Naruszenia RODO w Oświacie

Artykuł ma na celu przedstawienie praktycznych rozwiązań przy zastosowaniu zasad bezpieczeństwa przetwarzania danych osobowych w placówkach oświatowych na podstawie wytycznych RODO.

W swojej strukturze, artykuł zawierać będzie porady dla Dyrektorów Szkół jak zabezpieczyć dane osobowe pod względem organizacyjnym, by przetwarzanie odbywało się zgodnie z RODO.

Kolejnym celem artykułu jest definicja elementów niepożądanych w procesie przetwarzania danych osobowych wraz z przykładami (złe praktyki, incydent, naruszenie ochrony danych osobowych).

Aby właściwie przedstawić aspekty ochrony danych osobowych w placówkach oświatowych, należy na wstępie określić Administratora danych. Administratorem w procesie przetwarzania danych osobowych jest Szkoła, reprezentowana przez Dyrektora. To Dyrektor „ustala cele i sposoby przetwarzania danych osobowych (art. 4, pkt. 7 RODO) na podstawie obowiązujących sektorowych przepisów prawa:

  • Ustawa z dnia 7 września 1991 r. o systemie oświaty;
  • Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe;
  • Ustawa z dnia 14 grudnia 2016 r. Przepisy wprowadzające ustawę – Prawo oświatowe;
  • Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela

Naruszenie i złe praktyki przy przetwarzaniu danych osobowych w placówkach oświatowych

Na wstępie należy zdefiniować czym konkretnie jest zła praktyka przy przetwarzaniu danych osobowych. Zła praktyka wynika najczęściej z rutyny pracowniczej, bądź niewiedzy i nie musi, ale może prowadzić do naruszenia.

Naruszenie ochrony danych osobowych wynika z braku odpowiedniego poziomu świadomości zasad przetwarzania i związane jest z realnym wpływem na integralność, jawność, poufność, lub dostępność danych osobowych. Złamanie którejkolwiek z wymienionych zasad jest równoznaczne z wystąpieniem naruszenia ochrony danych osobowych.

Analizując sposób uniknięcia wystąpienia naruszenia w placówce oświatowej, Dyrektor musi wziąć pod uwagę czynnik ludzki jako główny czynnik kształtujący ryzyko wystąpienia naruszenia.

Poniżej przedstawiamy główne przykłady naruszeń ochrony danych osobowych w placówce oświatowej:

  • udostępnianie rodzicom danych innego dziecka (naruszenie wynikające z błędnej identyfikacji, bądź nieostrożności, czy rutyny);
  • udostępnianie danych organom prowadzącym Szkołę (wezwanie Wójta, Burmistrza, Prezydenta). Szkoła, jako w pełni suwerenny Administrator jest zobowiązana do zapewnienia podstawowych zasad bezpieczeństwa przetwarzania danych osobowych (poufność, integralność, dostępność).
  • udostępnianie danych konkretnego ucznia w przypadku, kiedy można udostępnić dane ogólne, zanonimizowane (w przypadku realizowania różnych czynności, niewymagających wprost danych osobowych);
  • udostępnianie danych pracowników Szkoły organom prowadzącym. (Tylko Dyrektor, jako pracodawca, zgodnie z obowiązującymi przepisami może administrować tymi danymi);
  • wynajęcie na podstawie ustnej umowy osoby (rodzic) do rejestracji zdarzenia, konkursu poprzez nagrywanie filmów, robienie zdjęć (brak kontroli nad utrwalonymi danymi);
  • zgubienie/utrata danych;
  • brak uregulowanych kwestii powierzenia przetwarzania danych osobowych (udostępnienie danych szczególnej kategorii podmiotom nieuprawnionym);
  • wysyłanie wiadomości mailowych do wszystkich rodziców z informacją szczególnie chronioną;
  • debata na zebraniu o stanie zdrowia dziecka, bądź prowadzenie rozmowy na lekcji o stanie zdrowia nieobecnego dziecka;
  • udostępnienie danych przez telefon (nigdy nie mamy pewności o odbiorcy)
  • uzyskanie informacji, potwierdzającej, uwiarygadniającej osobę uprawnioną.

Przykłady złych praktyk, które mogą stwarzać wysokie ryzyko wystąpienia naruszenia:

  • bezrefleksyjne podejście do wszelkich wniosków od organu prowadzącego;
  • niewłaściwe przechowywanie danych osobowych (dziennik lekcyjny);
  • sprawdzanie prac uczniów przez nauczyciela w domu, praca zdalna w dzienniku elektronicznym bez odpowiedniej świadomości.

Porady praktyczne

Aby zminimalizować ryzyko wystąpienia naruszenia oraz zwalczać skutecznie złe praktyki, Dyrektor powinien przede wszystkim wdrożyć cykliczny system szkoleń dla kadry przetwarzającej dane osobowe. Dodatkowo, Administrator powinien:

  1. Powołać Inspektora ochrony danych;
  2. Powołać osobę odpowiedzialną za bezpieczeństwo systemów informatycznych (nawiązanie współpracy z firmą IT, która wykaże gotowość w sytuacji awaryjnej);
  3. Wdrożyć dokumentację z zakresu ochrony danych osobowych i wykazać, że dokumentacja stanowi istotny element dla kadry pracowniczej (wydanie zarządzenia wewnętrznego, przesłanie dokumentacji pracownikom i sporządzenie listy osób, które zapoznały się z wytycznymi);
  4. Dokonać identyfikacji ról w procesie przetwarzania (inwentaryzacja podpisanych umów, określenie relacji pomiędzy Administratorem, a Podmiotem przetwarzającym, uzupełnienie ewentualnych braków poprzez sporządzenie dodatkowych umów).

Podsumowanie

Należy pamiętać, że Szkoła, jako placówka oświatowa, której zakres działania jest sprecyzowany w oparciu o obowiązujące przepisy prawa musi funkcjonować przetwarzając dane osobowe. Większość działań publicznych placówek oświatowych odbywa się na podstawie art. 6, ust. 1, lit. c RODO tj. realizacji obowiązku prawnego.

Chcesz sprawdzić czy w Twojej szkole dochodzi do naruszeń?
Skorzystaj ze sprawdzonego audytu


Udostępnij Treść