Jednym z częściej występujących dylematów w pracy Inspektora Ochrony Danych (IOD) jest problem określenia, kto w danej czynności jest Administratorem Danych Osobowych (ADO) a kto podmiotem przetwarzającym powierzone dane osobowe (Procesor). Ma to zasadnicze znaczenie w określeniu kto może wydawać upoważnienia do przetwarzania, czy niezbędne jest zawarcie umowy powierzenia przetwarzania danych osobowych, i w całym szeregu innych obowiązków wynikających z RODO.
Zgodnie z definicją RODO administrator danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Mimo to dość często pojawia się kwestia określenia, czy dany podmiot ma w rzeczywistości prawne podstawy do przetwarzania jakichkolwiek danych. Taka wątpliwość znalazła się także w mojej pracy, a dotyczyła konkretnie przetwarzania danych osobowych rodziców i ich przetwarzania przez radę rodziców w publicznej jednostce oświatowej.
Rada rodziców jest jednym z organów szkoły. W wąskim zakresie wykazuje samodzielność organizacyjną, ponieważ może np. gromadzić środki na własnym rachunku bankowym. Jednak rodzi się pytanie o jej status w kontekście przetwarzania danych osobowych.
Na ten temat pojawiło się oficjalne stanowisko Urzędu Ochrony Danych Osobowych. Z komunikatu UODO wynika jednoznacznie, że rada rodziców jest wewnętrznym organem szkoły, który reprezentuje ogół rodziców uczniów. Jej działanie regulują art. 83 i 84 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe. Rada rodziców posiada określone w ustawach samodzielne kompetencje, jednak mimo to nie można jej uznać za administratora danych osobowych, bowiem jest to organ wewnętrzny szkoły o charakterze społecznym, działający w ramach jej struktury organizacyjnej, nie posiadający osobowości prawnej. Rada rodziców nie ma również charakteru jednostki organizacyjnej i nie została wyposażona w przymiot zdolności prawnej (I OSK 2505/16). Co więcej zgodnie z ugruntowanym orzecznictwem rada rodziców nie ma zdolności sądowej, tzn. nie jest osobą fizyczną, osoba prawną, nie jest także jednostką organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną. Nie jest również organizacją społeczną w rozumieniu kodeksu postępowania administracyjnego (kpa).
Zgodnie z przepisami prawa rada rodziców może występować z różnymi wnioskami oraz opiniami do dyrektora, rady pedagogicznej czy rady szkoły. Natomiast z punktu widzenia ochrony danych osobowych rada rodziców nie jest administratorem danych osobowych. Administratorem danych osobowych uczniów, ich rodziców, nauczycieli, pracowników szkoły jest ten, kto decyduje o celach i sposobach przetwarzania tych danych, czyli szkoła, którą reprezentuje dyrektor szkoły.
Należy jednak pamiętać, że to dyrektor szkoły reprezentujący administratora (tj. szkołę) ma zapewnić zgodne z prawem przetwarzanie danych osobowych, jak również to on ponosi odpowiedzialność za działania wszystkich osób upoważnionych do przetwarzania danych osobowych w jednostce. Nie należy zapominać, że odpowiednie zarządzanie danymi osobowymi stanowi element odpowiedzialnego oraz dobrego zarządzania placówką. Ma to też istotny wpływ na budowanie odpowiednich relacji z uczniami oraz ich rodzicami lub opiekunami.
Członkowie rady rodziców to rodzice uczniów danej szkoły, nie będący upoważnionymi przez dyrektora pracownikami jednostki. Mimo to wydaje się zasadne aby uznać za dobrą praktykę czynność, w której Inspektor Ochrony Danych zadba o elementarne poinformowanie przynajmniej prezydium rady rodziców w zakresie statusu rady rodziców w kontekście RODO. Może to pozwolić na uniknięcie ewentualnych naruszeń w ochronie danych, wynikających z braku wiedzy i świadomości u członków rady rodziców w danej szkole.