Dzień Edukacji Narodowej, który obchodzimy 14 października jest doskonałą okazją do podsumowania nie tylko osiągnięć, ale również wyzwań jakie stoją przed systemem edukacji w dzisiejszych czasach. Niewątpliwie jednym z takich wyzwań jest ochrona danych osobowych zarówno swoich podopiecznych jak i nauczycieli.

Szczególnie delikatnym tematem jest tutaj problem uczniów, biorąc pod uwagę realia w jakich obecnie funkcjonujemy – powszechny dostęp do Internetu, przepływ informacji oraz negatywne skutki z tym związane jakich doświadczamy na co dzień – hejt, dyskryminacja. Powodują, że kwestia właściwego podejścia do ochrony danych dzieci, w tym ich wizerunku jest szczególnie istotna. Duży wpływ tutaj ma również sytuacja rodzinna ucznia oraz kontakt z opiekunami prawnymi. Dlatego poprawna identyfikacja operacji przetwarzania danych osobowych ucznia, wymagających uzyskania pisemnej zgody jego prawnego opiekuna, jest szczególnie istotna. Zgody takie muszą być pozyskane w sposób prawidłowy, tak aby rodzic jej udzielający, zrobiła to w pełni świadomie i odpowiedzialnie. To duże wyzwanie po stronie Dyrektora placówki jako administratora danych osobowych.

Główne wyzwania jakie my, jako Inspektorzy ochrony danych widzimy, z doświadczenia ze współpracy ze szkołami to m.in. kwestia bezpiecznego stosowania monitoringu wizyjnego na terenie takich placówek oraz ochrona wizerunku małoletnich w kontekście Ustawy z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich.

Monitoring wizyjny jest bardzo skutecznym środkiem prewencji, jeżeli chodzi o negatywne zachowania na terenie szkoły, nagrania bardzo często są wykorzystywane w kwestiach spornych i dostarczają dowodów umożliwiających podjęcie odpowiednich działań. Bardzo często z inicjatywą zamontowania takiego systemu wychodzą sami rodzice czy Organ prowadzący placówkę. Niemniej odpowiedzialność w kontekście RODO, za bezpieczne przetwarzanie wizerunków osób zgromadzonych w systemie monitoringu i ewentualne incydenty z tym związane ponosi dyrekcja, jako administrator danych. Dlatego niezbędne jest spełnienie wszelkich wymagań przed uruchomieniem takiego systemu. Szkoły na podstawie art. 108a prawa oświatowego, są zobowiązane przeprowadzić przed uruchomieniem monitoringu, konsultacje z radą pedagogiczną, radą rodziców oraz samorządem uczniowskim. Ustawa przewiduje również wyłączenia miejsc, w których to kamer nie wolno stosować lub stosować wyłącznie w określonych uzasadnionych przypadkach. W ramach współpracy z naszymi placówkami oświatowymi, gdzie nasi eksperci pełnią funkcję Inspektora ochrony danych, zwracamy na ten obszar szczególną uwagę i przygotowaliśmy dla nich projekt takich konsultacji w celu ułatwienia wdrożenia monitoringu zgodnie z RODO.

Ochrona wizerunku ucznia z kolei została dość mocno obwarowana w ramach wdrożonych w placówkach Standardów Ochrony Małoletnich, jest to wymóg wspomnianej wcześniej tzw. Ustawy Kamilka. Jak istotny jest to obszar, wystarczy wspomnieć, że podmioty, które przetwarzają dane dzieci – wizerunek dzieci, gdy wymagana jest zgoda wyrażona przez rodziców lub opiekunów prawnych – zostały ujęte w planie kontroli sektorowych Urzędu Ochrony Danych Osobowych na 2025 rok. Wymogi stanowią jednoznacznie, że wszelkie kwestie pozyskania i przetwarzania wizerunku małoletniego ucznia, wymagają pisemnych zgód opiekuna prawnego. Samo pozyskanie pisemnych zgód nie nastręcza jeszcze tak wielu problemów, szkoła ma przecież bezpośredni kontakt z rodzicami, przedłożenie stosownego oświadczenia nie stanowi problemu. Problem pojawia się często z późniejszym właściwym zarządzaniem takimi zgodami. Szkoła powinna wprowadzić system rejestrowania i wycofywania takich zgód, który pozwoli na bieżąco kontrolować, którzy rodzice takich zgód udzielili oraz w przypadku których uczniów, takiej zgody nie ma. Ważne jest również uczulenie personelu, na te kwestie. Nauczyciel powinien dysponować aktualną listą udzielonych zgód i stosować się do niej zwłaszcza w trakcie przygotowywania relacji z różnego rodzaju wydarzeń szkolnych czy wycieczek.

Szczególną uwagę należy tutaj również zwrócić na współpracę z fotografem w szkole. Często spotykanym błędem po stronie placówek, jest zawieranie umów powierzenia z takimi podmiotami. Natomiast jest to nieuzasadnione i niekorzystne rozwiązanie dla Dyrektora, który podpisując taką umową, poniekąd bierze na siebie odpowiedzialność za ewentualne zaniedbania takiej firmy w zakresie RODO. Fotograf, wykonując zdjęcia uczniów celem odpłatnego zaoferowania ich rodzicom, świadczy komercyjną usługę i należy go traktować jako odrębnego administratora danych, na którym spoczywają obowiązku RODO wobec opiekunów prawnych uczniów w tym ewentualne kwestie pozyskania zgód i obowiązku informacyjnego. Warto o tym pamiętać.

Inne obszary, które jako Inspektorzy zauważamy, a które mogą być i niestety często są źródłem incydentów ochrony danych to korzystanie przez nauczycieli z prywatnych komputerów do celów służbowych oraz wykorzystywanie prywatnej poczty np. do kontaktu z rodzicami czy przesyłaniu dokumentów szkolnych. Zapisywanie danych osobowych na prywatnych urządzeniach, czy przesyłanie ich na prywatne skrzynki zwłaszcza bez stosowania szyfrowania, może doprowadzić do ujawnienia danych nieuprawnionej osobie i tym samym naruszenia ochrony danych. Poprawę sytuacji zauważamy w związku ze stosowaniem dzienników elektronicznych, które zwiększają bezpieczeństwo danych osobowych poprzez większe możliwości zarządzania dostępem do danych, bezpieczniejszą komunikację i przesyłanie danych np. z rodzicami, pracownikami czy dyrekcją szkoły.

W każdej organizacji kluczowym elementem systemu ochrony danych osobowych jest systematyczne szkolenie personelu. W szkołach, jest to niestety często pomijany przez administratorów aspekt. Samo zorganizowanie takiego szkolenia w godzinach pracy jest już dużym wyzwaniem. Wiadomo, trwają lekcje, nauczyciele pełnią dyżury. Zebranie personelu na kilkugodzinne szkolenie z IODem czy zewnętrznym trenerem, jest praktycznie niemożliwe. Nie wspominając o kosztach jakie wiążą się z zakupem szkolenia. Nasza firma wychodząc na przeciw tym wyzwaniom oferuje platformę szkoleniową, która umożliwia przeszkolenie personelu indywidualnie i w dogodnym dla nich terminie. Szkolenie multimedialne przy niewielkich kosztach, dostarcza wielu praktycznych wskazówek, a dzięki wbudowanym testom sprawdzającym wiedzę i certyfikatom, daje administratorowi dowód na spełnienie wymogu przeszkolenia personelu, dopuszczanego do przetwarzania danych osobowych.

Wracają na koniec jeszcze do kwestii technicznych w zakresie bezpieczeństwa, należy przypomnieć, że szkoły podobnie jak inne podmioty publiczne podlegają obowiązkowi stosowania Krajowych Ram Interoperacyjności tzw. audyt KRI. W większości placówek oświatowych nie zdaje sobie sprawy z tego obowiązku. Często dowiadują się dopiero w sytuacji, gdzie do szkoły wpływa zapytanie w ramach dostępu do informacji publicznej – czy oraz w jaki sposób szkoła taki audyt realizuje. Dyrektorzy wskazują, że głównym problemem są ceny takich audytów, szkoła – jeżeli nie pozyska dofinansowania, nie stać po prostu na zlecenie audytu. Znając te problemy opracowaliśmy w naszym zespole usługę audytu AKRI Basic. Dzięki zastosowaniu formy ankietowej oraz realizacji usługi online udało się przygotować audyt KRI w dostępnej cenie. Usługa jest dostosowana do wymogów Rozporządzania KRI oraz możliwości finansowych i organizacyjnych placówek oświatowych. Zachęcam Państwa do zainteresowania się tą usługą i kontaktu z naszym działem handlu. Audyt ten, oprócz tego, że dostarczy Państwu dokument na potwierdzenie spełnienia wymogu prawa w zakresie corocznego audytu bezpieczeństwa informacji, pokaże również w jakim miejscu znajduje się organizacja pod względem m.in. bezpieczeństwa sieci informatycznej czy kompletności procedur i polityk ochrony danych. Audyty te realizują osoby, które posiadają dużą wiedzę i doświadczenie w pracy z placówkami oświatowymi, pomogą Państwu właściwie zinterpretować wyniki audyty oraz podpowiedzą rozwiązania dostosowane do Państwa potrzeb i możliwości.

Dzień Edukacji Narodowej to jedno z ważniejszych świąt w kalendarzu szkolnym, niesprawiedliwym byłoby więc, tylko narzekać, że to całe RODO w szkołach to tylko problemy i wyzwania. Współpracujemy z placówkami oświatowymi różnego szczebla od wielu lat, widzimy jak duże postępy poczyniono w kierunku poprawy ochrony danych osobowych w szkołach. Bardzo wiele zmieniło się jeżeli chodzi o świadomość potrzeby dbania o bezpieczeństwo danych osobowych uczniów. Często nauczyciele sami odgrywają dużą rolę w uświadamianiu swoich podopiecznych jak ważne jest dbanie o swoją prywatności – szczególnie w Internecie. Organizowane są dedykowane zajęcia, zapraszani do szkół specjaliści w tych dziedzinach.

Za to należą się nauczycielom duże podziękowania, w końcu pomagają nam dbać o bezpieczeństwo naszych dzieci oraz uczą ich, świadomie korzystać z prawa do ochrony prywatności.

Chcesz przeprowadzić audyt KRI? Zgłoś się do nas! Wiemy jak skutecznie Wam pomóc: https://www.comp-net.pl/kontakt/