• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Wdrożenie RODO w szkole

Facebook Linkedin Instagram

Spis treści

RODO w szkole

Często otrzymujemy zapytania od niepewnych dyrektorów szkół, nauczycieli oraz innych pracowników placówek oświatowych, szczególny wzrost zapytań oraz niepewności odnotowaliśmy podczas pandemii koronawirusa, kiedy to wątpliwości kwestii przetwarzania danych dot. zdrowia uczniów były szczególnie obecne. Dlatego uważamy, że tak ważna jest poprawna edukacja i zrozumienie przepisów ochrony danych osobowych.

wdrożenie rodo w szkole

Ogólne rozporządzenie o ochronie danych RODO obowiązuje od 25 maja 2018 roku. Chodź od wejścia w życie przepisów RODO minęło już parę lat w dalszych ciągu budzi ono skrajne emocje. Podczas przeprowadzenia audytów oraz szkoleń zetknęliśmy się z wieloma mitami na temat RODO. Mity te nie są wynikiem treści rozporządzenia, tylko jego błędnej interpretacji. Obawa przed wysokimi karami finansowymi spowodowała utarcie się wielu nieprawdziwych i szkodliwych schematów na gruncie tematyki ochrony danych osobowych.

Uważamy, że błędna interpretacja oraz nadgorliwość w stosowaniu przepisów RODO niesie za sobą ogromne ryzyko, dlatego tak ważne jest poprawne wdrożenie przepisów ochrony danych osobowych do szkół. Szkoły oraz placówki oświatowe przetwarzają dane osobowe na dużą skalę, w tym dane szczególnej kategorii (dane wrażliwe), których podmiotem są w większości przypadków osoby małoletnie.

Należy również pamiętać, ze szkoły oraz placówki oświatowe jako podmioty publiczne są zobligowane do powołania Inspektorów Ochrony Danych Osobowych – osób odpowiedzialnych za pomoc oraz doradztwo administratorowi we wszystkich kwestiach związanych z ochroną danych osobowych. Na stanowisko IOD zazwyczaj są powoływani pracownicy tych placówek, dlatego ważnym jest by przeszli oni właściwe szkolenie.

Wdrożenie RODO w szkole

Jeśli szkoła chce wdrożyć unijne przepisy dotyczące ochrony danych osobowych (RODO), musi zapewnić właściwe zabezpieczenia, aby chronić dane uczniów. Przepisy te mają na celu zapewnienie, że dane osobowe uczniów są bezpieczne i przetwarzane zgodnie z prawem. Aby to zrobić, szkoła musi wdrożyć określone środki ochrony, takie jak szyfrowanie danych, stosowanie silnych haseł i wykorzystanie systemu kontroli dostępu.

Szkoła powinna tworzyć politykę o ochronie danych osobowych, aby wyjaśnić, jakie dane są przetwarzane, w jaki sposób są chronione i kto ma dostęp do nich. Powinna ona zawierać informacje na temat rodzajów danych przetwarzanych, środków technicznych i organizacyjnych stosowanych do ich ochrony oraz odpowiedzialności za ich właściwe wykorzystanie.

Oprócz tworzenia polityki ochrony danych osobowych, szkoła powinna również wdrażać procedury w celu zapewnienia, że są one przestrzegane. Powinna również przeprowadzać regularne kontrole, aby upewnić się, że dane są właściwie przechowywane i wykorzystywane, oraz stosować odpowiednie środki ochrony w miejscach, w których przechowywane są dane. Ponadto, szkoła powinna okresowo przeprowadzać szkolenia dla swoich pracowników, aby upewnić się, że wszyscy pracownicy znają przepisy ochrony danych osobowych oraz wiedzą jakie normy zostały wdrożone przez IOD.

Jakie dane osobowe przetwarza szkoła?

Szkoły przetwarzają szereg danych osobowych, w tym dane o urodzeniu, adresie, historii edukacji, płci i numerze PESEL. Szkoły mogą również przechowywać i przetwarzać dane dotyczące zdrowia i bezpieczeństwa uczniów, dane dotyczące zarobków rodziców lub opiekunów oraz informacje dotyczące nieobecności uczniów.

ochrona danych osobowych w szkole

Jakie są zagrożenia dla przetwarzania danych w szkole?

Zagrożenia dla przetwarzania danych w szkole mogą pochodzić z różnych źródeł, w tym z nieautoryzowanych do dostępów do danych, niedostatecznej ochrony danych, nieprawidłowego przechowywania danych oraz niezgodnego z prawem ich wykorzystania. Aby zminimalizować te ryzyka, szkoły powinny wdrożyć odpowiednie środki ochrony, takie jak szyfrowanie danych, tworzenie polityki o ochronie danych i okresowe szkolenia dla pracowników. Ponadto, szkoły powinny regularnie sprawdzać swoje systemy i procedury w celu wykrywania ewentualnych nieprawidłowości i wprowadzać poprawki, jeśli to konieczne. W ten sposób zminimalizują one ryzyko naruszenia przepisów dotyczących ochrony danych osobowych i zapewnią bezpieczeństwo ich przetwarzania.

 

Szkoły powinny również pamiętać o wykonywaniu regularnych kopii zapasowych danych osobowych w celu ochrony przed utratą danych. Powinny one również stosować określone procedury w przypadku wystąpienia incydentu bezpieczeństwa, aby zapewnić szybkie i skuteczne usunięcie wszelkich nieprawidłowości. Wreszcie, szkoły powinny stosować mechanizmy monitorowania i raportowania zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych, aby zapewnić pełne przestrzeganie przepisów. Podsumowując, wdrożenie RODO w szkołach oznacza wyższy poziom ochrony danych osobowych uczniów i rodziców. Aby to osiągnąć, szkoły muszą wdrożyć odpowiednie środki ochrony, takie jak szyfrowanie danych, tworzenie polityki o ochronie danych oraz regularne szkolenia dla pracowników. Powinny one również wykonywać regularne kopie zapasowe danych i stosować procedury w przypadku incydentów bezpieczeństwa, aby zapewnić skuteczną ochronę danych osobowych.

Ochrona danych osobowych w szkole – kategorie danych osobowych:

a) dane tzw. zwykłe:

  • imię, nazwisko,
  • adres zamieszkania,
  • data i miejsce urodzenia,
  • numer telefonu,
  • wykonywany zawód,
  • adres e-mail itp.,

b) szczególne kategorie danych osobowych:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej,

 

c) dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.

RODO w szkole

Status dyrektora szkoły w realiach przepisów ochrony danych

Administratorem danych osobowych jest szkoła i to jej zadaniem jest przestrzegane przepisów ochrony danych osobowych oraz wykazanie owego przestrzegania, zgodnie z zasadą rozliczalności. Dyrektor szkoły na mocy art. 7 ustawy Karta Nauczyciela reprezentuje szkołę, jest więc on osobą odpowiedzialną za prawidłowy nadzór przetwarzania danych osobowych w szkole.

Jakie kategorie danych osobowych są przetwarzane w szkołach i placówkach oświatowych?

  1. dane osobowe zwykłe, np. imię i nazwisko, NIP, adres, dane kontaktowe, wizerunek, obecność, oceny;
  2. dane osobowe szczególne tzw. wrażliwe, np. dane biometryczne ucznia (odciski palców), przekonania religijne (uczestnictwo w zajęciach katechezy), stan zdrowia (np. badania podmiotowe, zwolnienie z lekcji W-F);
  3. dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. W celu potwierdzenia spełniania warunku niekaralności nauczyciel, przed nawiązaniem stosunku pracy, jest obowiązany przedstawić dyrektorowi szkoły informację z Krajowego Rejestru Karnego.

Rozliczalność w szkole (art. 5 ust. 2 RODO)

Rozliczalność w szkole jest jednym z filarów skutecznego wdrożenia RODO w szkole. Zasada ta oznacza, że szkoła – jako administrator danych osobowych – ma nie tylko stosować przepisy RODO, ale również móc udowodnić, że je stosuje. W praktyce oznacza to konieczność dokumentowania wszystkich działań związanych z ochroną danych.

Szkoła powinna być w stanie w każdej chwili wykazać, że dane uczniów, rodziców i pracowników są przetwarzane:

  • zgodnie z prawem i w sposób przejrzysty,
  • w jasno określonych celach,
  • w minimalnym niezbędnym zakresie,
  • prawidłowo i aktualnie,
  • przez okres konieczny do realizacji tych celów,
  • z zachowaniem odpowiednich zabezpieczeń technicznych i organizacyjnych.

 

Aby wypełnić wymogi rozliczalności, szkoła powinna stosować narzędzia i procedury takie jak:

  • Rejestr czynności przetwarzania – dokument opisujący wszystkie procesy związane z danymi osobowymi, ich cele, podstawy prawne, kategorie odbiorców i zabezpieczenia.
  • Polityki i procedury ochrony danych – określające zasady postępowania z dokumentacją papierową i elektroniczną, reagowania na incydenty, udzielania dostępu do danych.
  • Protokoły z audytów i kontroli wewnętrznych – regularne sprawdzanie, czy pracownicy stosują się do ustalonych procedur.
  • Procedury reagowania na naruszenia – opis działań, jakie należy podjąć w przypadku np. zgubienia dokumentów, włamania do systemu czy ujawnienia danych osobom nieuprawnionym.
  • Potwierdzenia szkoleń pracowników – dowody na to, że personel został przeszkolony z zasad ochrony danych i zna swoje obowiązki.

Co istotne, brak dokumentacji może być potraktowany jako naruszenie RODO nawet wtedy, gdy szkoła faktycznie przestrzega prawa. Wynika to z faktu, że organ nadzorczy ocenia nie tylko stan faktyczny, ale i zdolność administratora do udokumentowania zgodności swoich działań z przepisami.

Przetwarzanie danych osobowych w szkole

„Przetwarzanie” zgodnie z art. 4 pkt 2 RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Przetwarzanie danych osobowych zwykłych jest zgodne z prawem, gdy:

  1. osoba, której dane dotyczą wyraziła na to zgodę;
  2. jest to niezbędne do zawarcia, bądź realizacji umowy;
  3. jest to niezbędne do wypełnienia obowiązku prawnego;
  4. jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
  5. jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub prawa i wolności osoby, której dane dotyczą.

Każda z powyższych przesłanek może stanowić samodzielną podstawę, która legalizuje przetwarzania danych osobowych.

W szkołach i placówkach oświatowych zazwyczaj przetwarzanie odbywa się na podstawie przepisów prawa, dlatego odbieranie dodatkowych zgód od rodziców czy opiekunów prawnych jest potrzebne. Zgodnie z dobrą praktyką ochrony danych osobowych, opieranie przetwarzania o przesłankę zgody jest ostatecznością i należy o nią prosić w sytuacjach, w których nie ma innej podstawy prawnej. Trzeba również pamiętać, że zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia woli lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.

Ważnym jest również by rozróżnić pobieranie pisemnej zgody od rodzica lub opiekuna prawnego na przetwarzani danych osobowych dziecka, a pobieranie pisemnych potwierdzeń o zapoznaniu się z informacjami na temat przetwarzania danych osobowych, które jest dobra praktyką i pomaga szkole jako administratorowi spełnić tzw. obowiązkiem informacyjnym wyrażony w art. 13 RODO.

 

Przetwarzanie danych szczególnej kategorii danych w szkołach jest możliwe w szczególnych przypadkach (art. 9 ust. 2 RODO):

  1. udzielenie wyraźnej zgody na przetwarzanie danych w konkretnym celu;
  2. przetwarzanie danych jest niezbędne do wypełnienia obowiązków i wykonywania poszczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia socjalnego i społecznego;
  3. przetwarzania danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
  4. przetwarzanie danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  5. przetwarzanie danych jest niezbędne ze względów związanych z ważnym interesem publicznym, o ile przepisy nie naruszają istoty prawa do ochrony danych;
  6. przetwarzanie danych jest niezbędne do celów oceny zdolności pracownika do pracy;
  7. przetwarzanie danych jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych.
Przetwarzanie danych w szkole

Szkoły dane osobowe mogą przetwarzać również na podstawie przepisów prawa, m.in:

  1. Prawo oświatowe
  2. Karta Nauczyciela
  3. Ustawa o systemie informacji oświatowej
  4. Ustawa o systemie oświaty
  5. Ustawa o finansowaniu zadań oświatowych
  6. rozporządzenia do ww. ustaw

Rejestr czynności przetwarzania w szkole

Rejestr czynności przetwarzania danych to jedno z narzędzi potwierdzających prawidłowo przeprowadzone wdrożenie RODO w szkole. Jako administrator danych, szkoła ma obowiązek prowadzenia takiego rejestru, aby w pełni udokumentować jakie dane, w jakim celu, na jakiej podstawie prawnej i w jaki sposób są przetwarzane. 

W rejestrze powinny znaleźć się m.in.:

  • nazwa i opis czynności przetwarzania (np. prowadzenie dziennika elektronicznego, monitoring wizyjny, proces rekrutacji, obsługa stołówki),
  • cel przetwarzania,
  • podstawa prawna (np. ustawa Prawo oświatowe, zgoda rodzica),
  • źródło pozyskania danych,
  • kategorie danych (np. identyfikacyjne, dotyczące zdrowia),
  • kategorie osób, których dane dotyczą (np. uczniowie, rodzice, pracownicy),
  • nazwy podmiotów przetwarzających dane w imieniu szkoły (procesorów),
  • kategorie odbiorców danych (np. organ prowadzący, kuratorium, dostawcy usług IT),
  • informacja o ewentualnym przekazaniu danych do państwa trzeciego,
  • planowany okres przechowywania,
  • lokalizacja danych,
  • opis zastosowanych zabezpieczeń.

Forma prowadzenia rejestru

Rejestr może być prowadzony w formie papierowej lub elektronicznej. Ważne, aby był zawsze kompletny i na bieżąco aktualizowany. Najczęściej stosuje się formę tabeli, w której poszczególne kolumny odpowiadają wymaganym elementom opisu czynności przetwarzania. Przykładowe wzory rejestru – w tym dostosowane do specyfiki szkół – można znaleźć na stronie Urzędu Ochrony Danych Osobowych.

Każda istotna zmiana w sposobie przetwarzania danych – np. wdrożenie nowego systemu informatycznego, zmiana celu przetwarzania czy rozszerzenie zakresu danych – powinna być niezwłocznie odnotowana w rejestrze.

Rejestr musi być dostępny do wglądu dla organu nadzorczego (np. UODO) oraz – na żądanie – dla osób, których dane są w nim opisane. Stanowi on jeden z dowodów realizacji zasady rozliczalności w szkole.

Czym jest powierzenie danych osobowych?

Powierzenie danych osobowych to sytuacja, w której szkoła – jako administrator – przekazuje dane innemu podmiotowi w celu ich przetwarzania wyłącznie w jej imieniu i zgodnie z ustalonymi przez nią celami oraz instrukcjami. Oznacza to, że podmiot zewnętrzny (procesor) wykonuje określone operacje na danych, ale nie może ich używać do własnych potrzeb ani samodzielnie ustalać sposobu ich przetwarzania.

Takie sytuacje w praktyce szkolnej występują m.in. w przypadku:

  • obsługi dzienników elektronicznych przez firmy IT,
  • korzystania z zewnętrznych platform edukacyjnych,
  • serwisowania monitoringu,
  • obsługi księgowości i kadr przez biuro rachunkowe lub firmę kadrową,
  • usług hostingowych lub serwisowania szkolnych systemów informatycznych.

Kluczowe zasady powierzenia danych w szkole

  1. Umowa powierzenia – zgodnie z art. 28 RODO, przekazanie danych w ramach powierzenia wymaga pisemnej (również elektronicznej) umowy. Powinna ona określać m.in. cel, zakres, rodzaj danych, czas trwania przetwarzania, a także obowiązki i prawa stron.
  2. Odpowiedzialność szkoły – mimo powierzenia, szkoła pozostaje administratorem danych i odpowiada za zgodność całego procesu z przepisami RODO.
  3. Środki bezpieczeństwa – procesor musi stosować odpowiednie rozwiązania techniczne i organizacyjne, które zabezpieczą dane przed utratą, zniszczeniem czy dostępem osób nieuprawnionych.
  4. Kontrola i nadzór – szkoła powinna zastrzec w umowie możliwość weryfikacji, w jaki sposób podmiot zewnętrzny realizuje powierzone zadania.
  5. Dalsze powierzanie (podpowierzenie) – możliwe jest tylko wtedy, gdy przewiduje to umowa i szkoła wyrazi na to zgodę.

Dlaczego umowa powierzenia jest tak ważna?

Dobrze przygotowana umowa jasno określa zakres, cele i warunki przetwarzania, co zapewnia bezpieczeństwo informacji oraz zgodność działań z prawem. Jest to jedno z podstawowych narzędzi realizacji zasady rozliczalności i ochrony danych osobowych w placówkach oświatowych.

Umowa powierzenia

Zgodnie z art. 28 RODO, każda współpraca szkoły z podmiotem, który przetwarza dane w jej imieniu (procesorem), musi być uregulowana pisemną umową lub innym instrumentem prawnym, przy czym dopuszczalna jest również forma elektroniczna. Dokument ten jest kluczowym narzędziem zapewniającym bezpieczeństwo danych oraz możliwość egzekwowania zgodności działań podmiotu przetwarzającego z przepisami.

Brak umowy lub jej nieprawidłowe sformułowanie może skutkować odpowiedzialnością szkoły jako administratora, nawet jeśli faktycznie naruszenie powstało po stronie procesora.

Elementy, które powinna zawierać umowa powierzenia

  1. Przedmiot i czas trwania przetwarzania – jasne określenie, jakie dane i w ramach jakiej usługi będą przetwarzane oraz przez jaki okres.
  2. Cel, charakter i zakres przetwarzania – opis działań wykonywanych przez procesora (np. hosting e-dziennika, obsługa kadrowo-płacowa) oraz ich uzasadnienie.
  3. Rodzaj danych osobowych – np. imiona i nazwiska, PESEL, adresy zamieszkania, dane kontaktowe, informacje o zdrowiu uczniów czy dane kadrowe pracowników.
  4. Kategorie osób, których dane dotyczą – uczniowie, rodzice/opiekunowie prawni, nauczyciele, pracownicy administracyjni.
  5. Obowiązki i prawa administratora – m.in. prawo do kontroli i audytu, wydawanie poleceń dotyczących przetwarzania.
  6. Obowiązki Podmiotu przetwarzającego – wykonywanie operacji na danych wyłącznie na polecenie szkoły, z zachowaniem poufności, odpowiednich zabezpieczeń i zgodności z RODO.
  7. Zobowiązanie do przetwarzania danych wyłącznie na udokumentowane polecenie szkoły – procesor nie może działać samodzielnie w zakresie ustalania celów i sposobów przetwarzania.
  8. Wymóg zachowania poufności – osoby upoważnione do przetwarzania muszą być zobowiązane do zachowania tajemnicy lub podlegać odpowiedniemu obowiązkowi ustawowemu.
  9. Środki bezpieczeństwa – np. szyfrowanie, systemy kontroli dostępu, procedury tworzenia kopii zapasowych.
  10. Zasady korzystania z podwykonawców (podprocesorów) – możliwe tylko w przypadku, gdy umowa to przewiduje i szkoła wyrazi zgodę.
  11. Procedura zwrotu lub usunięcia danych po zakończeniu współpracy – wraz z potwierdzeniem wykonania tej czynności.
  12. Możliwość przeprowadzania audytów i inspekcji – zapewniająca szkole kontrolę nad sposobem przetwarzania danych przez procesora.

Analiza ryzyka w szkole

Analiza ryzyka to nieodłączny element wdrożenia RODO w szkole, który pozwala na  systematyczną identyfikację i ocenę zagrożeń związanych z przetwarzaniem danych osobowych w szkole, obejmujący uczniów, rodziców/opiekunów prawnych, nauczycieli oraz pozostałych pracowników. Jej celem jest określenie potencjalnych skutków naruszenia ochrony danych i wdrożenie takich środków, które zminimalizują to ryzyko do akceptowalnego poziomu.

Za realizację analizy ryzyka odpowiedzialny jest jest administrator danych, czyli w przypadku szkoły – zazwyczaj dyrektor.

Co powinna zawierać analiza ryzyka w szkole?

1. Nazwa czynności przetwarzania

Określenie konkretnej operacji, w ramach której przetwarzane są dane osobowe. W szkole może to być np.:

  • prowadzenie dziennika elektronicznego,
  • rekrutacja uczniów,
  • obsługa stołówki,
  • monitoring wizyjny,
  • obsługa płac i kadr,
  • organizacja wycieczek szkolnych.

 

2. Podatności

Słabe punkty lub okoliczności, które mogą sprzyjać naruszeniu ochrony danych. Mogą to być m.in.:

  • brak kontroli nad tym, kto ma dostęp do danych – brak gradacji danych, ,
  • Brak 2FA,,
  • niewystarczające zabezpieczenia dokumentów papierowych,
  • brak regularnych szkoleń personelu,
  • brak polityki nadawania i odbierania uprawnień.

 

3. Zidentyfikowane ryzyko

Potencjalne zdarzenia, które mogą nastąpić w związku z podatnościami, np.:

  • nieuprawniony dostęp do danych uczniów przez osoby spoza szkoły,
  • zgubienie lub kradzież dokumentów zawierających dane osobowe,
  • wysyłka dokumentów na błędny adres e-mail,

 

4. Wpływ na prawa i wolności osób fizycznych

Ocena, jakie mogą być konsekwencje naruszenia danych dla uczniów, rodziców czy pracowników, np.:

  • naruszenie prywatności,
  • narażenie na kradzież tożsamości,
  • ujawnienie danych zdrowotnych,
  • stres, poczucie zagrożenia lub utrata zaufania do szkoły,
  • problemy prawne lub finansowe osób, których dane dotyczą.

 

5. Wdrożone środki organizacyjne i techniczne ochrony danych osobowych

Opis działań i rozwiązań zapobiegających wystąpieniu ryzyka, np.:

  • szyfrowanie nośników i baz danych,
  • hasła i uwierzytelnianie wieloskładnikowe,
  • kontrola fizycznego dostępu do pomieszczeń z dokumentacją,
  • polityka czystego biurka,
  • regularne szkolenia z RODO dla personelu,
  • procedury reagowania na incydenty,
  • tworzenie i testowanie kopii zapasowych.

 

6. Prawdopodobieństwo i powaga – określenie 

Jednym z prostych i skutecznych podejść jest metoda oparta na trzech pytaniach wstępnych oraz ocenie punktowej.

Krok 1: Trzy pytania kontrolne

  1. Jakie dane są przetwarzane?

  2. Co może się z nimi stać?

  3. Jakie środki ochrony są stosowane i czy są wystarczające?

Krok 2: Ocena ryzyka

Dla każdego procesu przetwarzania ustalamy:

  • prawdopodobieństwo incydentu (skala 1–10),
  • wagę skutków dla osoby (skala 1–10).

 

Krok 3: Obliczenie poziomu ryzyka

Prawdopodobieństwo + Powaga ÷ 2 =  decyzja dotycząca dalszego przetwarzania

Interpretacja wyniku:

  • 0–5,5 → Akceptowalne (A) – można kontynuować przetwarzanie bez zmian.
  • 6–8 → Redukcja (R) – należy wdrożyć dodatkowe środki bezpieczeństwa.
  • 8,5–10 → Wysokie ryzyko (RW) – wymaga oceny skutków dla ochrony danych (DPIA) lub rezygnacji z przetwarzania.

Przykład:

Szkoła chce przetwarzać dane zdrowotne uczniów w aplikacji mobilnej. Prawdopodobieństwo wycieku oceniono na 7, a powagę skutków na 9:

(7 + 9) ÷ 2 = 8

Decyzja: wdrożenie dodatkowych zabezpieczeń (R).

Dlaczego analiza ryzyka jest ważna?

Analiza ryzyka w szkole jest istotna, ponieważ pozwala dobrać środki ochrony adekwatne do rzeczywistych zagrożeń, ograniczając tym samym prawdopodobieństwo wystąpienia incydentów i minimalizując ich ewentualne skutki. Jej przeprowadzenie wpływa również na budowanie zaufania uczniów, rodziców i kadry pedagogicznej, stanowiąc jednocześnie dowód dochowania należytej staranności w przypadku kontroli ze strony UODO. Co więcej, jest to obowiązek wynikający wprost z przepisów RODO.

Obowiązek informacyjny w szkole względem uczniów, rodziców i opiekunów prawnych

RODO nakłada na szkoły jako administratorów danych obowiązek przekazywania uczniom, ich rodzicom oraz opiekunom prawnym jasnych, kompletnych i zrozumiałych informacji o tym, w jaki sposób ich dane osobowe są przetwarzane. Informacje te muszą być przygotowane w sposób dostosowany do odbiorcy – język komunikatu kierowanego do dziecka powinien być prosty i klarowny, a w przypadku dorosłych bardziej formalny i szczegółowy.

Zgodnie z art. 12 RODO, szkoła ma obowiązek:

  • przekazywać informacje w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny,
  • używać prostego języka, szczególnie gdy informacje kierowane są do dzieci,
  • umożliwiać osobom, których dane dotyczą, łatwe korzystanie z przysługujących im praw,
  • udzielać odpowiedzi na żądania związane z przetwarzaniem danych bez zbędnej zwłoki, nie później niż w ciągu miesiąca,
  • prowadzić komunikację bezpłatnie, chyba że żądanie jest oczywiście bezzasadne lub nadmierne,
  • w razie odmowy spełnienia żądania – poinformować o powodach oraz możliwości wniesienia skargi do UODO.

Zakres obowiązku informacyjnego w szkole

Szkoła powinna przekazać osobom, których dane dotyczą, co najmniej następujące informacje:

  • tożsamość i dane kontaktowe administratora (szkoły) oraz, gdy dotyczy, jego przedstawiciela,
  • dane kontaktowe Inspektora Ochrony Danych,
  • cele przetwarzania oraz podstawy prawne przetwarzania danych,
  • jeśli stosuje się przesłankę prawnie uzasadnionego interesu – wskazanie, na czym on polega,
  • odbiorców danych lub kategorie odbiorców (np. organ prowadzący, dostawcy usług IT, kuratorium oświaty),
  • informację o ewentualnym przekazaniu danych poza EOG oraz zastosowanych zabezpieczeniach,
  • okres przechowywania danych lub kryteria jego ustalenia,
  • prawa przysługujące osobom, w tym: dostęp do danych, sprostowanie, usunięcie, ograniczenie przetwarzania, sprzeciw, przenoszenie danych, cofnięcie zgody,
  • prawo do wniesienia skargi do Prezesa UODO,
  • źródło pochodzenia danych – jeśli nie zostały zebrane bezpośrednio od osoby (np. pozyskanie od innej szkoły w przypadku przeniesienia ucznia),
  • informację, czy podanie danych jest wymogiem ustawowym lub umownym, a także konsekwencje ich niepodania,
  • jeśli stosowane jest zautomatyzowane podejmowanie decyzji (w tym profilowanie) – zasady jego działania i skutki dla osoby, której dane dotyczą.

Kiedy należy przekazać informacje?

  • Jeżeli dane pozyskuje się bezpośrednio od ucznia lub rodzica – informacje należy przekazać w momencie ich zbierania.
  • Jeżeli dane pozyskuje się w inny sposób – np. z dokumentacji przesłanej przez inną placówkę – informacje należy przekazać najpóźniej w ciągu miesiąca od pozyskania, przy pierwszej komunikacji lub przy pierwszym ujawnieniu danych innemu odbiorcy (art. 14 RODO).

Dlaczego obowiązek informacyjny jest tak ważny?

Rzetelna realizacja obowiązku informacyjnego jest ważnym etapem wdrożenia RODO w szkole. Przede wszystkim zwiększa przejrzystość działań szkoły, buduje zaufanie uczniów i rodziców, ogranicza ryzyko skarg oraz sporów, stanowi element realizacji zasady rozliczalności określonej w art. 5 ust. 2 RODO, a także chroni placówkę przed konsekwencjami prawnymi i finansowymi w przypadku kontroli ze strony organu nadzorczego.

Ochrona danych osobowych w szkole

Zgodnie z RODO i zasada podejścia opartego na ryzyku administrator danych lub podmiot przetwarzający powinien przetwarzać danych w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – art. 32 RODO.

Przykładowymi środkami ochrony danych, które zostały wymienione w rozporządzenie są:

  1. pseudonimizacja i szyfrowanie danych osobowych;
  2. zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie uszkodzenia fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zgodnie z RODO przy doborze odpowiednich środków technicznych i organizacyjnych, należy uwzględnić:

  1. stan wiedzy technicznej,
  2. koszt wdrożenia,
  3. charakter, zakres, kontekst i cele przetwarzania,
  4. ryzyko naruszenia praw lub wolności osób, których dane dotyczą

Czy dokumentacja RODO jest potrzebna w szkole?

Tak, ponieważ pomaga szkole (administratorowi) wywiązać się z zasady rozliczalności, zgodnie z którą administrator danych osobowych musi nie tylko przestrzegać przepisów RODO, ale również to wykazać. Potrzebujemy dokumentacji, ponieważ jest ona najprostszym sposobem na wykazanie przestrzegania przepisów RODO.

Dokumentacja przetwarzania danych osobowych w szkole

W treści unijnego rozporządzenia oraz ustawie o ochronie danych nie znajdziemy całego spisu wymaganych dokumentów od A do Z. W RODO jednak znajdziemy opis wymogów, które należy spełnić, a dużą część z nich możemy wykazać w dokumentacji. Będą to m.in:

  • Polityka ochrony danych osobowych, opisana w art. 24 ust. 2 RODO,
  • Zasady retencji danych – art. 5 ust. 1 lit. e RODO,
  • Rejestr czynności przetwarzania i rejestr kategorii przetwarzania, które zostały opisane w art. 30 RODO,
  • Procedura i ewidencja upoważnień, opisana w art. 29 RODO,
  • Procedura zgłoszenia naruszeń ochrony danych, opisana w art. 33 ust. 5 RODO,
  • Rejestr naruszeń ochrony danych, opisany w art. 33 ust. 5 RODO,
  • Ocena skutków dla ochrony danych (jeśli jest konieczna), opisana w art. 35 RODO,
  • Analiza ryzyka, opisana w motywie 76 RODO,
  • Umowa powierzenia przetwarzania danych, opisana w art. 28 RODO,
  • Spis środków organizacyjnych i technicznych ochrony danych osobowych, opisany w art. 24 RODO.

 

Status Inspektora Ochrony Danych w szkole

Ochrona bezpieczeństwa danych osobowych uczniów jest wyzwaniem przed którym stoi kadra nauczycielska. Przepisy ochrony danych na mocy art. 37 RODO narzucają szkole obowiązek powołania inspektora ochrony danych, czyli osoby, której celem jest pomóc pracownikom szkoły zapewnić zgodność przetwarzania danych z RODO. Szkoła powinna opublikować dane inspektora ochrony danych i powiadomić o jego powołaniu Prezesa UODO.

Jak prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD?

Wszystkie potrzebne informacje oraz  elektroniczny formularz możemy znaleźć na stronie Urzędu Ochrony Danych Osobowych – https://uodo.gov.pl/pl/499/2443.

Gotowy pakiet RODO dla szkół

Masz szkołę publiczną lub prywatną? Skorzystaj z gotowego pakietu RODO i zadbaj o pełną zgodność bez zbędnego stresu.

Sprawdź:

Prawidłowe zrozumienie przepisów i skuteczne ich wdrożenie umożliwia ochronę dzieci oraz buduje wzajemne zaufanie między szkołą, a rodzicami. Jeśli chciałbyś być pewien, że Twoja szkoła przetwarza dane osobowe zgodnie z RODO, chętnie Ci w tym pomożemy!

Skontaktuj się z nami

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Analiza Ryzyka
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?
Napisz do nas

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej