Krótki przewodnik po RODO dla szkół i nauczycieli

Image: karelnoppe / Shutterstock.com

Ochrona danych jest konieczna: oznacza prywatność i poszanowanie, a także stanowi zabezpieczenie przed manipulacjami. Mimo to, pewien niepokój towarzyszył wprowadzeniu rozporządzenia o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) na terenie Unii Europejskiej. Czy szkoły będą musiały dostosować swoje działania w zakresie prowadzenia dokumentacji? Jakie informacje uważane są za wrażliwe? Czy można przechowywać dane szkoły na przenośnym urządzeniu? Niniejszy poradnik pozwoli ci lepiej chronić dane twoich uczniów, a także wyjaśni, co dzieje się z danymi dotyczącymi twojej osoby.

Czym różnią się dane osobowe od danych wrażliwych

Dane osobowe obejmują wszelkie informacje, które pomagają zidentyfikować daną osobę lub jej rodzinę. Jeśli chodzi o dokumentację szkolną jest to imię i nazwisko, adres tej osoby, jej dane kontaktowe, zapisy w rejestrze dyscyplinarnym oraz oceny i raporty z postępów w nauce. Ten rodzaj danych to dane „osobiste”, nawet jeśli dana osoba postanowi je opublikować.

Istnieje specjalna kategoria danych odnoszących się do bardziej wrażliwych tematów. W kontekście szkoły, ten rodzaj danych obejmuje dane biometryczne ucznia (np. odciski palców, zdjęcia), przekonania religijne (np. to, czy uczeń uczęszcza na lekcje religii czy nie), zdrowie (np. alergie) lub ograniczenia dietetyczne (które mogą wskazywać na religię lub stan zdrowia). Nieuprawnione użycie tego rodzaju danych może stanowić zagrożenie dla ludzi i dlatego też muszą być one przetwarzane w określonych warunkach. Szkoły nie będą mogły użyć tych danych bez wcześniejszej zgody rodziców uczniów.

Czym różni się administrator danych osobowych od procesora danych osobowych

Rozporządzenie RODO podkreśla istotę tych dwóch ról, które mogą być przyjmowane zarówno przez osoby indywidualne jak i podmioty: administrator danych osobowych określa cele i środki przetwarzanych danych, podczas gdy procesor danych osobowych przetwarza dane w imieniu administratora. Odpowiedzialność prawna każdego z tych podmiotów jest inna.

Szkoła zazwyczaj będzie pełnić funkcję administratora danych, musi więc zapewnić jasną umowę z procesorem danych. Procesor może przyjmować różne postacie: może to być fotograf, firma zajmująca się niszczeniem odpadów, edukacyjna platforma internetowa czy program komputerowy. Wszelkie operacje tych podmiotów wykonane na danych traktowane są jako „przetwarzanie”, nawet jeśli procesy ten odbywają się automatycznie: gromadzenie, przechowywanie, odzyskiwanie, niszczenie, itp.

Dobre praktyki: monitoruj siebie

Według nowego prawa szkoły (podobnie jak wszystkie instytucje publiczne) muszą powołać inspektora ochrony danych osobowych, czyli specjalną osobę dedykowaną RODO. Zadaniem takiej osoby jest monitorowanie polityki szkoły, zapewnienie szkoleń w zakresie ochrony danych, przeprowadzanie kontroli i wiele innych. Szkoły nie powinny jednak składać całej odpowiedzialności na inspektora ochrony danych i liczyć, że osoba ta będzie odnajdywać wszelkie nieprawidłowości w systemie szkoły. Oto kilka pytań, które każdy powinien sobie zadać:

  1. Na jakiej podstawie przetwarzasz dane? Istnieje sześć podstaw prawnych przetwarzania danych według RODO. Podstawą prawną, która w największym stopniu odnosi się do szkół to wykonywanie zadań publicznych, co oznacza, że instytucje te wykonują swoje zadania w interesie publicznym. Danych zgromadzonych w ten sposób nie wolno jednak przetwarzać w innym celu. Przykładowo, szkoła nie może udostępnić adresu email rodzica osobie trzeciej, zajmującej się promowaniem imprez szkolnych, twierdząc, że jest to "zadanie publiczne"; by udostępnić tego rodzaje informacje, szkoła musi wystapić o zgodę osób, których dane te dotyczą. Szkoła musi również wystąpić o zgodę, jeśli np. zakłada uczniowi konto do usług hostingowych w chmurze.

  2. Gdzie są przechowywane poszczególne rodzaje danych i kto ma do nich dostęp? Szkoły powinny przeprowadzać kontrolę sposobu przetwarzania przez siebie danych. Kiedy już będą mieć pełen obraz danych, które posiadają, powinny rozważyć najlepsze metody ich ochrony. 

  3. Jakie środki bezpieczeństwa są dostępne? Incydenty naruszenia ochrony danych nie zawsze są wynikiem działania hakerów czy złośliwego oprogramowania – mogą być spowodowane laptopem pozostawionym w pociągu lub zbyt ciekawskim członkiem rodziny. Z tego też powodu pracownicy szkoły powinni przechowywać dane osobowe na szkolnym sprzęcie, chronionym silnymi hasłami. Urządzenia te powinny mieć również włączoną funkcję autoblokady po pięciu minutach. Jeśli dane pobierane są na urządzenia przenośne, takie jak pamięć USB, należy je szyfrować lub chronić hasłem i przechowywać z dala od innych użytkowników. Pracownicy szkoły powinni również przejść szkolenie w zakresie inżynierii społecznej, phishingu, technologii opartych na chmurze, złośliwego oprogramowania, itp.

  4. Co wiedzą rodzice? Szkoły powinny wydać specjalną informację skierowaną do rodziców – w postaci prospektu, biuletynu, raportu lub listu/wiadomości email: w tej informacji należy określić rodzaj gromadzonych danych, powód, dla którego dane są gromadzone oraz osoby trzecie, które mają do nich dostęp. Należy pamiętać, że zgodnie z RODO rodzice i uczniowie mogą mieć nieodpłatny wgląd do zgromadzonych danych dotyczących ich osoby.

Dobre praktyki: zdobywaj informacje

Nie tylko dorośli, ale również i dzieci powinny mieć jakieś pojęcie o ochronie danych osobowych. Dlatego też Wspólne Centrum Badawcze (Joint Research Centre) opracowało grę na urządzenia mobilne zatytułowaną Cyber Chronix, gdzie gracze muszą pokonać szereg przeszkód związanych z RODO na pewnej futurystycznej planecie.

Jeśli chcesz dowiedzieć się więcej na temat RODO, możesz także skontaktować się z wyspecjalizowanym organem do spraw ochronnych danych w twoim kraju.

Możesz również przeczytać publikacje, które pomogły stworzyć ten poradnik:

Na koniec możesz przystąpić do 30-sekundowego quizu utworzonego przez 360data, by sprawdzić, czy twoja organizacja dba o ochronę danych osobowych!