Nadzwyczajna sytuacja związana z pandemią koronawirusa spowodowała, że nauczyciele musieli w bardzo krótkim czasie zorganizować efektywną komunikację z uczniami i stawić czoła nowym wymaganiom związanym z pracą zdalną. Przepisy dotyczące zajęć szkolnych w formie zdalnej dają szeroką możliwość realizowania przez nauczycieli zajęć z wykorzystaniem metod i technik kształcenia na odległość, w tym z wykorzystaniem środków komunikacji elektronicznej. Pozostawiają też dużą swobodę w wyborze właściwego narzędzia.
Wiele szkół do tej pory nie wykorzystywało platform umożliwiających prowadzenie zajęć zdalnych. Nieoczekiwana sytuacja zmusiła je do skorzystania z dostępnych rozwiązań oraz dokonania szybkiego ich wyboru. W tle tych decyzji pozostaje kwestia ochrony danych, nie zawsze uwzględniana w należyty sposób. Korzystając z różnych form i narzędzi, warto poznać rekomendacje i dobre praktyki, aby przetwarzanie danych było bezpieczne.
Pamiętaj, że jako nauczyciel możesz przetwarzać dane osobowe uczniów i ich rodziców tylko w celach związanych z wykonywaniem swoich obowiązków służbowych. Przy korzystaniu z komputerów i innych urządzeń służących do komunikacji powinieneś zadbać o bezpieczeństwo przetwarzanych danych osobowych – RODO nie zabrania korzystania z prywatnego komputera, tabletu, czy telefonu do przetwarzania danych osobowych w związku ze zdalnym prowadzeniem zajęć. Urządzenia te muszą być jednak odpowiednio zabezpieczone, a Twoje postępowanie powinno być zgodne z wprowadzoną w szkole polityką i procedurami w zakresie bezpieczeństwa i ochrony danych osobowych.
Jak sprawdzić, czy urządzenie, z którego korzystasz jest odpowiednio zabezpieczone?
- Zweryfikuj, czy urządzenie ma aktualny system operacyjny, czy używane są na nim programy poprawiające bezpieczeństwo, w szczególności programy antywirusowe, a także czy dokonane są niezbędne aktualizacje. Na bieżąco aktualizowane powinny być również zainstalowane programy antymalware i antyspyware. Jeśli instalujesz na swoich urządzeniach nowe programy, to pamiętaj, aby pobierać je tylko z wiarygodnych źródeł (np. ze stron producentów).
- Gdy przechowujesz dane na sprzęcie, do którego mogą mieć dostęp inne osoby, używaj mocnych haseł dostępowych, a przed odejściem od stanowiska pracy blokuj urządzenie. Zalecane jest także skonfigurowanie automatycznego blokowania komputera po pewnym czasie bezczynności oraz założenie odrębnych kont użytkowników w przypadku korzystania z komputera przez wiele osób.
- Podczas korzystania z programów lub aplikacji mobilnych stosuj dostępne w nich mechanizmy ochrony prywatności użytkowników. Jeśli użycie jakiegoś programu wymaga logowania, warto zadbać o silne hasło dostępu, a dodatkowo chronić je przed utratą czy dostępem osób nieuprawnionych.
- Jeśli dane przechowujesz na urządzeniach przenośnych (np. pamięć USB), powinieneś je bezwzględnie szyfrować i zabezpieczyć hasłem.
- Podstawową komunikację z uczniami i rodzicami prowadzi się poprzez wdrożone w szkole rozwiązania teleinformatyczne, np. dzienniki elektroniczne. W takiej sytuacji pamiętaj o zachowywaniu podstawowych zasad bezpieczeństwa przy zdalnym łączeniu się z dziennikiem elektronicznym ze swojego urządzenia w domu.
- Jeżeli szkoła nie zapewniła służbowych skrzynek poczty elektronicznej, wykorzystując do celów służbowych prywatną skrzynkę pocztową, pamiętaj, aby korzystać z niej w sposób rozważny i bezpieczny.
- Szczególną uwagę powinieneś zwrócić na zabezpieczenie danych osobowych udostępnianych w przesyłanych wiadomościach. Zawsze przed wysłaniem wiadomości upewnij się, czy niezbędne jest wysłanie danych osobowych, oraz czy wysyłasz ją do właściwego adresata. Sprawdź także, czy w nazwie adresu e-mail adresata nie ma np. przestawionych lub pominiętych znaków tak, aby nie wysłać takiej wiadomości do osób nieupoważnionych. Podczas wysyłania korespondencji zbiorczej powinno się korzystać z opcji „UDW”, dzięki której odbiorcy wiadomości nie będą widzieć wzajemnie swoich adresów e-mail.
- W zdalnym prowadzeniu zajęć powinieneś wykorzystywać te platformy edukacyjne lub narzędzia do e-learningu, które zostały wdrożone w szkole. W takiej sytuacji możesz oczekiwać, że prowadzenie zajęć zdalnych będzie bezpieczne. Powinieneś wówczas przestrzegać przyjętych przez szkołę instrukcji i procedur dotyczących ochrony danych osobowych oraz zachować podstawowe zasady bezpieczeństwa przy zdalnym łączeniu się z taką platformą ze swojego urządzenia w domu.
- Pamiętaj, że to szkoła powinna samodzielnie wdrożyć wybraną spośród dostępnych metodę i technikę kształcenia na odległość lub inny sposób realizacji zadań zdalnie – nie powinieneś sam decydować o korzystaniu z konkretnych rozwiązań (np. prowadzenie lekcji za pomocą komunikatorów czy wideonarzędzi). Za przetwarzanie danych uczniów przy wykorzystaniu narzędzi wdrożonych samodzielnie przez Ciebie zawsze odpowiedzialność ponosi szkoła. Dlatego przyjmowanie określonego rozwiązania powinno się odbywać w uzgodnieniu z dyrektorem szkoły lub wyznaczonym przez niego koordynatorem pracy zdalnej. Dyrektor musi mieć świadomość, jakie narzędzia są wykorzystywane do prowadzenia zdalnej edukacji w szkole. Takie rozwiązanie powinno być traktowane jako tymczasowe.
- Pamiętaj także, aby w porozumieniu z dyrektorem szkoły uwzględnić, jakie realne możliwości komunikowania się z Tobą mają uczniowie lub rodzice oraz to, czy wskazany przez nich konkretny rodzaj komunikatora internetowego zapewnia bezpieczeństwo komunikacji.
Jakie kategorie danych osobowych możesz przetwarzać?
- Możesz przetwarzać tylko te dane osobowe, które są niezbędne do realizacji celów, a cele te muszą być związane z wykonywaniem Twoich obowiązków służbowych. Zważając na zasadę minimalizacji, nie pobieraj danych „na zapas”. Jeśli przykładowo korzystasz z narzędzi lub produktów, które umożliwiają przeprowadzenie sprawdzianu w formie testu on-line, wystarczające będzie pobranie od ucznia imienia i nazwiska (dokładnie tak samo, jak w przypadku sprawdzianu w formie tradycyjnej) oraz ewentualnie adresu e-mail, o ile nie jest możliwa komunikacja poprzez dziennik elektroniczny. Pamiętaj, aby swoje konto użytkownika, na które spływają elektroniczne sprawdziany, było zabezpieczone silnym hasłem.
- Na ogólnie dostępnych portalach lub stronach internetowych możesz jedynie publikować materiały edukacyjne, natomiast nie możesz pobierać, a także publikować danych osobowych uczniów lub rodziców.
- W celu sprawdzania i monitorowania obecności uczniów na zajęciach prowadzonych zdalnie powinieneś zachować proporcjonalność i pamiętać o minimalizacji danych. Nie możesz więc w tym celu korzystać z systemów wykrywania twarzy czy innych narzędzi zbierających dane biometryczne.
- Przy wyborze aplikacji lub innych narzędzi wykorzystywanych do zdalnej edukacji bądź komunikacji z uczniami. Zastanów się, czy jest niezbędne, aby przetwarzały one dane osobowe, a jeżeli tak, czy można zminimalizować ich zakres bądź wykorzystywać tylko pseudonimy (np. pierwsza litera imienia itp.). Należy także sprawdzić zasady świadczenia usługi i zasady przetwarzania danych przez usługodawcę (politykę prywatności oraz regulamin).
Pamiętaj, iż w razie wątpliwości możesz konsultować się z wyznaczonym inspektorem ochrony danych.
Jakie są obowiązki szkoły w zakresie ochrony danych osobowych podczas realizacji nauki zdalnej?
- Poinformowanie nauczycieli, rodziców oraz uczniów o sposobie realizacji nauki zdalnej. Informacja ta powinna zostać przekazana w prosty i jasny sposób, tak aby była zrozumiała dla wszystkich, do których jest skierowana. Jeżeli szkoła w celu realizacji nauki zdalnej będzie korzystać z nowych narzędzi lub usług świadczonych przez podmioty zewnętrzne, to powinna także poinformować o tym, jak w tym zakresie będą przetwarzane dane osobowe.
- Zapewnienie kompleksowego wdrożenia narzędzi umożliwiających nauczycielom prowadzenie zajęć zdalnych oraz bezpiecznej komunikacji z uczniami i rodzicami.
- Przy pobieraniu danych osobowych ucznia, niezbędnych do założenia konta w systemie zdalnego nauczania nie należy pobierać danych nadmiarowych bądź służących do realizacji innych celów.
- Przy korzystaniu z usług przetwarzania danych z wykorzystaniem innych niż wcześniej używanych narzędzi, szkoła powinna (z pomocą wyznaczonego inspektora ochrony danych), w pierwszej kolejności przeprowadzić analizę zagrożeń. Szczególna uwaga należy zwrócić na bezpieczeństwo danych oraz zapewnienie odpowiednich gwarancji praw osób, których dane dotyczą.
- Kolejny obowiązek to zabezpieczenie danych przez zastosowanie odpowiednich środków technicznych i organizacyjnych. Dane osobowe nie mogą być udostępniane osobom nieupoważnionym oraz nie mogą ulec zniszczeniu, zmodyfikowaniu lub utracie.
- W razie wykonywania obowiązków służbowych przez nauczycieli poza szkołą jej dyrektor w każdym wypadku rozważa możliwości odpowiedniego zabezpieczenia danych osobowych, uwzględniając stopień ryzyka naruszenia ochrony danych osobowych i ewentualnie wdraża odpowiednie środki minimalizujące to ryzyko.
- Przy powierzeniu podmiotowi zewnętrznemu np. obsługi dziennika elektronicznego, dyrektor powinien mieć pewność, że usługodawca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wskazane w RODO i chroniło prawa osób, których dane dotyczą. Dlatego też, przed podjęciem takiej decyzji szkoła powinna przeanalizować wszystkie możliwe rozwiązania oraz oszacować ryzyko.
- Rekomendowane jest, by nauczyciele do korespondencji e-mailowej z uczniami korzystali ze służbowych adresów e-mail.
Nie ma rozbieżności pomiędzy RODO a nowoczesną edukacją z wykorzystaniem nauki zdalnej. Wystarczy, abyś pamiętał o prawach osób, których dane będą przetwarzane, a także o bezpieczeństwie samych danych. Trafnie ujął to Jan Nowak, Prezes Urzędu Ochrony Danych Osobowych: RODO nie stoi na przeszkodzie zdalnej edukacji w czasie pandemii koronawirusa, lecz daje szkołom możliwość racjonalnego wdrożenia odpowiednich metod i technik kształcenia na odległość z jednoczesnym poszanowaniem podstawowych zasad ochrony danych.
Anna Maksymczak
Aplikant radcowski
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Sp.j.