Dołącz do czytelników
Brak wyników

Edukacja w czasie epidemii

27 maja 2020

NR 103 (Maj 2020)

Nauczanie zdalne a ochrona danych osobowych w pytaniach i odpowiedziach

229

Nauka zdalna to dla nauczycieli i dyrektorów NOWE WYZWANIA ZWIĄZANE związane z ochroną danych osobowych tym większe, że w czasie jej trwania placówki nie tylko będą musiały realizować podstawę programową, ale również inne zadania, choćby związane z rekrutacją.

Na stronie Urzędu Ochrony Danych Osobowych (uodo.gov.pl) opublikowano zalecenia dotyczące bezpieczeństwa danych osobowych podczas zdalnego nauczania – „Poradnik UODO dla szkół”. Warto się z nim zapoznać. A w artykule nasi eksperci odpowiadają na najważniejsze pytania, jakie pojawiły się w związku z ochroną danych podczas organizacji zdalnej pracy przez placówki oświatowe. 
Prowadzenie nauczania za pomocą środków komunikacji na odległość wymagane jest przez przepisy rozporządzenia MEN z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19. 
Zauważyć należy, że zgodnie z art. 30a ust. 2 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe  nauczyciele są zobowiązani do zachowa- nia w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów. Oznacza to konieczność szczególnego zadbania o bezpieczeństwo danych, np. przesyłanych w czasie zdalnego posiedzenia rady pedagogicznej. 

POLECAMY

Czy konieczne jest dodatkowe szkolenie dla nauczycieli z ochrony danych osobowych w związku ze zleceniem pracy zdalnej? 

Wykonywanie pracy w formie zdalnej nie zwalnia ze stosowania i przestrzegania obowiązujących wewnątrzzakładowych przepisów ochrony danych osobowych. Nie powoduje również konieczności przeprowadzenia dodatkowego szkolenia z zakresu ochrony danych osobowych. Jednak inspektor danych osobowych w danej jednostce oświatowej powinien przesłać do wszystkich nauczycieli krótką instrukcję, przypomnienie zasad ochrony danych osobowych, uwzględniając nową rzeczywistość świadczenia pracy przez nauczycieli. 
Na dyrektorze ciąży obowiązek poinformowania nauczycieli, uczniów i ich rodziców o formie prowadzenia nauczania zdalnego, w tym także wskazania programu używanego do prowadzenia lekcji online. Dyrektor winien skonsultować wybór programu z inspektorem danych osobowych, który określi ryzyko pracy. Należy mieć tę procedurę na względzie, gdyż ostatnie dni przyniosły niespodziankę. Z popularnego programu do komunikacji na odległość – Zoom – wykradziono dane jego użytkowników. Dopuszcza się możliwość pseudonimizacji uczestników lekcji online celem zwiększenia ochrony danych osobowych i zabezpieczenia ich przed nieuprawnionym dostępem osób trzecich.
Trzeba też pamiętać, że nauczyciel przetwarza dane osobowe uczniów i ich rodziców w celu służbowym nie tylko online, ale również w formie dokumentowej. Tym samym należy pamiętać, że w dalszym ciągu obowiązuje zasada tzw. czystego biurka. Nauczyciel nie powinien podczas pracy zdalnej z domu pozostawiać w sposób ogólnodostępny dokumentów, które zawierają dane osobowe uczniów i ich rodziców. 
Pojawia się pytanie, czy dyrektor placówki może przetwarzać dane o kwarantannie, chorobie dzieci w trakcie zawieszenia działalności placówki oświatowej i realizacji zadań w formie online? Czy może za pośrednictwem drogi e-mailowej żądać od rodziców podania informacji o tym, czy rodzina przebywa lub przebywała na kwarantannie oraz czy ktoś z rodziny lub dziecko choruje na COVID-19? Zdecydowanie nie. Należy zwrócić uwagę, że dyrektor nie ma żadnego celu w tym, aby przetwarzać dane szczególnych kategorii, jakimi są dane zdrowotne, nie ma ku temu także podstaw prawnych. Dzieci realizują podstawy programowe w formie zdalnej, a więc nie ma żadnego ryzyka związanego z kontaktami międzyludzkimi w placówce. 

Czy szkoła może żądać danych rodzica na potrzeby prowadzenia zdalnego nauczania?

Zgodnie z zaleceniami UODO szkoła może wymagać od ucznia lub reprezentującego go rodzica (opiekuna prawnego) podania danych do założenia konta w systemie zdalnego nauczania, ale tylko w zakresie niezbędnym do tego, aby to konto założyć. Nie należy przy takiej okazji gromadzić danych nadmiarowych bądź służących do realizacji innych celów.
Jeżeli więc korzystamy z zupełnie nowej platformy zdalnej komunikacji i dane rodziców są niezbędne, aby platformę tę uruchomić, to należy szczególną uwagę zwrócić na to, aby pobrać minimalną, wystarczającą do uruchomienia ilość danych. Nie wymagamy zatem drugiego imienia, jeżeli nie jest to potrzebne do rozpoczęcia pracy, ani numeru PESEL „na wszelki wypadek”, bo żądanie takich danych nie ma uzasadnienia.

Czy korzystać z szyfrowania przesyłanych rodzicom wiadomości i wymagać szyfrowania wiadomości odbieranych od rodziców?

Jak wskazuje Urząd Ochrony Danych Osobowych: „jednym z głównych obowiązków szkoły – związanych z ochroną danych osobowych – jest zabezpieczenie danych przez zastosowanie odpowiednich środków technicznych i organizacyjnych. Chodzi o to, aby dane te nie były udostępniane osobom nieupoważnionym oraz nie uległy zniszczeniu, zmodyfikowaniu lub utracie. Przykładowe środki służące zabezpieczeniu danych to: pseudonimizacja, szyfrowanie danych (…). W razie wykonywania obowiązków służbowych przez nauczycieli poza szkołą jej dyrektor w każdym wypadku musi rozważyć możliwości odpowiedniego zabezpieczenia danych osobowych, uwzględniając stopień ryzyka naruszenia ochrony danych osobowych i ewentualnie wdrożyć odpowiednie środki minimalizujące to ryzyko lub zrezygnować z tego rodzaju praktyki, np. umożliwiając nauczycielowi, który nie ma właściwych warunków do pracy zdalnej, korzystanie ze sprzętu znajdującego się w szkole”.
Oczywiście nie każda informacja, która jest przesyłana do ucznia, musi podlegać obowiązkowemu szyfrowaniu. Wiele zależy tu od metody przesyłania danych. Jeżeli uczeń i nauczyciel korzystają z dziennika elektronicznego, wówczas trzeba pamiętać o tym, że już sam dostęp do tej platformy podlega dodatkowym ograniczeniom w postaci konieczności podania danych podczas logowania. W takim wypadku dodatkowe szyfrowanie może być traktowane jako dodatkowe zabezpieczenie, ale nie jest ono wymagane. Pamiętać należy, że materiały edukacyjne czy zadane przez nauczyciela prace domowe nie zawsze będą zawierać dane osobowe, które należałoby dodatkowo zabezpieczać.

Czy można wykorzystywać inne sprzęty w trakcie zdalnej nauki?

Nic nie stoi na przeszkodzie, aby w trakcie nauki za pośrednictwem innych kanałów komunikacji nauczyciele posługiwali się również innymi narzędziami lub sprzętem. W szczególności nauczyciel powinien pamiętać o wykonywaniu kopii zapasowych na innych nośnikach danych, np. dokumentów potwierdzających przeprowadzenie zajęć online, dokumentów, z których wynika, że przesłał rodzicom zadania dla dzieci. W przypadku wykonywania kopii należy używać szyfrowania, np. haseł dostępu do kopii zapasowych umieszczonych w chmurze, dyskach zewnętrznych, pendrive’ach. 

Czy nauczyciel może używać prywatnej poczty elektronicznej do kontaktów z uczniami?

UODO nie zaleca takiego rozwiązania: „dyrektor szkoły nie powinien zalecać nauczycielom używania przez nich prywatnych adresów poczty elektronicznej do kontaktu z uczniami lub ich rodzicami (opiekunami prawnymi). Rekomendowane jest, by nauczyciele do korespondencji e-mailowej z uczniami korzystali ze służbowych adresów e-mail. Niemniej w obu przypadkach powinni odpowiednio zabezpieczać dane osobowe udostępniane w przesyłanych wiadomościach”.
Pamiętać jednak należy, że w cytowanych wytycznych UODO stanął również na stanowisku, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), nie zabrania wykorzystywania przez nauczyciela prywatnego komputera, tabletu czy telefonu do przetwarzania danych osobowych w związku ze zdalnym prowadzeniem zajęć. Dopuszczalne jest zatem korzystanie na prywatnym sprzęcie ze służbowej poczty lub dziennika elektronicznego pod warunkiem stosowania zasad bezpieczeństwa cyfrowego obowiązujących w danej szkole. 
UODO wskazuje również, że jeżeli nauczyciel używa własnego urządzenia, powinien samodzielnie spełnić podstawowe wymogi bezpieczeństwa. Przede wszystkim musi sprawdzić, czy wykorzystywane urządzenie ma aktualny system operacyjny, czy używane są na nim programy, w szczególności programy antywirusowe, czy dokonane są niezbędne aktualizacje. Na bieżąco aktualizowane powinny być także zainstalowane programy antimalware i antispyware. Należy rozważnie instalować na swoich urządzeniach oprogramowanie i pobierać je tylko z wiarygodnych źródeł (ze stron producentów). Ponadto skrzynki powinny być jednak odpowiednio zabezpieczone hasłem. Jeśli jest możliwość tworzenia folderów, to nauczyciel winien oddzielić prywatne sprawy od wiadomości związanych ze zdalnym nauczaniem. 

>>Pamiętaj!
W przypadku wysyłania e-maili do różnych osób, rodziców, przełożonych i uczniów, w szczególności gdy posługujesz się prywatnymi adresami, umieszczaj dane odbiorców w oknie UDW. Tym samym, w chwili dotarcia wiadomości, jej odbiorcy nie będą widzieli innych adresatów. 

Jak zapewnić ochronę danych przetwarzanych podczas zdalnego zebrania rady pedagogicznej?

Zgodnie z § 11a rozporządzenia w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 w czasie epidemii czynności organów szkoły, w tym rady pedagogicznej, mogą być podejmowane za pomocą środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, a także w trybie obiegowym. Treść podjętej w ten sposób czynności powinna być utrwalona w formie odpowiednio protokołu, notatki, adnotacji lub w inny sposób.
Rozporządzenie nie definiuje, co należy rozumieć przez „obiegowy” tryb działania organu kolegialnego, którym jest też rada pedagogiczna. Można jednak przyjąć, że jest to tryb, w którym nie wszyscy członkowie rady pedagogicznej są dostępni w jednym czasie za pomocą środków komunikacji na odległość, ale podejmując uchwałę, dyrektor komunikuje się po kolei z każdym nauczycielem, który przekazuje mu, w jaki sposób oddaje swój głos. Taki sposób działania jest przydatny, gdy nie można zapewnić wszystkim nauczycielom środków technicznych umożliwiających zdalne połączenie się w jednym czasie. 
Chcąc chronić dane osobowe, w szczególności zawarte w uchwałach, nad którymi głosuje rada, należy stosować wcześniej wskazane metody, czyli przede wszystkim szyfrowanie treści. Należy również upewnić się, że informacje trafiają do odpowiedniej osoby. Trzeba zatem sprawdzać poprawność adresu poczty, aby nie dopuścić do wycieku danych. Najlepszą jednak metodą ograniczenia możliwości powstania takiego wycieku jest ograniczenie przetwarzania. Innymi słowy, jeżeli w okresie ograniczenia funkcjonowania szkół nie ma pilnej potrzeby obradowania nad danym zagadnieniem, to lepiej się od tego powstrzymać do czasu, gdy sytuacja wróci do normy. 

Czy można opublikować na stronie internetowej listę przyjętych kandydatów?

Okres ograniczenia działania szkół przypadł na czas rozpoczynających się rekrutacji, natomiast rozporządzenie w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 zawiera w § 11b szczególne rozwiązanie dotyczące właśnie rekrutacji. Zgodnie z tym przepisem w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty wyniki postępowania rekrutacyjnego w formie list kandydatów podaje się do publicznej wiadomości także na stronach internetowych szkół.
Czy w związku z nauczaniem zdalnym konieczne jest wydanie upoważnień do przetwarzania danych dla nauczycieli prowadzących nauczanie zdalne?
Nauczyciel powinien zostać upoważniony do przetwarzania danych osobowych, bo zasada przetwarzania danych przez pracownika na podstawie upoważnienia wynika z przepisów RODO. Należy zauważyć, że zgodnie z art. 5 RODO dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danyc...

Dalsza część jest dostępna dla użytkowników z wykupionym planem

Przypisy