WYDANIE ONLINE
Na obecnym etapie można założyć, że jednostki oświatowe znają podstawy prawne do przetwarzania danych osobowych opisane w RODO, w jego art. 6 (dane zwykłe) i 9 (szczególne kategorie danych osobowych). Problem w praktyce sprawia natomiast niezmiennie właściwe przyporządkowanie przesłanki przetwarzania danych do stanu faktycznego.
Od 25 maja 2020 r. w Polsce stosujemy ogólne rozporządzenie o ochronie danych (dalej: RODO). Dodatkowo jednostki oświaty muszą stosować także obowiązujące je przepisy sektorowe, które od 2018 roku zostały znowelizowane. W trakcie wdrażania i stosowania nowych przepisów pojawiły się dodatkowo pytania związane z problemami zaistniałymi w praktyce. Odpowiedzi na nie częściowo dostarczają istniejące wytyczne oraz interpretacja obowiązujących aktów prawnych. Sytuację dodatkowo skomplikowała epidemia koronawirusa, zmuszając jednostki oświatowe do zdalnej komunikacji z dziećmi i ich opiekunami, prowadzenia zajęć na odległość oraz podejmowania takich działań, jak np. pomiar temperatury ciała osób wchodzących na teren placówki.
Przepisy art. 12–22 RODO nakładają na ADO obowiązek realizacji praw osób, których przetwarzane przez ADO dane osobowe dotyczą. Prawa te rozpatrujemy na podstawie przepisów RODO oraz przepisów sektorowych. Tym samym nie zawsze osoba, której dane przetwarzamy, może skutecznie żądać ich realizacji – np. gdy przy realizacji prawa do bycia zapomnianym okaże się, że dane osobowe będące przedmiotem tego wniosku są nadal niezbędne do celów, w których zostały zebrane.
RODO w swoim założeniu ma być neutralne technologicznie, a każda kontrola powinna indywidualnie oceniać, czy w danym przypadku ADO zabezpiecza dane osobowe we właściwy sposób. Tym samym żadna analiza przepisów RODO nie może wskazywać, jakiej klasy zabezpieczenia elektroniczne i fizyczne powinien stosować w danym przypadku ADO czy też z ilu znaków powinny się składać hasła zabezpieczające dostęp do danych osobowych. Są to bowiem parametry zmienne i uzależnione od czasu, okoliczności, rodzaju działalności ADO czy też od rodzaju zabezpieczanych danych osobowych.
Od 1 czerwca do 30 września 2020 r. trwają społeczne konsultacje kodeksu postępowania dla jednostek oświatowych mającego na celu doprecyzowanie stosowania rozporządzenia 2016/679 (dalej: kodeks). Jeżeli taki kodeks zostanie zaakceptowany przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), wówczas otworzy się możliwość przyjęcia tego kodeksu do stosowania. Po co jednak zapoznawać się i przyjmować do stosowania taki dokument?
Urząd Ochrony Danych Osobowych opublikował poradniki zawierające wskazówki, jak dbać o bezpieczeństwo danych osobowych w zdalnym nauczaniu, w tym podczas lekcji online. Przede wszystkim UODO zaleca stosowanie odpowiednich środków bezpieczeństwa. Zalecenia są kierowane nie tylko do kadry kierowniczej oświaty, ale i do nauczycieli, uczniów i ich rodziców.
Do obowiązków dyrektora szkoły w związku z kształceniem na odległość należy też określenie zasad bezpiecznego przetwarzania danych osobowych. Prezentujemy przykładowy regulamin określający te kwestie.
Dyrektor szkoły powinien bardzo pilnować, aby wszystkie dokumenty dotyczące ochrony danych osobowych były przygotowane w sposób poprawny i zgodny z RODO. Jednym z takich dokumentów jest klauzula informacyjna o przetwarzaniu danych ucznia. Sprawdź, jak powinien wyglądać taki dokument.
