Poradnik 18.09.2018 9 min. czytania Tekst Image Tytuł Szkoła ma prawo przetwarzać te dane, których potrzebuje Informacja o przetwarzanych danych powinna być przyjazna, nie przymusowa Zgoda na przetwarzanie danych powinna być wyjątkiem, nie regułą Dane poza budynkiem szkoły też mogą być bezpieczne Monitoring tak, ale tylko jeśli szkoła potrafi obronić jego celowość Do kogo można zwrócić się o pomoc? Tytuł Szkoła ma prawo przetwarzać te dane, których potrzebuje Informacja o przetwarzanych danych powinna być przyjazna, nie przymusowa Zgoda na przetwarzanie danych powinna być wyjątkiem, nie regułą Dane poza budynkiem szkoły też mogą być bezpieczne Monitoring tak, ale tylko jeśli szkoła potrafi obronić jego celowość Do kogo można zwrócić się o pomoc? 1 września w szkołach wybuchła RODO-panika. Nagle okazało się, że „nie wolno zawołać ucznia po nazwisku, bo RODO!”. Co takiego się stało? Czyżby po 20 latach obowiązywania tych samych zasad szkoły nagle odkryły ochronę danych osobowych? Raczej nie, ale zamiast dostosować istniejące procedury do nowych przepisów, zgodnie z własną misją i wartościami, dyrektorzy na wszelki wypadek wprowadzają rozwiązania nieraz absurdalne. W tym tekście wyjaśniamy, jak rozwiązać najczęściej pojawiające się konflikty na linii szkoła – dane osobowe. Szkoła ma prawo przetwarzać te dane, których potrzebuje Podobno są szkoły, w których nauczyciele nie czytają już listy obecności uczniów. W innych zabroniono podpisywania szafek, czytania ocen i podpisywania klasówek. Dyrektorzy odkryli, że to oznacza przetwarzanie danych osobowych. To prawda, nazwisko jest daną osobową. To oznacza, że należy mu się ochrona, ale nie bezwarunkowa. Szkoły (podobnie jak przedszkola i wszelkie instytucje publiczne) mają prawo takie dane przetwarzać, żeby realizować swoje ustawowe zadania i normalnie funkcjonować. Więcej: na takie użycie danych nie potrzebują zgody rodziców. Można też legalnie sprawdzać listę obecności. Podobnie jest z organizowaniem konkursów: prawo oświatowe pozwala wyróżniać uczniów za ich osiągnięcia, a więc wyróżnione prace plastyczne mogą wisieć na szkolnych korytarzach z podpisami autorów. Warto się jednak zastanowić, czy podpisywanie prac zawsze stanowi najlepszą opcję: być może twórczość uczniów lepiej rozwijałaby się, gdyby mogli tworzyć pod pseudonimami? Podobny test można zastosować do ocen odczytywanych na głos: czy powinna to być reguła, czy też wyjątek? Kiedy możliwość porównania wyników jest dla uczniów ważna i pomaga im w nauce, a kiedy wręcz przeciwnie? Jeśli sami nie lubimy być oceniani na forum, może dzieciom też warto dać taki komfort? RODO nie zawiera sztywnych zakazów i nakazów, natomiast zmusza do myślenia i pytania o cel. Jeśli zdamy sobie sprawę z tego, że dane osobowe to nie abstrakcyjny ciąg znaków, tylko informacje – niekiedy bardzo wrażliwe – o konkretnej osobie; standardy, jakie narzuca RODO, nabierają sensu. To wyraz pewnych wartości, których poszanowanie dobrze zrobiłoby polskiej szkole. Informacja o przetwarzanych danych powinna być przyjazna, nie przymusowa Docierają do nas sygnały, że rodzice są zasypywani klauzulami informacyjnymi i w dodatku często muszą je podpisywać. RODO tego nie wymaga: informacja o tym, jakie dane są przetwarzane, może być przekazana w dowolny sposób. Szkoły powinny stawiać na skuteczność, a nie urzędowy format. Taka informacja może na przykład wisieć na ścianie albo trafić do rodziców mailem. O ile forma jest dowolna, o tyle treść już nie. RODO wymaga od administratorów przejrzystego i zrozumiałego języka. Reguluje również zakres przekazywanych informacji. Rodzice mają prawo wiedzieć, jak długo dane ich dzieci są przechowywane, do czego będą wykorzystywane, kto ma do nich dostęp, a kto odpowiada za ich bezpieczeństwo (więcej na temat obowiązku informacyjnego wg RODO). Zgoda na przetwarzanie danych powinna być wyjątkiem, nie regułą Na pierwszym zebraniu rodzice otrzymują plik kartek z oświadczeniami. Na pewno znajdzie się tam przynajmniej jedna zgoda na przetwarzanie danych: udział w programie profilaktyki zdrowotnej, wykorzystanie wizerunku dzieci, przekazanie danych ubezpieczycielowi. Zgody są też wymagane od osób, które mają odbierać dzieci z placówek (bo przecież szkoła będzie przetwarzać ich nazwisko i numer telefonu). Analizując napływające do nas przykłady, widzimy, że często szkoły dmuchają na zimne i zbierają zgody, które wcale nie są im potrzebne, bo mogą skorzystać z innej podstawy prawnej (np. powołać się na przepis prawa lub niezbędność do realizacji zadań publicznych). Co gorsza, zdarza im się też zbieranie zgód, które są po prostu nieważne. Ze zgodą nieważną mamy do czynienia za każdym razem, kiedy podpisujący oświadczenie nie miał realnego wyboru (np. rodzice zostali poinformowani, że „muszą się zgodzić”). Najprostszy test na to, czy zbieranie zgody jest potrzebne, to pytanie: „Czy bez tych danych szkoła może działać normalnie?”. Jeśli podanie danych rzeczywiście jest dobrowolne i można się bez nich obejść (uczyć, wychowywać, chronić, leczyć, odbierać ze szkoły dzieci etc.), wtedy zgoda ma sens. W każdej innej sytuacji jest podejrzana (więcej na temat niepotrzebnych i wymuszonych zgód wg RODO). Zgoda na przetwarzanie danych zazwyczaj jest potrzebna, kiedy w grę wchodzi wykorzystanie wizerunku dziecka (choć i tu są wyjątki!). Zasady wykorzystania wizerunku reguluje nie tylko RODO, ale przede wszystkim prawo autorskie. Rodzic, który nie chce, by szkoła promowała się w Internecie zdjęciem jego uśmiechniętego dziecka, może po prostu odmówić wyrażenia zgody na takie działanie. Zgody nie można wymuszać ani uzależniać od niej np. przyjęcia do prywatnego liceum, zgoda może też być w każdej chwili wycofana. Bardziej skomplikowana sytuacja pojawia się, gdy nauczyciel komunikuje się uczniami za pośrednictwem Facebooka i tylko z tego portalu można się dowiedzieć np. o odwołaniu klasówki. Uczeń, który nie korzysta z portalu społecznościowego, jest wtedy zmuszony, by oddać swoje dane Facebookowi. Ani konkretny nauczyciel, ani szkoła nie może od dzieci i rodziców wymagać korzystania z komercyjnego portalu. Dlatego dobrą praktyką jest komunikowanie się z uczniami za pośrednictwem innych kanałów (np. e-maila). Dane poza budynkiem szkoły też mogą być bezpieczne W mediach społecznościowych roi się od anegdot o tym, jak nauczyciele mają teraz zabezpieczać dane osobowe. Pojawiają się absurdalne pomysły, takie jak zakaz przenoszenia dziennika między budynkami szkoły. Internet dobrze się bawi, ale nauczyciele naprawdę zaczynają mieć wątpliwości, czy ich teczka na sprawdziany i dziennik są „zgodne z RODO”. To prawda, na szkole i pracujących w niej nauczycielach spoczywa obowiązek zapewnienia bezpieczeństwa danych. Na szczęście tutaj przepisy RODO są wyjątkowo elastyczne. Nie znajdziemy w nich ani jednego nakazu, do którego bezwzględnie trzeba się stosować. Dane można trzymać w papierze i w wersji elektronicznej, w ruchu i w spoczynku, w teczce i w szafie – tak długo, jak długo są bezpieczne. A konkretnie: dobrze zabezpieczone przed dostępem osób niepowołanych. Dlatego wprowadzenie przez szkołę zasad korzystania z prywatnych komputerów czy wynoszenia prac klasowych ma sens. Ich sprawdzanie w domu można bezpiecznie zorganizować, natomiast w zatłoczonym autobusie – niekoniecznie. RODO nie wymaga procedur „na papierze”: jeśli już powstają, to po to, żeby działać. A więc jeśli szkoła ustala, że nauczyciel nie może korzystać z prywatnego komputera, powinna mu zapewnić służbowy. Jeśli ma nie pracować z domu, musi mieć dobre warunki do pracy w szkole. Jeśli ma szyfrować e-maile, trzeba go z tego przeszkolić i przekazać, które informacje przesyłane w e-mailach wymagają takiego standardu ochrony (bo przecież nie każda!). Monitoring tak, ale tylko jeśli szkoła potrafi obronić jego celowość Mimo że zdaniem Rzecznika Praw Dziecka „nadzór sprawowany za pomocą kamer nie tylko nie sprzyja utożsamianiu się z określonymi wartościami, ale promuje konformizm i oportunizm”, kamery są już zainstalowane w większości polskich szkół. Nie zawsze wiadomo po co. RODO zmusza dyrektorów do odpowiedzenia sobie na to pytanie. Zgodnie z obowiązującymi przepisami kamery w szkołach mogą być instalowane tylko w celu zapewnienia bezpieczeństwa uczniów i pracowników oraz w celu ochrony mienia. Prezes Urzędu Ochrony Danych Osobowych podkreśla, że monitoring powinien być instalowany tylko tam, gdzie naprawdę ma sens. Przed instalacją kamer (a w przypadku już funkcjonujących – możliwie szybko po wejściu w życie RODO) dyrektor powinien skonsultować tę decyzję z radą pedagogiczną, radą rodziców i samorządem uczniowskim. Jest też kilka twardych zakazów, których szkoła musi przestrzegać: monitoring nie może rejestrować dźwięku ani też być wykorzystywany jako narzędzie nadzoru nad pracownikami. Co do zasady kamery nie powinny obejmować sal lekcyjnych, gabinetów psychologicznych, szatni i przebieralni czy stołówki, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne i – jak mówią przepisy – nie naruszy godności ani innych dóbr osobistych uczniów (w szczególności jeśli zostaną zastosowane techniki uniemożliwiające rozpoznanie przebywających w pomieszczeniach osób). Do kogo można zwrócić się o pomoc? Po majowym wybuchu panika już nieco wyhamowała. Ale – co widać na analizowanych przez nas przykładach – nie wszystkie wątpliwości zostały wyjaśnione. Gdzie szukać pomocy? Każda szkoła ma obowiązek wyznaczenia inspektora ochrony danych (IOD). Jego dane kontaktowe są przekazywane wraz ze standardową informacją o przetwarzaniu danych. W praktyce to on przygotowuje te wszystkie klauzule, oświadczenia i polityki prywatności oraz odpowiada za bezpieczeństwo danych. Inspektor jest też osobą kontaktową, do której można się zwrócić z prośbą o wyjaśnienia, a nawet skargą na naruszenie praw dziecka, zanim zdecydujemy się na dalsze kroki prawne. Polecamy Urząd Ochrony Danych Osobowych: Ochrona danych osobowych w szkołach i placówkach oświatowych - poradnik Panoptykon: RODO: w poszukiwaniu szansy edukacyjnej Wojciech Klicki Autor Katarzyna Szymielewicz Autorka Linki i dokumenty RODO: w poszukiwaniu szansy edukacyjnej. Poradnik dla nauczycieli i nie tylko2.42 MBpdf Temat dzieci i młodzież szkoły i przedszkola reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Poradnik E-mail informujący o zmianach w polityce prywatności Na czym polega ta praktyka? Widocznym znakiem tego, że RODO zaczęło być stosowane, szybko stały się maile informujące nas o zmianie zasad przetwarzania danych. To rodzaj zaproszenia do rozmowy, z którego możemy – ale nie musimy! – korzystać. 07.06.2018 Tekst Poradnik Od klauzuli w CV do rozmowy z algorytmem, czyli RODO w rekrutacji Pracodawca często wychodzi z założenia, że im więcej wie o osobie aplikującej do pracy, tym lepiej. Nic w tym dziwnego – w końcu chce jak najlepiej ocenić, czy to właśnie Ty jesteś osobą, której szuka. Czasem jednak informacje, o które prosi, głęboko wkraczają w prywatność i intymność. Gdzie… 25.04.2019 Tekst Artykuł Gigantyczna kara dla WhatsAppa za naruszenie ochrony danych 225 milionów euro kary ma zapłacić spółka WhatsApp za to, że niewystarczająco poinformowała swoich użytkowników i użytkowniczki o tym, w jaki sposób dzieli się ich danymi z Facebookiem i innymi usługami należącymi do rodziny kalifornijskiego giganta. Decyzja podkreśla wagę przejrzystego… 03.09.2021 Tekst