Odpowiedź:
Zgodnie z art. 90 ust. 3e ustawy z dnia 7 września 1991 r. o systemie oświaty – dalej u.s.o., organy jednostek samorządu terytorialnego, które udzielają dotacji niepublicznym przedszkolom (oraz szkołom lub placówkom), mogą kontrolować prawidłowość wykorzystania przez niepubliczne przedszkola udzielonych dotacji. Osoby upoważnione przez ww. organy mają prawo wstępu do niepublicznych przedszkoli oraz wglądu do prowadzonej przez nie dokumentacji organizacyjnej, finansowej i dokumentacji przebiegu nauczania. Natomiast zgodnie z art. 90 ust. 3g u.s.o. w związku z przeprowadzaniem kontroli prawidłowości wykorzystywania dotacji przez niepubliczne przedszkola ww. organy mogą przetwarzać dane osobowe uczniów tych przedszkoli.
Stworzenie zbioru danych osobowych wychowanków niepublicznych przedszkoli nie wpisuje się w powyższe upoważnienie do przetwarzania danych osobowych wychowanków. Treść art. 90 ust. 3g u.s.o. upoważnia bowiem do przetwarzania tych danych w związku z przeprowadzaniem kontroli. Jak stwierdził Wojewódzki Sąd Administracyjny w wyroku z dnia 15 maja 2012 r. (wyrok WSA z dnia 15 maja 2012 r. I SA/Gd 245/12) przetwarzanie danych osobowych poza prowadzoną kontrolą nie znajduje upoważnienia ustawowego, a "składanie takich danych w ramach rozliczania otrzymanych dotacji rocznych nie mieści się w ramach prowadzonej kontroli".
Organ jednostki samorządu terytorialnego może zatem przetwarzać dane osobowe wychowanków niepublicznych przedszkoli na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – dalej u.o.d.o., w zw. z art. 90 ust. 3g u.s.o., tj. w trakcie kontroli niepublicznego przedszkola. W innych przypadkach może je przetwarzać jedynie na podstawie art. 23 ust. 1 pkt 1 u.o.d.o., tj. gdy osoba, której dane dotyczą, wyrazi na to zgodę. Aby zatem prowadzić ewidencję wychowanków niepublicznych przedszkoli (zbiór danych osobowych), organ jednostki samorządu terytorialnego powinien wystąpić do każdego rodzica wychowanka o zgodę na przetwarzanie jego danych osobowych.
Zgodnie z art. 40 i art. 41 u.o.d.o. administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Zgłoszenie powinno zawierać:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 u.o.d.o., lub wyznaczenia podmiotu, o którym mowa w art. 31a u.o.d.o., oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
3) cel przetwarzania danych,
3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
4) sposób zbierania oraz udostępniania danych,
4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 u.o.d.o.,
6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a u.o.d.o.,
7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Administrator danych od 1 stycznia 2015 r., na mocy art. 9 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej zmieniającego u.o.d.o., nie będzie podlegał obowiązkowi zgłoszenia ww. zbioru danych do rejestracji Generalnemu Inspektorowi, jeżeli powoła administratora bezpieczeństwa informacji i zgłosi go Generalnemu Inspektorowi do rejestracji (art. 43 ust. 1a u.o.d.o.). Zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o. zadaniem administratora bezpieczeństwa informacji będzie m.in. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 u.o.d.o.
Czy gmina może prowadzić ewidencję wychowanków przedszkoli niepublicznych?
Pytanie pochodzi z programu Lex Prawo Oświatowe: Czy organ rejestrujący (gmina) może prowadzić rejestr/ewidencję wychowanków przedszkoli niepublicznych? Jeżeli tak, to jakie dane może zawierać taki rejestr i czy podlega on zgłoszeniu do GIODO?