Wdrożenie RODO w szkole

Spis treści

RODO w szkole

Często otrzymujemy zapytania od niepewnych dyrektorów szkół, nauczycieli oraz innych pracowników placówek oświatowych, szczególny wzrost zapytań oraz niepewności odnotowaliśmy podczas pandemii koronawirusa, kiedy to wątpliwości kwestii przetwarzania danych dot. zdrowia uczniów były szczególnie obecne. Dlatego uważamy, że tak ważna jest poprawna edukacja i zrozumienie przepisów ochrony danych osobowych.

wdrożenie rodo w szkole

Ogólne rozporządzenie o ochronie danych RODO obowiązuje od 25 maja 2018 roku. Chodź od wejścia w życie przepisów RODO minęło już parę lat w dalszych ciągu budzi ono skrajne emocje. Podczas przeprowadzenia audytów oraz szkoleń zetknęliśmy się z wieloma mitami na temat RODO. Mity te nie są wynikiem treści rozporządzenia, tylko jego błędnej interpretacji. Obawa przed wysokimi karami finansowymi spowodowała utarcie się wielu nieprawdziwych i szkodliwych schematów na gruncie tematyki ochrony danych osobowych.

Uważamy, że błędna interpretacja oraz nadgorliwość w stosowaniu przepisów RODO niesie za sobą ogromne ryzyko, dlatego tak ważne jest poprawne wdrożenie przepisów ochrony danych osobowych do szkół. Szkoły oraz placówki oświatowe przetwarzają dane osobowe na dużą skalę, w tym dane szczególnej kategorii (dane wrażliwe), których podmiotem są w większości przypadków osoby małoletnie.

Należy również pamiętać, ze szkoły oraz placówki oświatowe jako podmioty publiczne są zobligowane do powołania Inspektorów Ochrony Danych Osobowych – osób odpowiedzialnych za pomoc oraz doradztwo administratorowi we wszystkich kwestiach związanych z ochroną danych osobowych. Na stanowisko IOD zazwyczaj są powoływani pracownicy tych placówek, dlatego ważnym jest by przeszli oni właściwe szkolenie.

Wdrożenie RODO w szkole

Jeśli szkoła chce wdrożyć unijne przepisy dotyczące ochrony danych osobowych (RODO), musi zapewnić właściwe zabezpieczenia, aby chronić dane uczniów. Przepisy te mają na celu zapewnienie, że dane osobowe uczniów są bezpieczne i przetwarzane zgodnie z prawem. Aby to zrobić, szkoła musi wdrożyć określone środki ochrony, takie jak szyfrowanie danych, stosowanie silnych haseł i wykorzystanie systemu kontroli dostępu.

Szkoła powinna tworzyć politykę o ochronie danych osobowych, aby wyjaśnić, jakie dane są przetwarzane, w jaki sposób są chronione i kto ma dostęp do nich. Powinna ona zawierać informacje na temat rodzajów danych przetwarzanych, środków technicznych i organizacyjnych stosowanych do ich ochrony oraz odpowiedzialności za ich właściwe wykorzystanie.

Oprócz tworzenia polityki ochrony danych osobowych, szkoła powinna również wdrażać procedury w celu zapewnienia, że są one przestrzegane. Powinna również przeprowadzać regularne kontrole, aby upewnić się, że dane są właściwie przechowywane i wykorzystywane, oraz stosować odpowiednie środki ochrony w miejscach, w których przechowywane są dane. Ponadto, szkoła powinna okresowo przeprowadzać szkolenia dla swoich pracowników, aby upewnić się, że wszyscy pracownicy znają przepisy ochrony danych osobowych oraz wiedzą jakie normy zostały wdrożone przez IOD.

Jakie dane osobowe przetwarza szkoła?

Szkoły przetwarzają szereg danych osobowych, w tym dane o urodzeniu, adresie, historii edukacji, płci i numerze PESEL. Szkoły mogą również przechowywać i przetwarzać dane dotyczące zdrowia i bezpieczeństwa uczniów, dane dotyczące zarobków rodziców lub opiekunów oraz informacje dotyczące nieobecności uczniów.

ochrona danych osobowych w szkole, zasady RODO

Jakie są zagrożenia dla przetwarzania danych w szkole?

Zagrożenia dla przetwarzania danych w szkole mogą pochodzić z różnych źródeł, w tym z nieautoryzowanych do dostępów do danych, niedostatecznej ochrony danych, nieprawidłowego przechowywania danych oraz niezgodnego z prawem ich wykorzystania. Aby zminimalizować te ryzyka, szkoły powinny wdrożyć odpowiednie środki ochrony, takie jak szyfrowanie danych, tworzenie polityki o ochronie danych i okresowe szkolenia dla pracowników. Ponadto, szkoły powinny regularnie sprawdzać swoje systemy i procedury w celu wykrywania ewentualnych nieprawidłowości i wprowadzać poprawki, jeśli to konieczne. W ten sposób zminimalizują one ryzyko naruszenia przepisów dotyczących ochrony danych osobowych i zapewnią bezpieczeństwo ich przetwarzania.

 

Szkoły powinny również pamiętać o wykonywaniu regularnych kopii zapasowych danych osobowych w celu ochrony przed utratą danych. Powinny one również stosować określone procedury w przypadku wystąpienia incydentu bezpieczeństwa, aby zapewnić szybkie i skuteczne usunięcie wszelkich nieprawidłowości. Wreszcie, szkoły powinny stosować mechanizmy monitorowania i raportowania zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych, aby zapewnić pełne przestrzeganie przepisów. Podsumowując, wdrożenie RODO w szkołach oznacza wyższy poziom ochrony danych osobowych uczniów i rodziców. Aby to osiągnąć, szkoły muszą wdrożyć odpowiednie środki ochrony, takie jak szyfrowanie danych, tworzenie polityki o ochronie danych oraz regularne szkolenia dla pracowników. Powinny one również wykonywać regularne kopie zapasowe danych i stosować procedury w przypadku incydentów bezpieczeństwa, aby zapewnić skuteczną ochronę danych osobowych.

Ochrona danych osobowych w szkole – kategorie danych osobowych:

a) dane tzw. zwykłe:

  • imię, nazwisko,
  • adres zamieszkania,
  • data i miejsce urodzenia,
  • numer telefonu,
  • wykonywany zawód,
  • adres e-mail itp.,

b) szczególne kategorie danych osobowych:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej,

 

c) dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.

RODO w szkole

Status dyrektora szkoły w realiach przepisów ochrony danych

Administratorem danych osobowych jest szkoła i to jej zadaniem jest przestrzegane przepisów ochrony danych osobowych oraz wykazanie owego przestrzegania, zgodnie z zasadą rozliczalności. Dyrektor szkoły na mocy art. 7 ustawy Karta Nauczyciela reprezentuje szkołę, jest więc on osobą odpowiedzialną za prawidłowy nadzór przetwarzania danych osobowych w szkole.

Jakie kategorie danych osobowych są przetwarzane w szkołach i placówkach oświatowych?

  1. dane osobowe zwykłe, np. imię i nazwisko, NIP, adres, dane kontaktowe, wizerunek, obecność, oceny;
  2. dane osobowe szczególne tzw. wrażliwe, np. dane biometryczne ucznia (odciski palców), przekonania religijne (uczestnictwo w zajęciach katechezy), stan zdrowia (np. badania podmiotowe, zwolnienie z lekcji W-F);
  3. dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. W celu potwierdzenia spełniania warunku niekaralności nauczyciel, przed nawiązaniem stosunku pracy, jest obowiązany przedstawić dyrektorowi szkoły informację z Krajowego Rejestru Karnego.

Przetwarzanie danych osobowych w szkole

„Przetwarzanie” zgodnie z art. 4 pkt 2 RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Przetwarzanie danych osobowych zwykłych jest zgodne z prawem, gdy:

  1. osoba, której dane dotyczą wyraziła na to zgodę;
  2. jest to niezbędne do zawarcia, bądź realizacji umowy;
  3. jest to niezbędne do wypełnienia obowiązku prawnego;
  4. jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
  5. jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub prawa i wolności osoby, której dane dotyczą.

Każda z powyższych przesłanek może stanowić samodzielną podstawę, która legalizuje przetwarzania danych osobowych.

W szkołach i placówkach oświatowych zazwyczaj przetwarzanie odbywa się na podstawie przepisów prawa, dlatego odbieranie dodatkowych zgód od rodziców czy opiekunów prawnych jest potrzebne. Zgodnie z dobrą praktyką ochrony danych osobowych, opieranie przetwarzania o przesłankę zgody jest ostatecznością i należy o nią prosić w sytuacjach, w których nie ma innej podstawy prawnej. Trzeba również pamiętać, że zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia woli lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.

Ważnym jest również by rozróżnić pobieranie pisemnej zgody od rodzica lub opiekuna prawnego na przetwarzani danych osobowych dziecka, a pobieranie pisemnych potwierdzeń o zapoznaniu się z informacjami na temat przetwarzania danych osobowych, które jest dobra praktyką i pomaga szkole jako administratorowi spełnić tzw. obowiązkiem informacyjnym wyrażony w art. 13 RODO.

 

Przetwarzanie danych szczególnej kategorii danych w szkołach jest możliwe w szczególnych przypadkach (art. 9 ust. 2 RODO):

  1. udzielenie wyraźnej zgody na przetwarzanie danych w konkretnym celu;
  2. przetwarzanie danych jest niezbędne do wypełnienia obowiązków i wykonywania poszczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia socjalnego i społecznego;
  3. przetwarzania danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
  4. przetwarzanie danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  5. przetwarzanie danych jest niezbędne ze względów związanych z ważnym interesem publicznym, o ile przepisy nie naruszają istoty prawa do ochrony danych;
  6. przetwarzanie danych jest niezbędne do celów oceny zdolności pracownika do pracy;
  7. przetwarzanie danych jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych.
Przetwarzanie danych w szkole

Szkoły dane osobowe mogą przetwarzać również na podstawie przepisów prawa, m.in:

  1. Prawo oświatowe
  2. Karta Nauczyciela
  3. Ustawa o systemie informacji oświatowej
  4. Ustawa o systemie oświaty
  5. Ustawa o finansowaniu zadań oświatowych
  6. rozporządzenia do ww. ustaw

Ochrona danych osobowych w szkole

Zgodnie z RODO i zasada podejścia opartego na ryzyku administrator danych lub podmiot przetwarzający powinien przetwarzać danych w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – art. 32 RODO.

Przykładowymi środkami ochrony danych, które zostały wymienione w rozporządzenie są:

  1. pseudonimizacja i szyfrowanie danych osobowych;
  2. zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie uszkodzenia fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Zgodnie z RODO przy doborze odpowiednich środków technicznych i organizacyjnych, należy uwzględnić:

  1. stan wiedzy technicznej,
  2. koszt wdrożenia,
  3. charakter, zakres, kontekst i cele przetwarzania,
  4. ryzyko naruszenia praw lub wolności osób, których dane dotyczą

Czy dokumentacja RODO jest potrzebna w szkole?

Tak, ponieważ pomaga szkole (administratorowi) wywiązać się z zasady rozliczalności, zgodnie z którą administrator danych osobowych musi nie tylko przestrzegać przepisów RODO, ale również to wykazać. Potrzebujemy dokumentacji, ponieważ jest ona najprostszym sposobem na wykazanie przestrzegania przepisów RODO.

Dokumentacja przetwarzania danych osobowych w szkole

W treści unijnego rozporządzenia oraz ustawie o ochronie danych nie znajdziemy całego spisu wymaganych dokumentów od A do Z. W RODO jednak znajdziemy opis wymogów, które należy spełnić, a dużą część z nich możemy wykazać w dokumentacji. Będą to m.in:

  • Polityka ochrony danych osobowych, opisana w art. 24 ust. 2 RODO,
  • Zasady retencji danych – art. 5 ust. 1 lit. e RODO,
  • Rejestr czynności przetwarzania i rejestr kategorii przetwarzania, które zostały opisane w art. 30 RODO,
  • Procedura i ewidencja upoważnień, opisana w art. 29 RODO,
  • Procedura zgłoszenia naruszeń ochrony danych, opisana w art. 33 ust. 5 RODO,
  • Rejestr naruszeń ochrony danych, opisany w art. 33 ust. 5 RODO,
  • Ocena skutków dla ochrony danych (jeśli jest konieczna), opisana w art. 35 RODO,
  • Analiza ryzyka, opisana w motywie 76 RODO,
  • Umowa powierzenia przetwarzania danych, opisana w art. 28 RODO,
  • Spis środków organizacyjnych i technicznych ochrony danych osobowych, opisany w art. 24 RODO.

 

Status Inspektora Ochrony Danych w szkole

Ochrona bezpieczeństwa danych osobowych uczniów jest wyzwaniem przed którym stoi kadra nauczycielska. Przepisy ochrony danych na mocy art. 37 RODO narzucają szkole obowiązek powołania inspektora ochrony danych, czyli osoby, której celem jest pomóc pracownikom szkoły zapewnić zgodność przetwarzania danych z RODO. Szkoła powinna opublikować dane inspektora ochrony danych i powiadomić o jego powołaniu Prezesa UODO.

Jak prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD?

Wszystkie potrzebne informacje oraz  elektroniczny formularz możemy znaleźć na stronie Urzędu Ochrony Danych Osobowych – https://uodo.gov.pl/pl/499/2443.

Sprawdź:

Prawidłowe zrozumienie przepisów i skuteczne ich wdrożenie umożliwia ochronę dzieci oraz buduje wzajemne zaufanie między szkołą, a rodzicami. Jeśli chciałbyś być pewien, że Twoja szkoła przetwarza dane osobowe zgodnie z RODO, chętnie Ci w tym pomożemy!

Sprawdź naszą ofertę!

Masz pytanie?
Napisz do nas

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Udostępnij ten post
Facebook
LinkedIn