Jak przygotować zgody RODO przy zapisie w przedszkolu niepublicznym?
W dniu zapisu do przedszkola niepublicznego pada wiele pytań o dane. Rodzice chcą mieć pewność, że informacje o dziecku są bezpieczne. Placówka potrzebuje podstaw prawnych i jasnych zgód. Dobre wzory dokumentów ułatwiają start i ograniczają ryzyko.
W tym poradniku znajdziesz zestaw praktycznych wskazówek. Dowiesz się, kiedy zgoda jest potrzebna, co powinna zawierać klauzula informacyjna i jak długo przechowywać dokumenty. Zobaczysz też, jak krok po kroku wdrożyć RODO w przedszkolu niepublicznym.
Jakie zgody RODO są niezbędne przy zapisie dziecka do przedszkola?
Najczęściej wymagana jest zgoda na wizerunek oraz na komunikację marketingową. Dane potrzebne do zapisu przetwarza się głównie na podstawie umowy i przepisów prawa, a nie zgody.
W praktyce prosi się o zgody tylko wtedy, gdy nie ma innej podstawy prawnej. W formularzu zapisu umowa i obowiązek prawny pokrywają większość działań, na przykład prowadzenie dokumentacji przedszkolnej czy rozliczenia z gminą. Zgoda jest właściwa dla publikacji zdjęć i filmów, wysyłki newslettera lub telefonicznych informacji o ofercie. Dodatkowe, wyraźne zgody mogą być potrzebne przy przetwarzaniu informacji o zdrowiu, jeśli nie wynika to wprost z prawa i nie da się oprzeć na innym przepisie.
- Zgoda na wizerunek dziecka.
- Zgody marketingowe na e-mail i telefon, z rozróżnieniem kanałów komunikacji.
- Ewentualna zgoda na dane wrażliwe, jeśli nie ma innej podstawy prawnej.
Jak sformułować zgodę na przetwarzanie danych rodzica i dziecka?
Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Powinna być rozdzielona na cele i kanały, bez „pakietów”.
Dobre praktyki to proste zdania, osobne checkboxy i jasna informacja o wycofaniu zgody w każdym momencie. Nie łącz zgody z akceptacją umowy. Nie stosuj domyślnie zaznaczonych pól. Podaj cel, zakres, kanał i okres przetwarzania, a także jak wycofać zgodę.
- Wizerunek: „Wyrażam zgodę na utrwalanie wizerunku mojego dziecka oraz jego publikację na stronie internetowej i w mediach społecznościowych przedszkola. Zgodę mogę wycofać w każdym czasie”.
- E-mail marketing: „Wyrażam zgodę na przetwarzanie moich danych kontaktowych w celu przesyłania informacji o wydarzeniach i ofercie przedszkola drogą e-mail. Zgodę mogę wycofać w każdym czasie”.
- Telefon: „Wyrażam zgodę na kontakt telefoniczny w celach informacyjnych dotyczących oferty przedszkola. Zgodę mogę wycofać w każdym czasie”.
- Dane o zdrowiu: „Wyrażam zgodę na przetwarzanie informacji o stanie zdrowia dziecka w zakresie niezbędnym do zapewnienia bezpiecznej opieki, diety i zajęć”.
Dodaj krótką instrukcję wycofania zgody, najlepiej tym samym kanałem, w jakim była wyrażona.
Czy potrzebna jest zgoda na zdjęcia i publikację wizerunku dzieci?
Tak, co do zasady publikacja wizerunku wymaga zgody rodzica dziecka. Bez zgody nie publikuj zdjęć, na których dziecko można rozpoznać.
Najbezpieczniej zebrać osobne zgody na:
- Utrwalanie wizerunku w trakcie zajęć.
- Publikację na stronie internetowej.
- Publikację w mediach społecznościowych.
- Materiały drukowane i wewnętrzne.
Jeśli zdjęcie nie pozwala zidentyfikować dziecka, nie zawsze jest to dane osobowe. W praktyce lepiej stosować standard zgody. Uporządkuj proces usuwania zdjęć po wycofaniu zgody i oznaczaj zbiory, aby łatwo je znaleźć.
Na jakiej podstawie prawnej przetwarza się dane w przedszkolu?
Najczęstsze podstawy to umowa, obowiązek prawny oraz prawnie uzasadniony interes. W niektórych obszarach stosuje się zgodę.
- Umowa z rodzicem opiekunem prawym. Rejestracja, bieżąca opieka, rozliczenia.
- Obowiązek prawny. Dokumentacja przebiegu wychowania przedszkolnego, rozliczanie dotacji, podatki, sprawozdawczość.
- Prawnie uzasadniony interes administratora. Ochrona mienia i bezpieczeństwo, organizacja wydarzeń wewnętrznych, podstawowa komunikacja operacyjna.
- Zgoda. Wizerunek, marketing, wybrane dane wrażliwe, jeśli brak innej podstawy.
- Dane szczególne. W zależności od celu i przepisów może to być zgoda albo podstawa wynikająca z prawa w obszarze edukacji, opieki i bezpieczeństwa dzieci.
Każdy cel przypisz do jednej podstawy. Nie duplikuj podstaw dla tego samego celu.
Jak długo i w jakiej formie przechowywać dane osobowe dzieci?
Tak długo, jak to konieczne do realizacji celu, przez czas trwania umowy i okresy wymagane przepisami. Potem dane należy usunąć lub zanonimizować.
Ustal przejrzystą politykę retencji i formy przechowywania. Uwzględnij dokumenty papierowe i elektroniczne, a także kopie zapasowe. Opracuj harmonogramy dla kluczowych zbiorów, na przykład:
- Dokumentacja rekrutacyjna i przebieg edukacji.
- Zgody rodziców i ich wycofanie.
- Rozliczenia i dokumenty księgowe.
- Ewidencje zdarzeń i wypadków.
- Monitoring, jeśli jest stosowany, zgodnie z wewnętrznym regulaminem.
Zastosuj zabezpieczenia. Szafy zamykane dla papieru. Ograniczenia dostępu, szyfrowanie, kopie zapasowe i dzienniki zdarzeń dla systemów.
Jakie prawa mają rodzice i jak je zrealizować w praktyce?
Rodzice mają prawo do dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu oraz wycofania zgody. Mogą też wnieść skargę do organu nadzorczego.
Ustal prostą ścieżkę realizacji praw:
- Przyjmowanie wniosków pisemnie lub elektronicznie.
- Weryfikacja tożsamości wnioskodawcy.
- Ocena podstawy prawnej i możliwego zakresu realizacji prawa.
- Odpowiedź bez zbędnej zwłoki, co do zasady w ciągu miesiąca.
- Udokumentowanie decyzji i działań podjętych w systemie lub rejestrze wniosków.
W klauzuli informacyjnej opisz, jak złożyć wniosek, jak wycofać zgodę i gdzie wnieść skargę.
Komu można udostępnić dane bez dodatkowej zgody rodziców?
Podmiotom uprawnionym na mocy prawa oraz podmiotom przetwarzającym na podstawie umów. Nie wymaga to dodatkowej zgody.
Typowe kategorie odbiorców:
- Jednostka samorządu terytorialnego w zakresie dotacji i sprawozdawczości.
- Organy nadzoru i kontroli, na przykład oświatowe lub sanitarne.
- Sądy i organy ścigania, na podstawie przepisów.
- Dostawcy usług na podstawie umów powierzenia. Systemy edukacyjne i komunikacyjne, usługi IT, hosting, dostawca poczty, podmiot prowadzący dziennik elektroniczny, firmy cateringowe, ubezpieczyciel w zakresie zawarcia i obsługi polisy.
- Podmioty medyczne lub specjaliści współpracujący, jeśli wynika to z przepisów lub z przyjętej podstawy prawnej i zakresu opieki.
Zawrzyj z każdym procesorem umowę powierzenia i weryfikuj jego zabezpieczenia.
Od czego zacząć wdrożenie RODO w przedszkolu niepublicznym?
Od mapy danych, dobrych klauzul i prostych procedur. Te elementy uporządkują większość procesów.
- Inwentaryzacja procesów i zbiorów danych. Co zbierasz, po co, na jakiej podstawie, jak długo, komu przekazujesz.
- Rejestr czynności przetwarzania i polityka retencji dokumentów.
- Klauzula informacyjna przy zapisie. Zwięzła i jasna. Kto jest administratorem, cele, podstawy, odbiorcy, okresy, prawa, ewentualne przekazywanie do państw trzecich, profilowanie.
- Wzory zgód. Oddzielne dla wizerunku i marketingu. Łatwe wycofanie.
- Umowy powierzenia z dostawcami. IT, dziennik elektroniczny, catering, archiwizacja.
- Procedury realizacji praw rodziców i obsługi incydentów naruszeń.
- Szkolenie kadry i zasady czystego biurka. Upoważnienia do przetwarzania danych.
- Zabezpieczenia techniczne i fizyczne. Kontrola dostępu, szyfrowanie, kopie zapasowe, polityka haseł.
- Polityka zdjęć i komunikacji. Oznaczanie zgód, reguły publikacji, reagowanie na wycofanie.
- Wyznaczenie inspektora ochrony danych, jeśli wymagają tego przepisy lub skala przetwarzania.
Dobrze przygotowane zgody i klauzule to spokój dla rodziców i kadry. Jasne podstawy prawne, rozsądne okresy przechowywania i gotowe procedury pozwalają skupić się na tym, co najważniejsze, czyli na bezpieczeństwie i rozwoju dzieci.
Skorzystaj z gotowych wzorów klauzul i zgód dla przedszkola niepublicznego i uporządkuj swoją dokumentację RODO już dziś.
Uporządkuj dokumentację przedszkola: pobierz gotowe wzory klauzul i zgód (wizerunek, e‑mail, telefon, dane o zdrowiu) oraz praktyczną checklistę wdrożenia RODO: https://roza-montessori.pl/.


