3 godzin temu
• UODO zwraca uwagę na brak jednoznacznego, ustawowego wskazania celu przetwarzania danych w ewidencji.
• Organ podnosi konieczność ponownej oceny zakresu danych, w tym danych dotyczących zdrowia oraz podstaw ich przetwarzania.
• Wątpliwości dotyczą również czasu przechowywania danych oraz szerokiego, nieprecyzyjnego katalogu odbiorców uprawnionych do uzyskiwania informacji z ewidencji.
Kontekst regulacyjny i zakres projektowanej zmiany
Ewidencja „Sportowe talenty”, wprowadzona ustawą z 17.8.2023 r. o zmianie ustawy o zdrowiu publicznym oraz niektórych innych ustaw (Dz.U. z 2023 r. poz. 1718), obejmuje w tej chwili dane uczniów szkół podstawowych od klasy IV oraz uczniów szkół ponadpodstawowych. W centralnym rejestrze gromadzone są dane pozyskiwane z systemu informacji oświatowej, takie jak imię, nazwisko czy numer PESEL, a także dane wprowadzane bezpośrednio przez szkoły – w szczególności wyniki testów sprawnościowych oraz informacje o masie i wzroście ucznia. Ustawodawca nałożył obowiązek corocznego przekazywania danych dotyczących wzrostu i masy ciała przez ucznia lub jego rodziców, co już w dotychczasowej praktyce budziło pytania o proporcjonalność i niezbędność takiego przetwarzania.
Nowelizacja rozszerza zakres ewidencji na uczniów najmłodszych klas – I–III – oraz wprowadza jej nową nazwę: „Badanie kompetencji ruchowych uczniów”. Zmiana ta nie wiąże się jednak z ograniczeniem zakresu danych przetwarzanych centralnie; przeciwnie, system zachowuje dotychczasowe mechanizmy gromadzenia, przechowywania i udostępniania danych m.in. klubom sportowym, związkom sportowym, podmiotom publicznym oraz jednostkom prowadzącym działalność naukową czy statystyczną. Prezes UODO zwraca uwagę, iż zarówno pierwotna regulacja z 2023 r., jak i obecna nowelizacja, nie były poprzedzone konsultacjami z organem nadzorczym, mimo iż obejmują dane milionów dzieci, w tym dane mogące być kwalifikowane jako dane szczególnej kategorii.
Nieprecyzyjnie określony cel przetwarzania
W ocenie organu zasadniczym problemem projektowanej regulacji jest brak jednoznacznego, ustawowego określenia celu przetwarzania danych. Uzasadnienia projektów ustaw odwołują się wprawdzie do potrzeby monitorowania sprawności fizycznej dzieci i młodzieży oraz identyfikacji talentów sportowych, ale cele te nie zostały wyrażone bezpośrednio w przepisach. Tymczasem precyzyjne określenie celu ma fundamentalne znaczenie dla całej konstrukcji systemu przetwarzania danych – zarówno dla ustalenia zakresu danych, jak i dla oceny niezbędności ich przetwarzania.
Brak wyraźnego celu może prowadzić do trudności w ocenie proporcjonalności i niezbędności w świetle art. 5 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), a także w kontekście art. 51 ust. 2 Konstytucji RP, który ogranicza możliwość pozyskiwania i gromadzenia danych przez władze publiczne wyłącznie do przypadków, w których jest to konieczne do realizacji ustawowych zadań. Prezes UODO wskazuje, iż dopiero ustawowe określenie celu pozwala ocenić, czy gromadzenie tak szerokiego zakresu informacji – w tym danych identyfikacyjnych – jest uzasadnione i nie wykracza poza to, co ustawodawca rzeczywiście chce osiągnąć.
Zakres danych a zasada minimalizacji
W centralnej ewidencji gromadzone są dane identyfikacyjne ucznia, dane opisujące jego cechy fizyczne oraz wyniki testów sprawnościowych. Tak szeroki zakres danych, obejmujący także informacje, które mogą mieć charakter szczególny, wymaga – zdaniem UODO – ponownej analizy pod kątem zasady minimalizacji wynikającej z art. 5 ust. 1 lit. c RODO. Organ zauważa, iż do monitorowania sprawności fizycznej mogłyby wystarczyć dane zagregowane lub takie, które nie pozwalają na bezpośrednią identyfikację dziecka.
W kontekście identyfikacji talentów sportowych UODO zwraca uwagę, iż ostateczna identyfikacja ucznia, którego wyniki zainteresowały klub sportowy, odbywa się na poziomie szkoły, a więc nie jest konieczne, aby dane identyfikacyjne były przechowywane centralnie. System mógłby funkcjonować również w oparciu o dane mniej szczegółowe, o ile zapewniałby kanał komunikacji między klubem a szkołą bez konieczności gromadzenia imion, nazwisk czy numerów PESEL w centralnej bazie.
Dane dotyczące zdrowia i brak podstawy z art. 9 RODO
Ważną część analizy stanowi ocena przetwarzania danych dotyczących wzrostu i masy ciała ucznia. Dane te – w powiązaniu z wiekiem i płcią – mogą być wykorzystywane do ocen zdrowotnych, np. poprzez obliczenie wskaźnika BMI, co kwalifikuje je jako dane dotyczące zdrowia. UODO wskazuje, iż aktualny model nie przewiduje podstawy prawnej, która spełniałaby wymagania art. 9 RODO, szczególnie w zakresie przesłanki dotyczącej ważnego interesu publicznego.
Zgodnie z oceną organu nie jest możliwe oparcie przetwarzania danych o zdrowiu na zgodzie, ponieważ ustawa nakłada obowiązek ich przekazywania. Jednocześnie ustawodawca nie wskazał zadania publicznego, które wymagałoby przetwarzania danych tej kategorii w tak szerokim zakresie i które mogłoby stanowić podstawę ich przetwarzania. Brak jest również dodatkowych zabezpieczeń wymaganych przy przetwarzaniu danych szczególnej kategorii, co wymaga – zdaniem UODO – pilnego doprecyzowania na poziomie ustawowym.
Udostępnianie danych i ryzyko ponownej identyfikacji
Prezes UODO zwraca także uwagę na kwestie związane z udostępnianiem danych zawartych w ewidencji. Dane przekazywane klubom sportowym i innym podmiotom nie obejmują imienia, nazwiska ani numeru PESEL, jednak ich zakres – taki jak wiek, dane antropometryczne, wyniki testów, informacja o szkole i klasie – może w praktyce prowadzić do ponownej identyfikacji ucznia, zwłaszcza w mniejszych miejscowościach lub szkołach o niewielkiej liczbie uczniów.
W ocenie UODO szeroki katalog odbiorców danych oraz brak jasnych, szczegółowych zasad ich udostępniania mogą stwarzać ryzyko naruszenia zasady przejrzystości i minimalizacji danych. Organ podkreśla, iż sposób udostępniania danych powinien być tak ukształtowany, aby wykluczyć możliwość identyfikacji ucznia przez podmioty nieuprawnione lub w sytuacjach, w których nie jest to niezbędne dla realizacji konkretnego celu.
Retencja danych – potrzeba ustalenia proporcjonalnych okresów przechowywania
UODO analizuje również kwestię retencji danych. Obowiązujące przepisy przewidują, iż dane identyfikacyjne mają być usuwane po 5 latach od zakończenia nauki w danej szkole, natomiast dane dotyczące cech fizycznych i wyniki testów mają być przechowywane bezterminowo. UODO wskazuje, iż ustawodawca nie określił celu, który uzasadniałby tak długi okres przechowywania tych danych.
W ocenie organu cele ewidencji mają charakter bieżący – dotyczą monitorowania sprawności i ewentualnie identyfikacji talentów sportowych – i nie uzasadniają konieczności przechowywania szczegółowych danych dotyczących zdrowia po zakończeniu nauki. W związku z tym okres retencji powinien być powiązany z czasem, w którym dane są rzeczywiście potrzebne, natomiast dłuższe przechowywanie mogłoby dotyczyć wyłącznie danych zanonimizowanych, służących celom statystycznym.
Brak oceny skutków dla ochrony danych na etapie legislacyjnym
UODO zauważa, iż na etapie projektowania regulacji nie przeprowadzono testu prywatności ani oceny skutków regulacji dla ochrony danych, mimo iż centralna ewidencja obejmuje dane milionów dzieci, w tym dane szczególnej kategorii. Organ przypomina, iż zasada privacy by design oraz art. 35 ust. 10 RODO umożliwiają przeprowadzenie takich analiz w ramach procesu legislacyjnego, co ułatwiłoby późniejsze stosowanie przepisów przez administratorów danych.
Rekomendacje UODO i potencjalne kierunki zmian
W podsumowaniu Prezes UODO wskazuje na konieczność doprecyzowania celu przetwarzania danych oraz ponownej analizy ich zakresu w kontekście zasady minimalizacji. Organ podkreśla również potrzebę ustanowienia wyraźnej podstawy prawnej dla przetwarzania danych dotyczących zdrowia, doprecyzowania zasad udostępniania danych oraz powiązania okresów retencji z rzeczywistymi potrzebami wynikającymi z realizowanych zadań publicznych.
UODO zauważa także, iż potencjalnym rozwiązaniem mogłoby być oparcie udziału w ewidencji na zgodzie ucznia lub jego rodziców, o ile zgoda ta spełniałaby wymóg dobrowolności w rozumieniu RODO. Wymagałoby to jednak zasadniczego przekształcenia obecnego obowiązku ustawowego dotyczącego przekazywania danych o masie i wzroście ucznia.
