AwarenessBezpieczeństwo informacjiPytania i odpowiedziRODO

Szkolenie UODO oraz MEN z dnia 30.09.2020r. dla inspektorów ochrony danych w oświacie

[POBIERZ] Prezentacja ze szkolenia dla IOD - Natalia Paciorek, Departament Orzecznictwa i Legislacji UODO
[POBIERZ] Prezentacja ze szkolenia dla IOD - Rafał Lew-Starowicz, Departament Podręczników, Programów i Innowacji MEN

Wprowadzenie

W dniu 30 września UODO zorganizował szkolenie online dla inspektorów ochrony danych (IOD) poświęcone zdalnemu nauczaniu oraz zagrożeniom dla danych osobowych związanych z wykorzystaniem nowoczesnych technologii w procesie nauczania.

Szkolenie składało się z trzech części:

  1. Część ogólna, w której prezentowali się przedstawiciele UODO oraz MEN.
  2. Część prezentacji merytorycznych, które przygotowali przedstawiciele UODO oraz MEN
  3. Panel dyskusyjny, w którym brali udział przedstawiciele UODO, MEN oraz zaproszony IOD.

W części II oraz III zaproszeni goście udzielali odpowiedzi na kilka wybrane pytania (znajdziecie je Państwo na końcu niniejszego opracowania).

Niniejszy materiał jest podsumowaniem / streszczeniem tego szkolenia. Przygotowałem go w taki sposób, aby był dla Państwa użyteczny. Samo szkolenie w mojej ocenie było bardziej dedykowano ADO niż IOD, ale to moje subiektywne odczucie.

Część I – Ogólna prezentacja działań MEN oraz UODO w obszarze ochrony danych osobowych w edukacji

Rafał Lew-Starowicz, Zastępca dyrektora Departamentu Podręczników, Programów i Innowacji w MEN

Początek materiału: 00h:10m

Prelegent przekazał ogólne informacje dotyczące informatyzacji szkół i możliwości cyfrowych nauczycieli oraz uczniów. Powiedział również o tym, że MEN wspólnie z UODO opublikowało na stronie MEN poradniki dla oświaty.

Urszula Góral, Dyrektor Departamentu Współpracy Międzynarodowej i Edukacji, UODO

Początek materiału: 00h:16m

Prelegentka opowiedziała o programie edukacyjnym „Twoje dane – Twoja Sprawa”. Poza tym omówieniem przedstawiała wyłącznie ogólne zagadnienia dotyczące ochrony danych osobowych (nie tylko w oświacie).

Część II – prezentacje przedstawicieli UODO oraz MEN

Emilia Paciorek, Departament Orzecznictwa i Legislacji, UODO

Początek materiału: 00h:26m

Prelegentka w swoim materiale przedstawiła pięć bloków tematycznych. Poniżej znajdują się opisy zaprezentowanej zawartości wraz z moimi komentarzami.

  1. Wyzwania przed szkołami – zadania szkoły, wskazówki dla nauczycieli.

Z najważniejszych przekazanych informacji wynika, że kształcenie na odległość powinno być poprzedzone analizą zagrożeń i rozważnym doborem narzędzi kształcenia, które zapewnią odpowiedni poziom bezpieczeństwa danych osobowych.

W trakcie tej części prezentacji zostały omówiona następujące zagadnienia:

  • Wykorzystywanie przez nauczycieli własnego laptopa podczas nauki zdalnej i jak powinien być taki sprzęt zabezpieczony. Tutaj UODO nie widzi przeciwwskazań, aby prywatne urządzenia były przez nauczycieli stosowane. Warunkiem jest jednak odpowiednie zabezpieczenie urządzenia w taki sposób, aby podczas pracy nauczyciela nie miały do niego dostępu inne osoby (np. domownicy). UODO zwraca również uwagę na to, że dane osobowe przenoszone na nośnikach danych nie były zapisane w czytelnej postaci, a to oznacza, że dane osobowe powinny być na takich nośnikach zabezpieczone np. poprzez ich zaszyfrowanie i/lub zabezpieczenie hasłem.
  • Korzystanie przez szkoły z platform edukacyjnych i ogólnopolskich narzędzi. Zdaniem UODO nauczyciele powinni stosować narzędzia edukacyjne, które zostały wdrożone w szkole. W tym przypadku „wdrożone” oznacza „zaakceptowane przez ADO”. Nauczyciele oraz dyrektorzy placówek powinni ocenić realne możliwości komunikowania się uczniów oraz ich prawnych opiekunów w trakcie nauki.
  1. Korzystanie z nowoczesnych technologii.

W tej części poruszanych jest kilka kwestii związanych z wykorzystywaniem nowoczesnych technologii w zdalnym nauczaniu. Pada kilka stwierdzeń m. in., że do zdalnej edukacji niepotrzebna jest administratorowi danych osobowych zgoda prawnych opiekunów.

UODO zaznacza, że szkoła ma dowolność w doborze środków technicznych i organizacyjnych do ochrony danych osobowych, może stosować się do zaleceń MEN oraz UODO, ale administrator danych osobowych jest odpowiedzialny za ochronę danych i powinien się kierować analizą zagrożeń i opiniami inspektora ochrony danych.

  1. Nagrywanie lekcji / nagrywanie uczniów

W tej części zostały poruszone kwestie nagrywania lekcji oraz rejestrowania wizerunku przez nauczycieli, uczniów czy ich prawnych opiekunów. UODO wypowiada się jednoznacznie, że wizerunek nauczyciela podczas prowadzenia lekcji jest związany z wykonywaną pracą i jego ochrona jest w trakcie takich zajęć ograniczona. Zgoda na wykorzystanie wizerunku nauczyciela w trakcie lekcji nie jest wymagana.

UODO wypowiedział się również, że nauczyciel nie może wymagać, aby prawny opiekun lub uczeń nagrał zajęcia. Wynika to z braku podstaw prawnych do takiego działania. To administrator danych osobowych (szkoła) jest ich właścicielem i nauczyciel nie może podejmować samodzielnie takiej decyzji. Podobne stanowisko zostało przekazane w przypadku rejestrowania obrazu z wykorzystaniem wizerunku dziecka i przesłaniem takiego materiału nauczycielowi. Brak podstaw prawnych ogranicza takie działanie, ale jest ono możliwe, jeżeli pełnoletni uczniowie lub prawni opiekunowie uczniów nieletnich wyrażą na to zgodę.

UODO jednoznacznie nie odniósł się do nagrywania zajęć przez prawnych opiekunów dzieci lub pełnoletnich uczniów. Wskazuje, że należy poddać analizie czy nagrywanie zajęć jest rzeczywiście niezbędne. UODO sugeruje, że głównymi materiałami utrwalanymi w trakcie lekcji powinny być te przekazywane uczniom przez nauczycieli.

  1. E-dziennik.

UODO wskazał, że szkoła wykorzystuje e-dziennik na podstawie przepisów prawa i zgoda prawnych opiekunów nie jest tu konieczna. Dostęp do e-dziennika powinien być ograniczony dla każdego ucznia oraz prawnego opiekuna w takim zakresie, jaki jest im niezbędny. Uczniowie oraz prawni opiekunowie nie powinni mieć wglądu do danych innych uczniów i prawnych opiekunów.

Komentarz IOD: Niezwykle ważnym elementem korzystania przez szkoły z dziennika elektronicznego jest to, aby dostęp do niego miały wyłącznie osoby uprawnione. Dotyczy to nie tylko uczniów i prawnych opiekunów, ale również pracowników (lub współpracowników) szkoły. Administrator danych osobowych musi nadzorować proces nadawania uprawnień do dziennika elektronicznego oraz zadbać o to, aby takie uprawnienia niezwłocznie odbierać byłym pracownikom (optymalnym rozwiązaniem jest, aby uprawnienia odbierać w ostatnim dniu umowy o pracę / współpracę lub po wystąpieniu incydentu bezpieczeństwa z udziałem takiej osoby).

Szkoła korzystająca z dziennika elektronicznego jako rozwiązania udostępnionego przez firmę zewnętrzną (lub instytucję) powierza dane osobowe. W takiej sytuacji może zachodzić potrzeba zawarcia umowy powierzenia przetwarzania danych.

  1. Informowanie o zakażeniu koronawirusem.

UODO wskazuje, iż nie ma podstaw, aby informować wszystkich uczniów i pracowników szkoły o tym, że konkretny uczeń jest zakażony. Podobne podejście zostało przyjęte w stosunku do pracowników, w którym szkoła nie ma obowiązku informowania wszystkich pracowników który z nich jest zakażony.

Rafał Lew-Starowicz, Zastępca dyrektora Departamentu Podręczników, Programów i Innowacji w MEN

Początek materiału: 00h:56m

Prelegent przedstawił prezentację o tytule „Uczeń – Nauczyciel w trybie zdalnym czyli kształcenie na odległość”. Poniżej znajduje się wykaz poszczególnych bloków prezentacji:

  1. Nowe podejście do edukacji informatycznej na wszystkich etapach edukacji i dla wszystkich uczniów.
  2. Polscy uczniowie – wyniki badania PISA 2018.
  3. Co najbardziej decyduje o tym, że nauczanie zdalne przebiega bez przeszkód?
  4. OSE (Ogólnopolska Sieć Edukacyjna).
  5. Zdalna szkoła.
  6. Zdalna szkoła +.
  7. Doposażenie szkół w sprzęt dla uczniów.
  8. Komputery dla dzieci.
  9. Szkolne pakiety multimedialne.
  10. Rządowy program „Aktywna tablica”
  11. epodreczniki.pl
  12. Doskonalenie nauczycieli.
  13. Bezpieczna szkoła.
  14. Gry komputerowe i wideo w szkołach.

Przedstawiony materiał w mojej ocenie nie do końca był przeznaczony dla IOD ponieważ nie wnosił nic w ochronę danych osobowych. Materiał bardziej o charakterze statystycznym, podsumowujący dokonania MEN w obszarze informatyzacji szkół i uczniów.

Część III – debata o dobrych praktykach dotyczących zdalnego nauczania

Początek materiału: 01h:18m

Debata z udziałem przedstawicieli UODO, MEN oraz inspektora ochrony danych trwała już do samego końca szkolenia.

Wybrane zagadnienia, które mogą być istotne dla administratorów danych osobowych.

  • Z punktu widzenia UODO, wygląda na to, że obyło się bez rewolucji w ochronie danych osobowych przy nauczaniu na odległość. UODO nie miał skarg dotyczących nauczania na odległość;
  • Dotychczas zarejestrowane incydenty w UODO związane z nauczaniem na odległość nie były poważne i dotyczyły najczęściej błędnej konfiguracji oprogramowania czy wysłania wiadomości e-mail do wielu odbiorców nie ukrywając ich adresów przed pozostałymi odbiorcami;
  • MEN wystawił bardzo dobrą ocenę nauczycielom, którzy dostosowali się do wymagań związanych ze zdalną nauką, jednak jak zauważył przedstawiciel MEN czasem dochodziło do sytuacji, w których nie było w trakcie zajęć interakcji pomiędzy nauczycielem, a uczniami, a materiały edukacyjne były wysyłane po prostu pocztą elektroniczną;
  • Administratorzy danych osobowych cały czas powinni zdawać sobie sprawę z potencjalnych negatywnych skutków (ryzyka) przy wyborze oraz stosowaniu nowoczesnych narzędzi;
  • Administratorzy danych osobowych, którzy wybrali do współpracy doświadczonych inspektorów ochrony danych, tych którzy się rozwijają i szkolą lub sami wyszkolili sobie takich inspektorów mają lepsze wsparcie merytoryczne niż administratorzy, którzy sobie takiego wsparcia nie zapewnili;
  • Administratorzy danych osobowych powinni przeprowadzić analizę ryzyka dobierając narzędzia do nauki zdalnej. Dobrą praktyką, o której wspomina UODO, może być wprowadzenie jednego podejścia do ryzyka w jednostkach nadzorowanych przez organ samorządu terytorialnego;
  • Administratorzy danych osobowych mają przed sobą duże wyzwanie wybierając narzędzia do nauki na odległość, dlatego powinni tym bardziej konsultować ich wybór z inspektorem ochrony danych;
  • Administratorzy danych osobowych, którzy decydują się przekazać jakiś proces, w którym przetwarzane są dane osobowe zewnętrznemu dostawcy (np. usługa dziennika elektronicznego) wchodzą w relację „Administrator – Podmiot przetwarzający”, w której może zachodzić potrzeba zawarcia umowy powierzenia danych. W przypadku dużych usługodawców, zapisy dotyczące powierzenia danych mogą być zawarte w regulaminach dołączonych do usług i wówczas zawieranie dodatkowej umowy może nie być konieczne;
  • Administratorzy danych osobowych mają czasem wątpliwości czy zdalne nauczanie powinno być wpisane jako dodatkowa pozycja w Rejestrze Przetwarzania Danych. Zdania administratorów oraz inspektorów ochrony danych są podzielone/ Zostało przekazane stanowisko, że nie ma potrzeby dodawania nowej pozycji w rejestrze, ale jeżeli w ramach danego procesu wykorzystuje się technologię, to powinno się w rejestrze uwzględnić sposób zabezpieczania danych;
  • Administratorzy danych osobowych, planujący podczas nauczania na odległość (ale nie tylko) kontaktować się z prawnymi opiekunami uczniów z wykorzystaniem ich prywatnych danych (e-mail, telefon, media społecznościowe, aplikacje typu Messenger i inne) powinni uzyskać najpierw ich zgodę.

Wybrane pytania uczestników szkolenia i odpowiedzi prelegentów

Pytanie 1. Co powinna zrobić szkoła planując wprowadzenie wejścia na teren szkoły za pomocą personalizowanych kart?

W takiej sytuacji UODO rekomenduje analizę ryzyka.

Ze swojej strony sugeruję jako IOD, aby na karcie dostępowej nie „kodować” danych osobowych uczniów, jeżeli nie jest to konieczne. Karta powinna zapewnić dostęp do konkretnych obszarów i zakodowanie na niej systemowego identyfikatora ucznia (np. unikalny numer w systemie dostępu) wydaje się zupełnie wystarczające.

Pytanie 2. Czy w salach komputerowych można zainstalować monitoring pod kątem uniknięcia kradzieży albo dojścia do sprawców?

Przedstawiciel UODO nie udzielił konkretnej odpowiedzi na to pytanie odpowiadając, że szkoła wraz z IOD powinni dokonać analizy zgodności takiego rozwiązania z prawem. Jeżeli okaże się, że jest zgodne z przepisami prawa, to instalacja mogłaby być możliwa

Komentarz IOD: Ze swojej strony jako IOD uważam, że jest to wymijająca odpowiedź ponieważ przepisy zabraniają monitorowania m. in. sal lekcyjnych, a do takiej należy zaliczyć również salę komputerową. Z drugiej strony mamy ustawę o mieniu państwowym, która daje możliwość monitorowania wybranych przestrzeni w budynkach publicznych w celu zapobiegania aktom wandalizmu na mieniu państwowym. Jednak obawiam się, że ta ustawa nie może zostać zastosowana podczas zajęć lekcyjnych. Natomiast podejrzewam, że monitorowanie sali komputerowej po zakończeniu wszystkich zajęć byłoby akceptowalne.

Pytanie 3. Czy organizator konkursu może wysłać zaproszenie do uczestników, którzy brali udział w podobnym, ale ubiegłorocznym konkursie? Na jakiej podstawie może takie czynności wykonać?

Jeżeli zgoda na udział w ubiegłorocznym konkursie została udzielona jednorazowo bez jednoznacznego potwierdzenia danej osoby fizycznej, że zgadza się ona na przechowywanie jej danych na potrzeby kolejnych konkursów – to brak podstaw do dalszego przetwarzania takich danych oraz ich wykorzystania do kolejnego konkursu. Organizator mógłby wysłać takie zaproszenie, gdyby miał zgodę osoby fizycznej na przetwarzanie jej danych po zakończeniu konkursu.

Pytanie 4. W naszej szkole wyciekły dane wszystkich uczniów, co robić?

UODO rekomenduje skontaktowanie się z IOD i wdrożenie stosownych procedur, aby zapobiec kolejnym wyciekom. Rekomenduje również poddać analizie jakie dane wyciekły i zgłosić naruszenie.

Pytanie 5. Jakich platform można używać podczas nauczania zdalnego?

UODO oraz MEN nie rekomendują konkretnego rozwiązania jako platformy do nauki zdalnej, ale zalecają stosowanie jednego środowiska, aby nie przełączać się między różnymi środowiskami. Jako platformę dla materiałów dydaktycznych rekomendują portal epodreczniki.pl.

Pytanie 6. Pytanie ogólne dotyczące problemów w dostępie do sieci Internet.

MEN przekazało informację, że poczyniło rozmowy z operatorami telekomunikacyjnymi o darmowych pakietach danych przy dostępie do takich platform jak epodreczniki.pl.

Pytanie 7. Czy szkoły powinny zawierać umowy powierzenia danych z dostawcami elektronicznych narzędzi.

Jeżeli podmiot zewnętrzny ma przetwarzać powierzone dane osobowe na rzecz administratora (placówki oświatowej), a nie dla własnych celów – to powinna zostać zawarta umowa powierzenia danych. Nie zawsze musi być to dodatkowa umowa w postaci papierowej, gdyż przy dużych dostawcach (np. działających na arenie międzynarodowej) organizacyjnie jest to trudne do przeprowadzenia. Korzystając z usług takich dostawców może wystarczyć zaakceptowanie regulaminu związanego z usługą pod warunkiem, że zawiera on elementy charakterystyczne dla umowy powierzenia danych określone z art. 28 RODO.

Pytanie 8. Kto odpowiada za wyciek danych, jeżeli doszło do niego w wyniku wykorzystania prywatnego komputera nauczyciela?

Odpowiedzialność prawna za prawidłowe przetwarzanie danych osobowych spoczywa na szkole. Nauczyciel jest odpowiedzialny za prawidłowe wykonywanie swoich obowiązków wobec pracodawcy, ale za odpowiednie środki techniczne oraz organizacyjne ochrony danych osobowych odpowiedzialny jest administrator danych.

Pytanie 9. Czy organa ścigania oraz gminne/powiatowe stacje sanitarno-epidemiologiczne należy traktować jako odbiorców danych osobowych?

Nie i dlatego szkoła nie musi informować na początku szkolnego, że będzie takim podmiotom przekazywać dane osobowe, gdyż trudno takie sytuacje przewidzieć i zaplanować.

Pytanie 10. Czy pomiędzy instytucjami musi być spełniony obowiązek informacyjny?

Jeżeli przekazanie danych dotyczy konkretnego postępowania np. działań sanepidu czy stacji sanitarno-epidemiologicznej, to wypełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą nie występuje. Podobnie należy podejść do sytuacji, w których dane są przekazywane na wniosek innych podmiotów na podstawie odrębnych przepisów prawa.

Pytanie 11. Czy klauzule informacyjne powinny być podpisywane przez osoby, których dane dotyczą?

UODO stoi na stanowisku, że nie ma takiej potrzeby, gdyż nie ma żadnego obowiązku prawnego w tej kwestii.

Komentarz IOD: Osobiście jednak uważam, że podpisanie klauzuli informacyjnej znajdującej się na oddzielnej stronie niż podpisywana zgoda na przetwarzanie danych osobowych zabezpiecza administratorów danych osobowych przed zarzutem, że klauzula nie została przedłożona takiej osobie. Można odstąpić w mojej ocenie od podpisywania klauzuli informacyjnej, jeżeli znajduje się ona w tej samej części dokumentu, w której znajduje się udzielenie zgody na przetwarzanie danych.