzania danych osobowych uczniów ZSO, w tym także danych osób niepełnoletnich, przede wszystkim w następującym zakresie: imię i nazwisko, oznaczenie klasy, określenie opiekunów prawnych (rodziców), informacja o stanie rodziny (pełna, niepełna), a także informacje o śmierci opiekuna prawnego (rodzica), separacji opiekunów prawnych (rodziców), ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia oraz nałogach opiekunów prawnych (rodziców), sytuacji mieszkaniowej oraz o fakcie otrzymania albo nieotrzymania pomocy finansowej. Przetwarzanie danych uczniów odbywało się w zakresie ich zbierania, przechowywania oraz usunięcia.
W toku kontroli ustalono również (protokoły przyjęcia ustnych wyjaśnień stanowią załączniki nr 1 oraz nr 23 do protokołu kontroli), że ankietę przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę, do której uczęszczają. Ustalono także, iż ankieta została przeprowadzona wyłącznie za pomocą papierowych formularzy in blanco, które zostały rozdane wychowawcom klas: 7 - 8 oraz klas licealnych na polecenie Dyrektora ZSO. Z powyższego wynika, że dane osobowe uczniów ZSO były przetwarzane wyłącznie przy użyciu formularzy ankiety w formie papierowej, na których dane te zostały pozyskane (zebrane), a następnie przechowane i ostatecznie zniszczone (protokoły przyjęcia ustnych wyjaśnień stanowią załączniki nr 1 oraz nr 23 do protokołu kontroli). Wszystkie zwrócone Dyrektorowi ZSO egzemplarze ankiety zostały komisyjnie zniszczone […] października 2019 r. Jak wynika z ustaleń kontroli, dane osobowe zawarte w ankietach nie zostały wprowadzone do elektronicznych systemów telekomunikacyjnych, nie zostały też utrwalone na nośnikach danych elektronicznych ani na innych nośnikach informacji, w tym w formie papierowej. Po zebraniu ankiet, wychowawcy nie sporządzali ich skanów, kopii papierowych, ani nie sporządzali innych, dodatkowych dokumentów, zawierających dane osobowe, dotyczące ankiet. Na dzień rozpoczęcia kontroli dane osobowe uczniów pozyskane w związku z przeprowadzeniem ankiet nie były już przetwarzane przez ZSO.
Jak wynika z materiału dowodowego pozyskanego w wyniku przeprowadzenia czynności kontrolnych (protokoły przyjęcia ustnych wyjaśnień stanowią załączniki nr 20, nr 22, nr 23 do protokołu kontroli), ankiety były przeprowadzane w sposób wykluczający możliwość zapoznania się z zawartymi w nich danymi przez osoby nieuprawnione. Według oświadczeń złożonych przez wychowawców, którzy przeprowadzali albo mieli przeprowadzić ankiety, nie zapoznali się oni z treścią wypełnionych ankiet, a więc i z zawartymi w nich danymi osobowymi (protokoły przyjęcia ustnych wyjaśnień stanowią załączniki nr 20, nr 22, nr 23 do protokołu kontroli). Niektórzy wychowawcy, po otrzymaniu wydrukowanych formularzy ankiety, w ogóle nawet nie przeprowadzili badania (protokół przyjęcia ustnych wyjaśnień stanowi załącznik nr 24 do protokołu kontroli), tzn. nie rozdali uczniom ww. formularzy do wypełnienia. Ponadto, jak wyjaśniono, sposób przechowywania formularzy ankiet uwzględniał konieczność zabezpieczenia ich przed dostępem osób niepowołanych, tzn. po zebraniu wypełnionych ankiet przez wychowawców, były one przechowywane w szafkach zamykanych na klucz, do których dostęp mieli tylko ww. wychowawcy.
W związku z powyższymi ustaleniami stwierdzić należy, że ZSO, przeprowadzając ankietę wśród uczniów, naruszyło zasadę przetwarzania danych zgodnie z prawem, wyrażoną w art. 5 ust. 1 lit. a rozporządzenia 2016/679, w myśl którego dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Powyższa zasada została rozwinięta w treści art. 6 ust. 1 lit. c rozporządzenia 2016/679, zgodnie z którym przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie w jakim – spełniony jest warunek, iż przetwarzanie to jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Odnosząc się do powyżej wskazanych przepisami prawa zasad stwierdzić należy, że materiał dowodowy zgromadzony w toku kontroli pozwala stwierdzić, iż przetwarzanie danych osobowych uczniów ZSO odbywało się bez podstawy prawnej wynikającej z przepisów obowiązujących aktów normatywnych.
W szczególności należy wskazać, że zgodnie z § 9 Statutu ZSO oraz § 1 ust. 11 Statutu Szkoły Podstawowej w D. w związku z art. 9 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 ze zm.), ZSO jest jednostką budżetową, a więc także jednostką sektora finansów tożsamą z podmiotem publicznym w rozumieniu przepisów rozporządzenia 2016/679. ZSO jako podmiot publiczny może zatem przetwarzać dane osobowe w zakresie wykonywanych przez niego zadań nałożonych ustawami, wyłącznie w zgodzie z art. 5 ust. 1 lit. a oraz art. 6 ust. 1 lit. c rozporządzenia 2016/679. Z kolei w myśl art. 30a ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r. poz. 1148 ze zm.), szkoły przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.
Należy podnieść, że w przepisach ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r. poz. 1148, ze zm.) oraz w pozostałych aktach prawnych regulujących zasady funkcjonowania instytucji oświatowych, nie określa się takich zadań i obowiązków szkół, które uzasadniałyby przetwarzanie danych osobowych uczniów w sposób, w jaki uczyniono to w ZSO w związku z przeprowadzeniem ankiety. Przeprowadzenie ankiety, które pociągnęło za sobą przetwarzanie danych uczniów przez ZSO nie stanowiło wykonania ciążącego na tej placówce oświatowej obowiązku lub zadania wynikającego z ustawy i dlatego należy uznać, iż doszło także do naruszenia art. 6 ust. 1 lit. c rozporządzenia 2016/679.
Prezes UODO, analizując całość materiału dowodowego zebranego w toku kontroli uznał, że twierdzenia Dyrektora ZSO zawarte w piśmie z […] czerwca 2020 r. (znak: […]), dotyczące kluczowych dla rozstrzygnięcia niniejszej decyzji kwestii, nie potwierdzają ustaleń dokonanych w przedmiotowej sprawie albo nie mają dla niej zasadniczego znaczenia, a więc nie wnoszą do niej nowych okoliczności. Przede wszystkim wskazać należy, że fakt zmian personalnych w dyrekcji ZSO, na które powołał się Dyrektor ZSO, nie ma żadnego znaczenia dla odpowiedzialności ZSO jako administratora danych osobowych w świetle rozporządzenia 2016/679. Administrator danych, którym jest ZSO reprezentowany przez Dyrektora, jest obowiązany zapewnić ciągłość wykonywania obowiązków wynikających z przepisów rozporządzenia 2016/79, bez względu na zmiany personalne na ww. stanowisku. Wyjaśnienia Dyrektora ZSO w tym względzie, w tym powoływanie się, między innymi, na okoliczności nieprzekazania mu dokumentacji, mogą mieć znaczenie co najwyżej w sferze jego odpowiedzialności wynikającej ze stosunku pracy łączącego go z organem samorządowym będącym organizatorem ZSO, nie zaś w sferze odpowiedzialności wynikającej z przepisów o ochronie danych osobowych.
Ponadto, za budzące wątpliwości należy uznać wyjaśnienie Dyrektora ZSO, jakoby od początku wdrożenia ankiety i przekazania jej egzemplarzy nauczycielom ZSO, pouczono ich o konieczności anonimowego jej przeprowadzenia. Przede wszystkim należy zwrócić uwagę na fakt, że formularz ankiety już z uwagi na uwzględnienie w jego treści miejsca na wskazanie imienia i nazwiska ucznia, sugerował imienne jej wypełnianie, co było naruszeniem przepisów rozporządzenia 679/2016. Ponadto, twierdzenie Dyrektora ZSO o zobowiązaniu nauczycieli do pouczenia uczniów o anonimowości ankiety, stoi w sprzeczności z wcześniejszymi jego wyjaśnieniami, a także wyjaśnieniami nauczycieli ZSO. Jak Dyrektor ZSO wyjaśnił w toku kontroli (protokół przyjęcia ustnych wyjaśnień stanowi załącznik nr 1 do protokołu głównego kontroli), zauważył podczas rozmowy z pedagogiem szkolnym na temat ankiety, że z założenia nie jest ona anonimowa i polecił pedagogowi szkolnemu poinformować wychowawców, że wypełnienie ankiety jest nieobowiązkowe. Polecił także przekazać wychowawcom, żeby ci bezpośrednio przy okazji rozdania formularzy ankiety uczniom, poinformowali ich o dobrowolnym charakterze ankiety.
Z powyższego wynika, że zalecenia odnośnie anonimowości ankiety nie zostały sformułowane wobec wychowawców na samym początku przeprowadzania ankiety, bowiem dobrowolność jej wypełniania w żadnym razie nie oznacza jej anonimowości, szczególnie z uwagi na jej treść. Stan ten potwierdzają wyjaśnienia Pani M. K., nauczyciela ZSO, wychowawcy klasy […] (protokół przyjęcia ustnych wyjaśnień stanowi załącznik nr 20 do protokołu głównego kontroli), według których przy okazji wręczenia jej formularzy ankiety pedagog szkolny nie informował jej o żadnych zaleceniach dotyczących sposobu lub terminu przeprowadzenia ankiety. Według treści wyjaśnień Pani M. K., ankiety zostały wypełnione imiennie, tzn. uczniowie podali w ich treści swoje imiona i nazwiska, a ponadto nie informowała ona uczniów, przed wypełnieniem przez nich ankiety, o jej dobrowolności i anonimowości. Pani M. K. nadmieniła także, że już po wypełnieniu ankiet przez uczniów odbyła się rada pedagogiczna, podczas której jej koleżanki nauczycielki postawiły pytania Dyrektorowi ZSO, Pani J. P., w kwestii anonimowości i dobrowolności wypełnienia ankiety, a także celowości jej treści. Według relacji Pani M. K., Dyrektor ZSO poinformowała podczas ww. rady pedagogicznej, że ankieta może być wypełniona przez uczniów dobrowolnie i anonimowo. Z odpowiedzi Dyrektora ZSO Pani M. K. wysnuła jednak wniosek, że nie ma ogólnego zalecenia ze strony Dyrektora, iż ankieta musi być anonimowa.
Fakt niepoinformowania wychowawców klas o konieczności anonimowego przeprowadzenia ankiety wynika także z wyjaśnień Pani I. J., nauczyciela ZSO, wychowawcy klasy […] Liceum Ogólnokształcącego (protokół przyjęcia ustnych wyjaśnień stanowi załącznik nr 21 do protokołu głównego kontroli). Pani I. J. oświadczyła, iż o ankiecie dowiedziała się od pedagoga szkolnego, Pani D. K., która przyniosła jej osobiście we wrześniu 2019 r. wydrukowane i niewypełnione formularze ankiety podczas prowadzenia przez Panią I. J. godziny wychowawczej klasy […] Liceum Ogólnokształcącego. Pani D. K. poprosiła Panią I. J. o przeprowadzenie ankiety wśród uczniów klasy […], przy czym poinformowała ją także, że wypełnienie ankiety jest dobrowolne (nieobowiązkowe). Pani D. K. przy okazji wręczenia Pani I. J. formularzy ankiety nie informowała jej o żadnych innych zaleceniach dotyczących sposobu lub terminu przeprowadzenia ankiety.
Wyjaśnienia podobnej treści złożyły także: Pani W. M., nauczyciel Zespołu Szkół Ogólnokształcących w D., wychowawca klasy […] Liceum Ogólnokształcącego (protokół przyjęcia ustnych wyjaśnień stanowi załącznik nr 22 do protokołu głównego kontroli), Pani M. D., nauczyciel Zespołu Szkół Ogólnokształcących w D., wychowawca klasy […] Liceum Ogólnokształcącego (protokół złożenia wyjaśnień stanowi załącznik nr 23 do protokołu głównego kontroli) oraz Pani M. C., nauczyciel Zespołu Szkół Ogólnokształcących w D., wychowawca klasy […] Liceum Ogólnokształcącego (protokół przyjęcia ustnych wyjaśnień stanowi załącznik nr 24 do protokołu głównego kontroli). Wobec powyższego za nieprzekonywające należy uznać twierdzenie Dyrektora ZSO, iż pomimo pouczeń większości wychowawców, część uczniów wskazała na ankiecie swoje imiona i nazwiska lub dane osobowe ich rodziców lub przedstawicieli ustawowych, bowiem takich pouczeń nikt do uczniów w przeważającej mierze nie kierował.
W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie ZSO upomnienia w zakresie stwierdzonego naruszenia przepisu art. 6 ust. 1 lit. c w związku z art. 5 ust. 1 lit. a rozporządzenia 2016/679.
Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 lub w art. 83 ust. 5 i 6 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią lub znaczną), wskazują charakter naruszenia, jak również zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody. Z celem przetwarzania danych osobowych wiąże się określenie, w jakim stopniu przetwarzanie spełnia dwa kluczowe elementy zasady „ograniczonego celu”, tj. określenie celu i zgodnego zastosowania przez administratora lub podmiot przetwarzający. Przy wyborze środka naprawczego organ nadzorczy uwzględnia, czy szkoda została lub może zostać poniesiona z powodu naruszenia rozporządzenia 2016/679, chociaż sam organ nadzorczy nie jest właściwy do przyznania szczególnego odszkodowania za poniesioną szkodę. Zakreślając czas trwania naruszenia można stwierdzić, że zostało ono niezwłocznie usunięte, jak długo trwało, co w konsekwencji pozwala na ocenę np. celowości czy też skuteczności działań administratora lub podmiotu przetwarzającego. Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora albo podmiot przetwarzający wymaganego prawem obowiązku staranności. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej.
Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie ZSO upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO uznał, że ww. naruszenie miało charakter niezamierzony. ZSO niezwłocznie podjął szereg działań naprawczych takich m. in jak: zniszczenie formularzy ankiety lub jej nieprzeprowadzenie przez niektórych nauczycieli, zorganizowanie szkolenia pracowników ZSO w celu podniesienia ich świadomości w zakresie kwestii ochrony danych osobowych, a także dokonanie analizy zdarzenia, jakim było przeprowadzenie ankiety wśród uczniów, ze względu na wystąpienie ryzyka naruszenia praw i wolności osób fizycznych. Ponadto, na podstawie okoliczności przedmiotowej sprawy brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły na skutek zdarzenia szkodę.
Prezes UODO nie otrzymał także innych sygnałów, aby ze strony ZSO miały miejsce podobne zachowania skutkujące naruszeniami. Zdarzenie dotyczy więc jednorazowego incydentu, nie zaś systematycznego działania lub zaniechania, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane przez ZSO. Powyższe okoliczności uzasadniają udzielenie ZSO upomnienia za stwierdzone naruszenie, mając na względzie możliwość uniknięcia podobnych zdarzeń w przyszłości.
Należy zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec ZSO będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stały w wysokości 200 zł, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 poz. 2325, ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Otrzymują:
- Zespół Szkół Ogólnokształcących w D.
- A/a