17 wrz

Czy dyrektorzy szkół biorących udział w turnieju mogą wyrazić zgodę na przetwarzanie danych uczestników?

Zupełnym przypadkiem trafiłam na regulamin turnieju, w którym znalazłam taki przedziwny zapis:

Dyrektorzy szkół drużyn biorących udział w Turnieju wyrażają zgodę na przechowywanie i przetwarzanie danych osobowych przez organizatora (zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. nr 101, poz. 926). Informacje zawierające dane szkoły: adres, nr telefonu, e-mail służą tylko do celów związanych z organizacją Turnieju.

Co ciekawe organizator stwierdził, że zapis jest „w porządku”, bo:

  1. Dyrektorzy szkół zbierają zgody na przetwarzanie danych osobowych uczniów;
  2. „Wszyscy” mają podobne zapisy w regulaminach.

Idąc tym tropem zapytałam wujka Google, czy rzeczywiście „wszyscy mają takie zapisy” i okazało się, że może nie wszyscy, ale bardzo wielu. Jeżeli wyszukacie to zdanie, będziecie wiedzieć o czym mówię. Organizatorami są podmioty publiczne, co potwierdza obawy o to, że są one nieprzygotowane do przetwarzania danych osobowych zgodnie z przepisami o ochronie danych (o zmianach wynikających z RODO nawet nie wspominam).

Jeżeli jesteś ABI, to powyższy przykład powinien skłonić Cię do uważniejszego przyglądania się regulaminom, które są tworzone u Twojego administratora danych. Często bywa tak, że ABI dostaje prośbę o przygotowanie klauzuli zgody na przetwarzanie na potrzeby konkursu i wówczas zupełnie bezrefleksyjnie przekazuje klauzulę, pomijając konieczność analizy procesu przetwarzania. Konkursy, turnieje, szkolenia, konferencje to wydarzenia obarczone dużym ryzykiem dla poprawności przetwarzania danych. ABI powinien skupić się nie tylko na konieczności stworzenia klauzuli zgody, ale przede wszystkim przeanalizować proces: czy dane są zbierane w poprawny i bezpieczny sposób, czy zakres zbieranych danych jest adekwatny do celu, czy został stworzony regulamin i czy jest on poprawny, co będzie działo się z danymi po zakończeniu wydarzenia. Dopiero mając pogląd na cały proces jest w stanie dać swoje zalecenia.

Być może ten wpis trafi do kilku osób i wpłynie pozytywnie na zmianę regulaminów, w których widnieje zapis jak powyższy. Przede wszystkim, zgodnie z ustawową definicją zgody na przetwarzanie danych, jest to oświadczenie woli, które nie może być dorozumiane, ani wynikać z oświadczenia o innej treści (w szczególności z regulaminu). Czyli całe zdanie o wyrażaniu zgody powinno zniknąć z regulaminu.

Zgoda wyrażona poprzez zaakceptowanie regulaminu jest nieskuteczna (tutaj o tym pisałam), a co za tym idzie zebrane na jej podstawie dane są przetwarzane nielegalnie.

Dodatkowo należy podkreślić, że dyrektor szkoły nie jest osobą, której dane dotyczą, więc (poza wyjątkiem, gdy został na piśmie ustalony pełnomocnikiem tej osoby) nie ma prawa wyrazić w jej imieniu zgody na przetwarzanie danych. Jeżeli szkoła zbierała zgody na przetwarzanie danych uczniów, to z pewnością dotyczyło to celów przetwarzania jakie realizuje szkoła, jednakże nie daje jej to prawa do składania oświadczeń woli w imieniu uczniów. Podkreślenia wymaga także fakt, że w przypadku osób małoletnich, które nie ukończyły 13 roku życia, gdy czynność nie jest drobną sprawą życia codziennego, wymagany jest bezwzględna zgoda rodzica lub opiekuna prawnego.

Ponieważ zgoda wyrażona przez dyrektora jest nieskuteczna, odpowiedzialność za legalne przetwarzanie danych ciąży na administratorze danych, czyli Organizatorze turnieju. To on nie wykazał należytej staranności przy gromadzeniu danych.

Organizator powinien przygotować karty zgłoszeniowe dla poszczególnych uczestników turnieju (w tym uczestników rezerwowych), na których oni lub ich opiekunowie prawni (w zależności od wieku uczestników) wyrażaliby zgodę na przetwarzanie ich danych osobowych w związku z udziałem w turnieju. Warto byłoby od razu na tych kartach zgłoszeniowych poprosić o wyrażanie zgody na rozpowszechnianie wizerunku, ponieważ później może okazać się niemożliwe ich pozyskanie.

Podsumowując:

  1. Zgoda nie może być w regulaminie
  2. Dyrektor szkoły nie może skutecznie wyrazić zgody na przetwarzanie danych osobowych (chyba, że został ustanowiony przez ich rodziców pełnomocnikiem w zakresie tej czynności, ale jeszcze nie spotkałam się z taką sytuacją)
  3. Należy przygotować formularze zgłoszeń nie tylko dla dyrektora (tzn. zgłoszenie drużyny), ale przede wszystkim dla uczestników (w zależności od wieku, akceptowane przez uczniów lub ich rodziców).
  4. Jeżeli turniej będzie utrwalany fotograficznie/filmowo, należy pozyskać zgodę na rozpowszechnianie wizerunków

Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


Data aktualizacji: 3 czerwca 2018