Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Godność, prywatność i bezpieczeństwo

24-10-2019

Ochrona danych osobowych w szkołach powinna stanowić kluczowy element dobrego i właściwego zarządzania placówką z uwagi na bezpieczeństwo uczniów i wszystkich pracowników. Rozmowa z Pauliną Dawidczyk, dyrektor Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa w Urzędzie Ochrony Danych Osobowych

 

Dlaczego dane osobowe są nazywane złotem XXI wieku?

 

Dane osobowe stały się kluczowym zasobem, szczególnie cennym w dobie rozwoju technologicznego. Funkcjonuje już nawet pojęcie rynku danych. Dlatego tym bardziej informacje, obejmujące dane osobowe, powinny być skutecznie chronione. Obecnie bardziej niż kiedyś jesteśmy narażeni na ich utratę, a co za tym idzie, na niekontrolowane przetwarzanie. Dużo łatwiej też dane pozyskać, bo korzystając z internetu, niezależnie czy to z bankowości elektronicznej, serwisów społecznościowych, czy robiąc zakupy online, udostępniamy coraz więcej swoich danych osobowych. Dzieje się tak również w związku z prowadzeniem działalności oświatowej. Przepisy prawa, takie jak zawarte w ogólnym rozporządzeniu o ochronie danych (rodo), dają nam konkretne narzędzia w postaci praw gwarantowanych, dzięki którym możemy skuteczniej przeciwdziałać wielu zagrożeniom. Także administratorzy lepiej rozumieją, że niezgodne z prawem zarządzanie danymi może prowadzić do nieodwracalnych strat, więc częściej są skłonni inwestować w bezpieczeństwo w tej sferze swojej działalności.

 

Gromadzenie danych, ich łączenie, profilowanie – to wszystko stanowi jedno z najważniejszych zagadnień współczesnego świata. Czy jako społeczeństwo jesteśmy już świadomi, jak ważny jest to temat?

 

Wzrost świadomości jest widoczny, chociaż jeszcze wiele pracy przed nami. Niemniej zmiana jest zauważalna. Przykładowo warte uwagi są wyniki badania Eurobarometru z wiosny 2019 r. Wynika z nich, że Europejczycy są stosunkowo dobrze poinformowani o nowych przepisach dotyczących ochrony danych, swoich prawach oraz istnieniu krajowych organów ochrony danych, do których mogą zwrócić się o pomoc w przypadku naruszenia ich praw. Więcej niż połowa Europejczyków słyszało o rodo. Badanie to dostarcza wielu dobrych informacji na temat stanu świadomości Polaków. Okazuje się, że na tle Europejczyków mamy dużą świadomość funkcjonowania rodo (56 proc. do 36 proc. w UE). Więcej, jesteśmy jednym z liderów. Lepsi od nas są tylko Szwedzi i Holendrzy. Z kolei jeśli chodzi o odsetek respondentów, którzy nie słyszeli o rodo, w Polsce jest on znacznie niższy niż w Europie (14 proc. do 32 proc. w UE). O tym, że wzrasta świadomość Polaków, świadczy też znaczna liczba skarg, które trafiły do Urzędu Ochrony Danych Osobowych, odkąd stosujemy rodo. Są wśród nich także skargi dotyczące szkół. Przykładowo dotyczyły one udostępniania danych osobowych, w tym danych uczniów i/lub ich przedstawicieli ustawowych, osobom nieuprawnionym, np. poprzez odczytanie pisma skierowanego do szkoły podczas zebrania rady rodziców, publikację wizerunku ucznia na stronie internetowej szkoły bez zgody, udostępnienie danych zawartych w piśmie skierowanym do szkoły poprzez wywieszenie tego pisma na tablicy ogłoszeń znajdującej się w pokoju nauczycielskim, udostępnienie danych osobowych ucznia w zakresie informacji o posiadanym przez niego stopniu niepełnosprawności rodzicom innych dzieci.

 

Przejdźmy do praktycznego wymiaru zarządzania bezpieczeństwem danych w oświacie. Ich wymiana stanowi niezbędny element edukacji – bez tego szkoły i placówki oświatowe nie mogłyby po prostu funkcjonować. Kiedy w ubiegłym roku rozpoczęliśmy stosowanie rodo, w niektórych szkołach doszło do sporego zamieszania. Co najbardziej utkwiło Pani w pamięci z tzw. absurdów rodo?

 

Moją uwagę przyciągnęło powstrzymywanie się nauczycieli przed wyczytywaniem imion i nazwisk uczniów podczas sprawdzania listy obecności czy oddawania klasówek lub sprawdzianów. Rodo nie wprowadziło żadnych rozwiązań, które upoważniałyby do takiego zachowania. Powiem więcej, rodo absolutnie nic nie zmieniło w tym zakresie.
Szkoły działają przecież na podstawie przepisów sektorowych – Prawo oświatowe czy ustawa o systemie oświaty – a te wskazują na pewne funkcje związane z edukacją czy wychowywaniem dzieci, które szkoła musi realizować. Do realizacji tych celów nie jest wymagana zgoda ucznia lub, w przypadku ucznia małoletniego, rodzica na przetwarzanie ich danych. A z taką sytuacją mamy do czynienia we wspomnianych przypadkach. Cieszę się, że obecnie coraz rzadziej spotykamy się z taką interpretacją rodo, chociaż muszę przyznać, że wciąż jeszcze dyrektorzy szkół napotykają trudności.

 

Warto w tym miejscu uściślić, co należy uznawać za dane osobowe. Czy na pewno zawsze dobrze rozumiemy, czym one są?

 

Faktycznie, wiele osób ma problemy z prawidłowym zrozumieniem, czym tak naprawdę są dane osobowe. Przede wszystkim to, co należy uznać za „dane osobowe”, definiuje rodo. Pod tym pojęciem kryją się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Chodzi o osobę, którą można bezpośrednio lub pośrednio zidentyfikować np. na podstawie: imienia i nazwiska, cech fizycznych albo genetycznych, a także wielu innych właściwości. Przy okazji dodam, że do danych osobowych zalicza się również informacje dotyczące osób fizycznych prowadzących działalność gospodarczą. Gdy mowa o szkole, to przykładowo mamy do czynienia z takimi danymi, jak: podstawowe dane identyfikacyjne (imiona i nazwiska uczniów i pracowników); szczegóły osobiste (w przypadku uczniów imiona rodziców, daty urodzenia); dane do kontaktu (numer telefonu, adres e-mail); biometryczne dane identyfikacyjne uczniów (zdjęcie); dane dotyczące zamieszkania; dane psychologiczne dzieci (w przypadku korzystania z opinii poradni psychologiczno-pedagogicznej); dane dotyczące zdrowia fizycznego dzieci (w przypadku zwolnienia z lekcji wychowania fizycznego).

 

Jaki jest cel przetwarzania danych osobowych w szkole?

 

Szkoły przetwarzają dane osobowe, aby zrealizować statutowe zadania dydaktyczne, opiekuńcze i wychowawcze na podstawie przepisów odnoszących się ściśle do funkcjonowania oświaty. Przede wszystkim są to: Prawo oświatowe, Karta Nauczyciela, ustawa o systemie oświaty, ustawa o systemie informacji oświatowej, ustawa o finansowaniu zadań oświatowych, a także rozporządzenia do ww. ustaw. Koniecznie muszę podkreślić, że szkoła nie przetwarza tylko danych osobowych uczniów. Proces ten obejmuje także dane ich opiekunów prawnych (np. rodziców), ale również nauczycieli, innych niż nauczyciele pracowników pedagogicznych, pracowników niepedagogicznych, osób niebędących nauczycielami – asystentów nauczycieli, wolontariuszy itp.

 

W praktyce wraz z rozpoczęciem stosowania rodo obowiązki związane z wprowadzeniem nowych przepisów przejął wyznaczony inspektor ochrony danych. W takiej sytuacji wielu nauczycieli może stwierdzić, że skoro nie muszą się obciążać dodatkowym bagażem wiedzy i przepisów, to nie będą tego robić…

 

Niestety, takie myślenie jest błędne. Wystarczy przyjrzeć się, jakie zadania wykonuje inspektor ochrony danych, aby zrozumieć, że ta kluczowa postać w procesie przetwarzania danych nie wykona efektywnie swoich zadań bez współpracy z innymi podmiotami. A nie jest nim wyłącznie administrator. To także pracownicy. Przykładowo wskażę tylko dwa zadania, które obrazują tę zależność. Po pierwsze, IOD informuje administratora i pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rodo. Zatem dla wielu nauczycieli inspektor jest nieocenionym źródłem informacji o tym, jak mają postępować z danymi. Po drugie, IOD pełni rolę punktu kontaktowego dla osób, których dane dotyczą – uczniów i opiekunów prawnych, we wszystkich sprawach związanych z przetwarzaniem ich danych oraz z wykonywaniem praw przysługujących im na mocy rodo. Zatem obecność IOD w szkole wzmacnia ją, jednak nie zwalnia personelu z odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych.

 

W wielu placówkach pojawiały się i pojawiają różne wątpliwości związane z praktycznym stosowaniem rodo. Jeden ze znaków zapytania dotyczy rejestru czynności przetwarzania. Czy można go prowadzić w formie elektronicznej?

 

Jeśli chodzi o prowadzenie rejestru, to rodo wskazuje, że ma on mieć postać pisemną. Nie określa jednak, czy rejestr należy prowadzić w formie papierowej czy elektronicznej. W związku z tym administrator może sam zdecydować, w jakiej formie chce go prowadzić, a także jak skategoryzuje i opisze te dane.

 

[...]

 

Rozmawiał Eryk Chilmon

 

Paulina Dawidczyk – dyrektor Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa Urzędu Ochrony Danych Osobowych. Ponad 10 lat pracowała w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Prelegent na licznych konferencjach na temat ochrony danych. Prowadzi szkolenia i zajęcia z zakresu ochrony danych osobowych. Autorka publikacji z zakresu tej dziedziny. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych w sektorze zatrudnienia.


Pełna treść artykułu jest dostępna w papierowym oraz elektronicznym wydaniu pisma.
Zapraszamy do składania zamówień na prenumeratę.


« Powrót

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.