Dokumentacja RODO w szkole to jeden z kluczowych elementów prawidłowego funkcjonowania placówki oświatowej, ale w praktyce bardzo często bywa traktowana wyłącznie jako formalny obowiązek. Z mojego doświadczenia wynika, że szkoły najwięcej problemów mają nie z samym RODO, lecz z brakiem dokumentacji, która rzeczywiście odzwierciedla sposób ich działania.
Dokumentacja RODO w szkole powinna być ściśle powiązana z realnymi procesami. Inne dokumenty są potrzebne w sekretariacie, inne przy pracy pedagoga czy psychologa, a jeszcze inne przy korzystaniu z dziennika elektronicznego, monitoringu wizyjnego czy systemów rekrutacyjnych. Kluczowe jest to, aby dokumentacja nie była kopiowana z gotowych wzorów, lecz dostosowana do struktury i zadań konkretnej placówki.
Podstawą dokumentacji jest rejestr czynności przetwarzania, który pokazuje, jakie dane są przetwarzane, w jakim celu, na jakiej podstawie prawnej i przez kogo. Obok niego istotne znaczenie mają procedury dotyczące naruszeń ochrony danych, realizacji praw uczniów i rodziców oraz współpracy z podmiotami zewnętrznymi, takimi jak dostawcy systemów informatycznych.
W szkołach szczególną rolę odgrywa również dokumentacja związana z bezpieczeństwem danych. Obejmuje ona zarówno zasady dostępu do dokumentów papierowych, jak i reguły korzystania z systemów informatycznych. To właśnie w codziennej pracy, a nie w samej treści dokumentów, najczęściej dochodzi do nieprawidłowości.
Dobrze przygotowana dokumentacja RODO w szkole nie paraliżuje pracy nauczycieli ani administracji. Przeciwnie, porządkuje obowiązki, zmniejsza ryzyko błędów i pozwala dyrekcji wykazać rozliczalność. I to właśnie ten praktyczny wymiar dokumentacji ma dziś największe znaczenie.
Spis treści
Czy dokumentacja RODO w szkole jest potrzebna?
Na wstępnie należy zadać sobie pytanie czy dokumentacja RODO w szkole jest potrzeba? Odpowiedz brzmi: tak, ponieważ pomaga wykazać rozliczalność administratorowi.
Zasada rozliczalności wynika wprost z art. 5 ust. 2 RODO. Zgodnie z zasadą rozliczalności administrator jest zobowiązany nie tylko do przestrzegania przepisów i wdrożenia odpowiednich środków ochrony danych, ale także do odpowiedniego udokumentowania podjętych działań i decyzji w sprawie wyboru określonych rozwiązań oraz do wykazania przestrzegania przepisów w razie kontroli.
Podsumowując: dokumentacja RODO w szkole zapewnia jasność i przejrzystość procesu przetwarzania danych oraz pomaga wykazać przetwarzanie danych zgodnie z RODO.
Pojęcie danych osobowych
Według RODO, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba taka to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Podział danych osobowych
Dane osobowe dzielą się na dwie główne kategorie:
a) dane tzw. zwykłe, takie jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, numer NIP, numer PESEL, wizerunek, adres e-mail itp.,
b) szczególne kategorie danych osobowych tzw. dane wrażliwe, wymienione w art. 9 RODO, są to m.in:
– pochodzenie rasowe lub etniczne,
– poglądy polityczne,
– przekonania religijne lub światopoglądowe,
– przynależność do związków zawodowych,
– dane genetyczne,
– dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
– dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby,
W przepisach ochrony danych wyróżniamy również 3 dodatkową kategorię danych osobowych: dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wymienione w art. 10 rozporządzenia (uprzednio również zaliczane do danych wrażliwych).
Rozliczalność w szkole
Zasada rozliczalności, wskazana w art. 5 ust. 2 RODO, jest jednym z filarów systemu ochrony danych osobowych i nakłada na szkołę obowiązek nie tylko przestrzegania przepisów, ale również posiadania dowodów potwierdzających, że te przepisy są faktycznie realizowane. Oznacza to, że sama deklaracja zgodności z RODO nie wystarcza – placówka musi być w stanie wykazać to poprzez konkretne, rzetelnie prowadzone dokumenty i procedury.
W praktyce realizacja tej zasady wymaga od dyrektora szkoły – jako administratora danych – stworzenia i utrzymywania pełnego systemu dokumentacji, obejmującego m.in. polityki ochrony danych, instrukcje postępowania, protokoły z audytów, rejestry czynności przetwarzania, raporty z incydentów bezpieczeństwa czy ewidencje nadanych upoważnień. Ważne jest także dokumentowanie szkoleń pracowników, wdrożonych zabezpieczeń technicznych i organizacyjnych oraz wszelkich działań korygujących po stwierdzeniu uchybień.
Taka dokumentacja RODO w szkole powinna być prowadzona w sposób uporządkowany, aktualny i dostępny w razie potrzeby – zarówno podczas kontroli Urzędu Ochrony Danych Osobowych, jak i przy zapytaniach od rodziców lub uczniów. Brak możliwości przedstawienia konkretnych dowodów na stosowanie zasad RODO może zostać uznany za naruszenie prawa, nawet jeśli w rzeczywistości dane są chronione prawidłowo. Dlatego rozliczalność wymaga nie tylko stosowania odpowiednich procedur, ale również ich stałego dokumentowania i udoskonalania.
Obowiązki szkoły w zakresie ochrony danych osobowych
Szkoła lub placówka oświatowa zgodnie z RODO jest zobowiązana m.in. do:
- Obowiązku informacyjnego, który nakazuje poinformowanie osób o wyznaczonym celu, w którym będą przetwarzane ich dane – art. 13 oraz art. 14 RODO.
- Zapewnienie bezpiecznego przetwarzania danych osobowych przy zastosowaniu odpowiednich środków technicznych i organizacyjnych, które pomogą zminimalizować ryzyko wynikające z danego przetwarzania danych np. szyfrowanie danych, pseudonimizacja, polityka czystego biurka, stosowanie VPN czy tworzenie kopii zapasowych poszczególnych zbiorów danych.
Wyznaczenia IOD (inspektora ochrony danych), zgodnie z obowiązkiem określonym w art. 37 RODO. Inspektor ochrony danych powinien posiadać fachową wiedzę z dziedziny prawa oraz praktyki ochrony danych. Szkoła powinna również opublikować dane IOD i powiadomić o jego powołaniu Prezesa Urzędu Ochrony Danych. Odpowiednie elektroniczne formularze znajdziecie Państwo na naszej stronie internetowej: https://uodo.gov.pl/492.
- Informacji o prawach podmiotów, których dane dotyczą oraz przestrzeganie poniższych praw:
- dostępu do treści przetwarzanych danych (art. 15 RODO),
- sprostowania przetwarzanych danych (art. 16 RODO),
- usunięcia przetwarzanych danych (art. 17 RODO),\
- ograniczenia przetwarzania danych (art. 18 RODO),
- przenoszenia przetwarzanych danych (art. 20 RODO),
- sprzeciwu przetwarzania danych (art. 21 RODO),
- wniesienia skargi w związku z przetwarzaniem danych osobowych przez Administratora do PUODO (art. 77 RODO).
Dokumentacja przetwarzania danych osobowych
Szkoły oraz placówki oświatowe powinny dokumentować przetwarzanie danych oraz sposób ich zabezpieczenia. Przepisy RODO jednak nie określają wprost jak należy dokumentować przetwarzanie danych, wybór należy do administratora. Wybór oraz forma dokumentacji zależy od administratora. Projektując dokumentację należy pamiętać, że przepisy RODO nie wymagają, aby dokument zawierający wymienione elementy miał określoną nazwę czy strukturę. Ważne jest, aby wykazywał, że administrator przetwarza dane zgodnie z RODO.
Dokumentacja RODO w szkole
Tak jak wspomnieliśmy nie ma jedynego słuszne zestawu dokumentacji RODO. Naszym zdaniem jednak dokumentacja RODO w szkole powinna zawierać:
- Politykę ochrony danych osobowych (PODO). Dokument, który opisuje procesy ochrony danych osobowych od A do Z. Jest do swego rodzaju zbiór wewnętrznych zasad, zabezpieczeń oraz opis procesu przetwarzania danych. Odpowiednio przygotowany wykazuje i oczywiście wdrożony w życie wykazuje, iż szkoła lub placówka oświatowa przetwarza dane zgodnie z RODO.
- Analizę ryzyka. Dokument, do wglądu PUODO w razie kontroli. Opisuje czynności przetwarzania, ich podatności, ryzyka, wpływ na prawa i wolności osób fizycznych, wdrożone środki organizacyjno-techniczne oraz określone zostało prawdopodobieństwo naruszenia, które jest niskie. Świadczy, też szkoła lub placówka oświatowa stosuje podeście oparte na ryzyku w stosunku do przetwarzania danych.
- Politykę prywatności / klauzulę informacyjną jest to spełnienie obowiązku informacyjnego (art.13 RODO). Dokument określa: kto jest administratorem, jakie dane przetwarza, jak i w jakim celu, na jakiej podstawie, kto jest odbiorcom, jakie prawa przysługują podmiotom, których dane dotyczą oraz w jaki sposób mogą je realizować. Polityka prywatności umieszczona na stronie internetowej powinna zawierać również politykę plików cookies.
- Informację o przetwarzaniu danych dla pracowników. Dokument informujący pracowników, o przetwarzaniu ich danych – jest to konieczne by spełnić obowiązek informacyjny, określony w art. 13 RODO.
- Upoważnienie do przetwarzania danych osobowych. Obowiązek nadawania upoważnień pracownikom wywodzi się zasady rozliczalności. Dzięki udzielanie upoważnień do przetwarzania danych swoim pracownikom administrator wykazuje i zachowuje kontrole nad tym jak i przez kogo przetwarzane są dane.
- Upoważnienie do wejścia w obszar przetwarzania danych osobowych. Dokument, który powinien być podpisany przez osoby nieprzetwarzające danych, ale przebywające w miejscu ich przetwarzania np. osoba sprzątająca szkołę. Dokument zawiera również oświadczenie o poufności.
- Rejestr naruszeń ochrony danych. Rejestr naruszeń jest wymogiem PUODO. Zawiera on informacje o naruszeniach ochrony danych w organizacji i powzięte działania. Jeśli organizacja nie stwierdziła naruszeń danych – proszę rejestr zachować pusty.
- Rejestr czynności przetwarzania. Najważniejszy dokument, opisuje czynności przetwarzania, ich cel, podstawy prawne oraz zawiera ogólny opis wdrożonych środków organizacyjno-technicznych, które zostały wdrożone w celu ochrony danych.
Rozporządzenie o Ochronie Danych Osobowych (RODO) wymaga od przedsiębiorców, aby oni stosowali odpowiednie środki organizacyjne i techniczne w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Przykłady takich środków to:
W zależności od zakresu przetwarzania danych przez szkołę dokumentację RODO można wzbogacić o:
- Rejestr kategorii czynności przetwarzania
- Umowę powierzenia przetwarzania danych
- Wykaz podmiotów przetwarzających dane
- Ewidencję osób upoważnionych do przetwarzania
- Wykaz udostępnień danych osobowych
- Zgodę na wykorzystanie wizerunku
- Protokół naruszenia ochrony danych
- Zgodę na przetwarzanie danych osobowych
- Zgodę na przetwarzanie wizerunku
- Rejestr żądań podmiotów danych
- Klauzulę informacyjna: monitoring
- Wniosek o rozporządzanie danymi osobowymi
Rejestr czynności przetwarzania w szkole
Rejestr czynności przetwarzania to dokument, który pozwala w sposób usystematyzowany zebrać w jednym miejscu wszystkie informacje o procesach, w których szkoła przetwarza dane osobowe. Pełni on funkcję swoistej „mapy” przetwarzania danych – dzięki niemu dyrektor oraz osoby odpowiedzialne za ochronę danych mogą łatwo zidentyfikować, jakie informacje są gromadzone, w jakim celu, na jakiej podstawie prawnej i w jaki sposób są zabezpieczane.
Wygląd oraz forma rejestru zależy od administratora, jedyne obligatoryjne elementy zostały ujęty w art. 30 RODO. Są nimi:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
W praktyce oznacza to, że w rejestrze powinny znaleźć się zarówno procesy typowe dla szkoły, jak prowadzenie dziennika elektronicznego czy monitoring wizyjny, jak i mniej oczywiste – rekrutacja nauczycieli, organizacja konkursów, obsługa stołówki szkolnej, wycieczki, projekty unijne czy prowadzenie szkolnych mediów społecznościowych.
Prowadzenie rejestru to proces ciągły. Regularna aktualizacja jest obowiązkowa – każda zmiana w sposobie, zakresie lub celu przetwarzania powinna być niezwłocznie w nim odnotowana. Dzięki temu rejestr nie tylko spełnia wymogi formalne, ale staje się również praktycznym narzędziem zarządzania ochroną danych osobowych w szkole i dowodem realizacji zasady rozliczalności.
Czym jest powierzenie danych?
Powierzenie danych to sytuacja, w której szkoła – jako administrator danych osobowych – przekazuje określone informacje podmiotowi zewnętrznemu w celu ich przetwarzania wyłącznie w jej imieniu i na jej rzecz. Oznacza to, że taki podmiot, zwany procesorem, nie ma prawa samodzielnie decydować o celach i sposobach przetwarzania – może wykonywać wyłącznie te operacje, które zostały jasno określone w umowie lub innych udokumentowanych poleceniach szkoły.
W praktyce oświatowej powierzenie danych występuje bardzo często. Dotyczy to m.in.:
- zewnętrznych firm księgowych i kadrowych,
- wydawnictw obsługujących sprzedaż podręczników i materiałów edukacyjnych w ramach umów ze szkołą,
- zewnętrznych laboratoriów analizujących wyniki badań w ramach profilaktyki zdrowotnej uczniów,
- agencji organizujących wyjazdy edukacyjne lub zielone szkoły, które otrzymują listy uczestników.
Każdy taki przypadek wymaga uregulowania w postaci umowy powierzenia przetwarzania danych osobowych. Umowa ta ma na celu zapewnienie, że podmiot zewnętrzny będzie przetwarzał dane w sposób bezpieczny, zgodny z prawem i z zachowaniem poufności.
Warto pamiętać, że samo przekazanie danych do procesora nie zwalnia szkoły z odpowiedzialności – dyrektor jako administrator nadal odpowiada za zgodność całego procesu z przepisami RODO. Dlatego wybór podmiotu, któremu powierzane są dane, powinien być poprzedzony weryfikacją jego wiarygodności, stosowanych zabezpieczeń oraz doświadczenia w zakresie ochrony danych.
Umowa powierzenia
Umowa powierzenia danych osobowych jest częścią dokumentacji RODO w szkole wymaganej w każdym przypadku, gdy szkoła korzysta z usług podmiotów zewnętrznych przetwarzających dane w jej imieniu. Zgodnie z art. 28 RODO powinna ona szczegółowo określać co najmniej: cel i zakres przetwarzania, rodzaj powierzonych danych, czas trwania przetwarzania, obowiązki i prawa obu stron, wymagane środki bezpieczeństwa, zasady korzystania z podwykonawców oraz procedurę zwrotu lub usunięcia danych po zakończeniu współpracy.
W prawidłowo przygotowanej umowie należy ponadto uwzględnić precyzyjny opis powierzonych zadań, eliminujący możliwość nieuprawnionego rozszerzenia działań przez podmiot przetwarzający, a także szczegółową charakterystykę przekazywanych danych – z uwzględnieniem ich rodzaju i stopnia wrażliwości, co determinuje odpowiedni poziom zabezpieczeń. Dokument powinien wskazywać terminy i etapy współpracy, obejmujące zarówno okres aktywnego przetwarzania, jak i przechowywania danych po realizacji celu, a także warunki techniczne i organizacyjne, w tym minimalne standardy bezpieczeństwa oraz obowiązek niezwłocznego reagowania na incydenty naruszenia ochrony danych.
Istotnym elementem są również mechanizmy kontroli, umożliwiające administratorowi przeprowadzanie audytów samodzielnie lub z udziałem niezależnych ekspertów, oraz zasady dalszego powierzenia danych, zapewniające, że informacje nie trafią do podmiotów nieuprawnionych. Tak skonstruowana umowa nie tylko spełnia wymogi prawne, lecz także stanowi narzędzie ochrony szkoły przed konsekwencjami ewentualnych uchybień po stronie procesora.
Analiza ryzyka w szkole
Analiza ryzyka w szkole to proces systematycznej oceny, jakie zagrożenia mogą wystąpić podczas przetwarzania danych osobowych oraz w jakim stopniu mogą one wpłynąć na prawa i wolności uczniów, rodziców czy pracowników. Jej celem jest ustalenie, czy obecne środki bezpieczeństwa są wystarczające, a jeśli nie – jakie dodatkowe działania należy wprowadzić.
Podczas takiej oceny uwzględnia się m.in. charakter i zakres gromadzonych informacji (od podstawowych danych identyfikacyjnych po dane szczególnej kategorii, takie jak dokumentacja zdrowotna czy informacje o sytuacji rodzinnej), prawdopodobieństwo wystąpienia incydentu, możliwe skutki dla osób, których dane dotyczą, a także efektywność zastosowanych zabezpieczeń. Szczególną ostrożność należy zachować przy danych wrażliwych, które wymagają bardziej rygorystycznych procedur ochrony.
Efektem analizy może być konieczność wdrożenia dodatkowych zabezpieczeń – np. ograniczenia liczby osób mających dostęp do określonych zasobów, wprowadzenia szyfrowania plików, stosowania zaawansowanych metod uwierzytelniania czy przeprowadzania regularnych szkoleń dla kadry. Proces ten powinien być powtarzany cyklicznie oraz każdorazowo w sytuacji zmiany procedur, narzędzi informatycznych lub zakresu przetwarzanych danych.
Wyniki analizy należy dokumentować w sposób umożliwiający wykazanie zgodności działań z przepisami RODO – zarówno przed organem nadzorczym, jak i w odpowiedzi na zapytania rodziców lub opiekunów prawnych. Dzięki temu szkoła nie tylko minimalizuje ryzyko naruszeń, ale też wzmacnia wizerunek instytucji dbającej o bezpieczeństwo powierzonych jej informacji.
Przebieg przeprowadzenia analizy ryzyka
Analiza ryzyka w szkole powinna być opracowana w sposób uporządkowany i obejmować wszystkie elementy pozwalające ocenić, czy procesy przetwarzania danych osobowych są bezpieczne oraz zgodne z RODO.
Pierwszym krokiem jest jasne określenie czynności przetwarzania, czyli wskazanie konkretnych operacji, w których dane są wykorzystywane. W realiach szkolnych mogą to być m.in. obsługa dziennika elektronicznego, rekrutacja uczniów, prowadzenie dokumentacji kadrowo-płacowej, monitoring wizyjny, organizacja wycieczek czy zarządzanie stołówką.
Następnie należy zidentyfikować podatności, czyli czynniki zwiększające ryzyko naruszenia ochrony danych. Mogą to być zarówno braki w procedurach (np. brak kontroli nad nadawaniem uprawnień do systemów), niedostosowana infrastruktura (przestarzałe oprogramowanie, brak szyfrowania) czy też elementy organizacyjne, jak brak szkoleń dla pracowników lub niewystarczające zabezpieczenia dokumentów papierowych.
W kolejnym etapie opisuje się zidentyfikowane ryzyka, czyli konkretne zdarzenia, które mogą wystąpić w wyniku istniejących podatności. Mogą one obejmować m.in. nieuprawniony dostęp do dokumentów, utratę nośników z danymi, wysłanie informacji do niewłaściwego odbiorcy, ujawnienie danych w Internecie czy atak hakerski na systemy szkolne.
Analiza musi także określić, jaki wpływ potencjalne naruszenia mogą mieć na prawa i wolności osób fizycznych. Konsekwencje te mogą dotyczyć naruszenia prywatności, ujawnienia danych zdrowotnych, narażenia na kradzież tożsamości, utraty zaufania do szkoły, a także wywołania stresu lub problemów prawnych i finansowych dla osób, których dane dotyczą.
Kolejnym krokiem jest opis wdrożonych środków technicznych i organizacyjnych, które mają ograniczać zidentyfikowane ryzyka. Do takich działań zalicza się m.in. szyfrowanie baz danych, stosowanie uwierzytelniania wieloskładnikowego, kontrolę dostępu do pomieszczeń, prowadzenie polityki czystego biurka, regularne szkolenia personelu z ochrony danych, tworzenie kopii zapasowych czy opracowanie procedur reagowania na incydenty.
Na końcu dokonuje się oceny prawdopodobieństwa wystąpienia incydentu oraz wagi jego skutków, zazwyczaj w skali od 1 do 10. Jednym z praktycznych podejść jest model, w którym średnia z tych dwóch wartości wskazuje poziom ryzyka i dalsze działania:
- wynik 0–5,5 oznacza poziom akceptowalny,
- wynik 6–8 wskazuje na potrzebę redukcji ryzyka,
- wynik powyżej 8,5 wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) lub zaniechania przetwarzania.
Na przykład, jeżeli szkoła zamierza wdrożyć system elektronicznych legitymacji uczniowskich umożliwiających logowanie się do biblioteki i korzystanie z automatów szkolnych, a prawdopodobieństwo nieuprawnionego odczytu danych oceniono na 6, a wagę skutków na 8, średnia wynosi 7. Taki wynik wskazuje na potrzebę wprowadzenia dodatkowych środków bezpieczeństwa, np. szyfrowania komunikacji między kartą a czytnikiem oraz regularnych testów bezpieczeństwa systemu.
Obowiązek informacyjny w szkole względem uczniów, rodziców i opiekunów prawnych
Obowiązek informacyjny w szkole względem uczniów, rodziców i opiekunów prawnych polega na zapewnieniu każdej osobie, której dane są przetwarzane, pełnej wiedzy o tym, kto, w jakim celu i na jakich zasadach je wykorzystuje. W środowisku szkolnym dotyczy to nie tylko codziennej działalności dydaktycznej, lecz także dodatkowych procesów, takich jak organizacja konkursów, zajęć pozalekcyjnych, wyjazdów czy prowadzenie dokumentacji medycznej uczniów.
Zgodnie z art. 12 RODO informacje te powinny być przekazane w sposób przejrzysty i dostosowany do poziomu zrozumienia odbiorcy. Oznacza to, że komunikaty kierowane do uczniów – zwłaszcza w młodszym wieku – powinny posługiwać się prostym, pozbawionym specjalistycznych sformułowań językiem, natomiast w przypadku rodziców lub opiekunów prawnych dopuszczalne jest stosowanie terminologii prawnej i szerszego zakresu szczegółów.
Artykuły 13 i 14 RODO wskazują, że w ramach obowiązku informacyjnego szkoła powinna m.in. przekazać: dane identyfikujące administratora, wskazanie celu i podstawy prawnej przetwarzania, opis kategorii odbiorców danych, przewidywany okres ich przechowywania, informacje o przysługujących prawach (takich jak prawo dostępu, sprostowania, ograniczenia przetwarzania czy wniesienia skargi do organu nadzorczego), a w przypadku danych pozyskiwanych z innych źródeł – również informację o ich pochodzeniu.
W praktyce realizacja obowiązku informacyjnego w szkole może przybrać różne formy: od umieszczenia klauzul informacyjnych w dokumentach rekrutacyjnych, poprzez wywieszenie ich w widocznych miejscach w budynku szkoły, aż po publikację w dedykowanej zakładce na stronie internetowej. Ważne, aby treści te były aktualizowane zawsze, gdy zmienia się sposób lub zakres przetwarzania danych.
Rzetelne wypełnienie obowiązku informacyjnego nie tylko umożliwia szkole wykazanie zgodności z RODO, ale także zwiększa poczucie bezpieczeństwa wśród uczniów, rodziców i kadry, minimalizując ryzyko nieporozumień oraz ewentualnych postępowań skargowych.
Gotowy pakiet RODO dla szkół
Masz szkołę publiczną lub prywatną? Skorzystaj z gotowego pakietu RODO i zadbaj o pełną zgodność bez zbędnego stresu.
