Dostępność Dostępność
Rejestracja
0 Koszyk
  1. Strona główna
  2. Przewodnik po RODO
  3. Jak wdrożyć RODO w szkołach publicznych?

Jak wdrożyć RODO w szkołach publicznych?

  • 7 min. czytania
  • Aktualizacja: 26 sierpnia 2024 26 czerwca 2018
Przewodnik po RODO

Wdrożenie w życie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwanego w skrócie RODO) należy uznać za jedno z większych wyzwań, jakie stoi obecnie przed dyrektorem każdej szkoły.

Zadanie to warto podzielić na etapy, a w ich realizację niezbędne jest zaangażowanie pracowników szkoły. Trzeba również mieć na uwadze fakt, iż wdrożenie zmian jest czasochłonne, może niekiedy potrwać nawet kilka miesięcy. Aby jednak przyniosło oczekiwane efekty, konieczne jest dokonanie analizy stosowanych w szkole procedur przetwarzania danych osobowych (przegląd bieżącej sytuacji) i uwzględnienie uzyskanych wyników przy podejmowaniu konkretnych decyzji związanych z wdrażaniem nowych przepisów. Procesu tego nie da się przeprowadzić bez przeszkolenia nauczycieli i pracowników w zakresie zmian, jakie wprowadza RODO. Ze względu na skalę zmian nie jest możliwe przeprowadzenie tego złożonego procesu przy użyciu gotowych, nawet najlepszych rozwiązań. Każda szkoła działa w zbliżonych, ale jednak innych warunkach i to one będą determinowały przyjęcie optymalnych rozwiązań, a przy tym, co szczególnie istotne, adekwatnych do jej rzeczywistych potrzeb.

Niezależnie od powyższego można jednak wyznaczyć listę działań koniecznych na potrzeby wdrożenia RODO, które każdy dyrektor szkoły powinien przeprowadzić. Będą to przede wszystkim następujące działania: 

  • zaplanowanie przebiegu wdrażania zmian, jakie wynikają z przepisów RODO,
  • powołanie doraźnego zespołu, który będzie odpowiedzialny za wdrożenie RODO w szkole,
  • poinformowanie pracowników szkoły o zmianach w zakresie ochrony danych osobowych,
  • komunikowanie pracownikom stanu prac nad wdrażaniem RODO,
  • wykonanie audytu w celu ustalenia, które z istniejących w szkole procedur mogą być przydatne w procesie wdrażania zmian,
  • określenie strategicznych obszarów, które będą wymagały podjęcia działań w związku ze zmianami,
  • prowadzenie prac nad stworzeniem nowych procedur, które będą spełniać wymagania RODO,
  • zorganizowanie szkolenia na temat zmian, jakie wprowadza RODO dla wszystkich pracowników szkoły.

Można wstępnie określić obszary, w jakich konieczne będzie podjęcie działań w związku ze zmianami prawa w zakresie ochrony danych osobowych:

  • podstawy prawne przetwarzania danych, zasady przetwarzania danych, zgoda na przetwarzanie danych, obowiązek informacyjny w odniesieniu do RODO,
  • ocena aktualnie stosowanych w szkole zabezpieczeń, zabezpieczanie danych, ocena ryzyka przetwarzania danych, dobór odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe, zabezpieczanie danych,
  • zasady powierzania przetwarzania danych, umowy związane z powierzeniem przetwarzania danych, zasady udostępniania danych,
  • incydenty i naruszenia, procedury oceny i zgłaszania incydentu do organu nadzorczego, zasady postępowania w przypadku wystąpienia incydentu, 
  • zakres i zasady prowadzenia dokumentacji, określenie rodzajów dokumentacji w zakresie RODO.

Aby ocenić, które z istniejących w szkole procedur mogą być przydatne w procesie wdrażania zmian, trzeba dokonać ich przeglądu. 
Sprawdzeniu można poddać następujące obszary działalności szkoły w zakresie stosowanych przez nią mechanizmów ochrony danych:

1. Rodzaje danych osobowych w szkole oraz cel ich przetwarzania

Sprawdzenie pozwoli na ustalenie, czy dane są przetwarzane zgodnie z prawem, czy zostały zebrane dla oznaczonych, zgodnych z prawem celów i nie są poddawane dalszemu przetwarzaniu, niezgodnemu z tymi celami, czy dane te są merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane, czy są przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Powyższe działania pozwolą na określenie stopnia zgodności przetwarzania w oparciu o wymagania określone w art. 26 ustawy o ochronie danych osobowych. 

Wdrożenia RODO nie da się przeprowadzić bez przeszkolenia nauczycieli i pracowników w zakresie wprowadzanych zmian.

2. Przetwarzanie danych wyłącznie przez osoby do tego upoważnione 

Działanie to pozwoli na dokonanie oceny w zakresie prawidłowości zapoznawania osób odpowiedzialnych za przetwarzanie danych osobowych (przez administratora danych osobowych lub administratora danych osobowych, jeśli został w szkole powołany) z przepisami o ochronie danych osobowych. Sprawdzenia wymaga również, czy zgodnie z obowiązującymi w szkole procedurami dane osobowe przetwarzają w szkole wyłącznie osoby, które dyrektor dopuścił do tego procesu, czyli mające stosowne w tym zakresie upoważnienie. Sprawdzić należy, czy osoby przetwarzające dane osobowe w szkole mają dostęp ograniczony jedynie do tych danych, które są niezbędne z uwagi na charakter wykonywanej przez nie pracy. Sprawdzenie celowości przyznania osobom przetwarzającym dane do wyraźnie wskazanych w upoważnieniu kategorii danych będzie świadczyło o wprowadzeniu w życie zasady minimalizacji danych, którą ustanowiły przepisy RODO.

3. Przetwarzane danych tylko w miejscach do tego wyznaczonych 

Miejsca te zostały określone w obowiązującej w szkole polityce bezpieczeństwa. Zgodnie z jej wymogami należy ocenić, czy pracownicy przetwarzają dane w miejscach do tego wyznaczonych w szkole. Zdarza się często, że nauczyciele przetwarzają dane osobowe w innych, nieprzewidzianych procedurą miejscach, np. wynosząc dokumentację przebiegu nauczania poza budynek szkoły.

4. Zabezpieczenia dostępu do systemów informatycznych, w których są przetwarzane dane osobowe

Obowiązkiem administratora danych jest nie tylko opracowanie i wdrożenie procedur zarządzania systemem informatycznym, ale także sprawdzenie, czy pracownicy pracujący w systemie informatycznym rozpoczynają i kończą pracę, a także stosują zalecane środki i metody uwierzytelniania zgodnie z zasadami ustalonymi w instrukcji zarządzania systemem informatycznym dotyczącym przetwarzania danych osobowych. Warto również w tym zakresie dokonać sprawdzenia, czy pracownicy przetwarzający dane w sposób tradycyjny stosują się do zasady „czystego biurka”.

5. Zasady przepływu danych w systemie informatycznym

W tym obszarze administrator danych osobowych powinien sprawdzić, czy w szkole jest właściwy sposób przepływu danych osobowych. Sprawdzeniu należy poddać zakres przysłania danych, podmiot lub kategorie podmiotów, do których są one przekazywane, oraz działania pracowników w zakresie sposobów ich przesyłania (internet, poczta elektroniczna, inne rozwiązania). Kontrolując przepływ danych, należy sprawdzić, czy jest on zgodny z przyjętym schematem. Warto również ustalić, czy przepływ informacji pomiędzy zbiorem danych a systemem informatycznym jest jednokierunkowy (informacje pobierane są tylko do odczytu), czy dwukierunkowy (informacje wykorzystywane są do odczytu i zapisu). Można również ocenić, czy w obowiązującej polityce bezpieczeństwa w punkcie określającym sposób przepływu danych pomiędzy systemami są uwzględnione przyjęte rozwiązania technologiczne, a rodzaj narzędzi jest wystarczający do zapewnienia bezpieczeństwa danych.

6. Szacowanie ryzyka przetwarzania danych

Administrator danych musi wywiązać się z obowiązku oszacowania ryzyka przetwarzania danych osobowych. Wiąże się to przede wszystkim z oceną ewentualnego nieuprawnionego wykorzystania danych osobowych. Głównym punktem odniesienia w zakresie sprawdzenia systemu ochrony danych osobowych są przepisy prawa, które wskazują na konkretne zabezpieczenia. Konieczność przeprowadzenia przeglądu, którego wynikiem będzie ustalenie słabych stron systemu ochrony danych osobowych w szkole wynika z faktu, że w szkole przetwarzane są tzw. dane wrażliwe. Pozwoli to administratorowi danych na określenie zabezpieczeń adekwatnych do istniejących zagrożeń.

7. Dokumentacja przetwarzania danych osobowych

Administrator danych osobowych ma obowiązek przygotować dokumenty, które określają zasady przetwarzania danych osobowych. Ponieważ nowe przepisy nie wskazują wprost na obowiązkową dokumentację w zakresie ochrony danych osobowych, dlatego też katalog rodzajów dokumentów, jakie zostaną w szkole wdrożone, zależeć będzie od decyzji administratora danych. Może on zdecydować, że na dokumentację złożą się: zasady przetwarzania danych, rejestry przetwarzania danych uwzględniające np. powody przetwarzania danych, kategorie podmiotów danych i danych osób, adresatów danych, a ponadto obowiązująca obecnie polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, procedury oceny i zgłaszania incydentu do UODO, w tym rejestr incydentów i naruszeń, zgody na przetwarzanie danych itd. Wdrożenie ochrony danych osobowych według nowych zasad musi zostać odzwierciedlone w tych dokumentach. Zasady przetwarzania danych powinny być udostępnione każdej zainteresowanej osobie. Pozostałe z wyżej wymienionych dokumentów powinny podlegać ograniczeniem w zakresie udostępniania. 

Przypisy

    Poprzedni wpis

    Obowiązki dyrektora szkoły w związku z RODO

    Następny wpis

    Wizerunek dzieci w świetle RODO

    Udostępnij:

    Podobne artykuły:

    RODO w szkole

    Zmienione zasady przetwarzania danych osobowych w szkołach

    Wizerunek dzieci w świetle RODO

    Dokumentacja w zakresie ochrony danych osobowych na gruncie RODO

    Zamknij