Nauczanie zdalne a ochrona danych osobowych w pytaniach i odpowiedziach

Nauka zdalna to nowe wyzwania dla nauczycieli i dyrektorów związane z ochroną danych osobowych, tym większe, że w czasie jego trwania placówki nie tylko będą musiały realizować podstawę programową, ale również inne zadania, choćby związane z rekrutacją. Na stronie Urzędu Ochrony Danych Osobowych (uodo.gov.pl) opublikowano zalecenia dotyczące bezpieczeństwa danych osobowych podczas zdalnego nauczania – „Poradnik UODO dla szkół”. Warto się z nim zapoznać. A w artykule nasi eksperci odpowiadają na najważniejsze pytania, jakie pojawiły się w związku z ochroną danych podczas organizacji zdalnej pracy przez placówki oświatowe.

Prowadzenie nauczania za pomocą środków komunikacji na odległość wymagane jest przez przepisy rozporządzenia MEN z dnia 20 marca 2020 r. w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19. Zauważyć należy, że zgodnie z art. 30a ust. 2 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe nauczyciele są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów. Oznacza to konieczność szczególnego zadbania o bezpieczeństwo danych, np. przesyłanych w czasie zdalnego posiedzenia rady pedagogicznej.

Czy konieczne jest dodatkowe szkolenie dla nauczycieli z ochrony danych osobowych w związku ze zleceniem pracy zdalnej?

Wykonywanie pracy w formie zdalnej nie zwalnia ze stosowania i przestrzegania obowiązujących wewnątrzzakładowych przepisów ochrony danych osobowych. Nie powoduje również konieczności przeprowadzenia dodatkowego szkolenia z zakresu ochrony danych osobowych. Jednak inspektor danych osobowych w danej jednostce oświatowej powinien przesłać do wszystkich nauczycieli krótką instrukcję, przypomnienie zasad ochrony danych osobowych, uwzględniając nową rzeczywistość świadczenia pracy przez nauczycieli.

Na dyrektorze ciąży obowiązek poinformowania nauczycieli, uczniów i ich rodziców o formie prowadzenia nauczania zdalnego, w tym także wskazania programu używanego do prowadzenia lekcji online. Dyrektor winien skonsultować wybór programu z inspektorem danych osobowych, który określi ryzyko pracy. Należy mieć tę procedurę na względzie, gdyż ostatnie dni przyniosły niespodziankę. Z popularnego programu do komunikacji na odległość – Zoom – wykradziono dane jego użytkowników. Dopuszcza się możliwość pseudonimizacji uczestników lekcji online celem zwiększenia ochrony danych osobowych i zabezpieczenia ich przed nieuprawnionym dostępem osób trzecich.

Trzeba też pamiętać, że nauczyciel przetwarza dane osobowe uczniów i ich rodziców w celu służbowym nie tylko online, ale również w formie dokumentowej. Tym samym należy pamiętać, że w dalszym ciągu obowiązuje zasada tzw. czystego biurka. Nauczyciel nie powinien podczas pracy zdalnej z domu pozostawiać w sposób ogólnodostępny dokumentów, które zawierają dane osobowe uczniów i ich rodziców.

Pojawia się pytanie, czy dyrektor placówki może przetwarzać dane o kwarantannie, chorobie dzieci w trakcie zawieszenia działalności placówki oświatowej i realizacji zadań w formie online? Czy może za pośrednictwem drogi e-mailowej żądać od rodziców podania informacji o tym, czy rodzina przebywa lub przebywała na kwarantannie oraz czy ktoś z rodziny lub dziecko choruje na COVID-19? Zdecydowanie nie. Należy zwrócić uwagę, że dyrektor nie ma żadnego celu w tym, aby przetwarzać dane szczególnych kategorii, jakimi są dane zdrowotne, nie ma ku temu także podstaw prawnych. Dzieci realizują podstawy programowe w formie zdalnej, a więc nie ma żadnego ryzyka związanego z kontaktami międzyludzkimi w placówce.

Czy szkoła może żądać danych rodzica na potrzeby prowadzenia zdalnego nauczania?

Zgodnie z zaleceniami UODO szkoła może wymagać od ucznia lub reprezentującego go rodzica (opiekuna prawnego) podania danych do założenia konta w systemie zdalnego nauczania, ale tylko w zakresie niezbędnym do tego, aby to konto założyć. Nie należy przy takiej okazji gromadzić danych nadmiarowych bądź służących do realizacji innych celów. Jeżeli więc korzystamy z zupełnie nowej platformy zdalnej komunikacji i dane rodziców są niezbędne, aby platformę tę uruchomić, to należy szczególną uwagę zwrócić na to, aby pobrać minimalną, wystarczającą do uruchomienia ilość danych. Nie wymagamy zatem drugiego imienia, jeżeli nie jest to potrzebne do rozpoczęcia pracy, ani numeru NIP „na wszelki wypadek”, bo żądanie takich danych nie ma uzasadnienia.

Czy korzystać z szyfrowania przesyłanych rodzicom wiadomości i wymagać szyfrowania wiadomości odbieranych od rodziców?

Jak wskazuje Urząd Ochrony Danych Osobowych: „jednym z głównych obowiązków szkoły – związanych z ochroną danych osobowych – jest zabezpieczenie danych przez zastosowanie odpowiednich środków technicznych i organizacyjnych. Chodzi o to, aby dane te nie były udostępniane osobom nieupoważnionym oraz nie uległy zniszczeniu, zmodyfikowaniu lub utracie. Przykładowe środki służące zabezpieczeniu danych to: pseudonimizacja, szyfrowanie danych (…). W razie wykonywania obowiązków służbowych przez nauczycieli poza szkołą jej dyrektor w każdym wypadku musi rozważyć możliwości odpowiedniego zabezpieczenia danych osobowych, uwzględniając stopień ryzyka naruszenia ochrony danych osobowych i ewentualnie wdrożyć odpowiednie środki minimalizujące to ryzyko lub zrezygnować z tego rodzaju praktyki, np. umożliwiając nauczycielowi, który nie ma właściwych warunków do pracy zdalnej, korzystanie ze sprzętu znajdującego się w szkole”.

Oczywiście nie każda informacja, która jest przesyłana do ucznia, musi podlegać obowiązkowemu szyfrowaniu. Wiele zależy tu od metody przesyłania danych. Jeżeli uczeń i nauczyciel korzystają z dziennika elektronicznego, wówczas trzeba pamiętać o tym, że już sam dostęp do tej platformy podlega dodatkowym ograniczeniom w postaci konieczności podania danych podczas logowania. W takim wypadku dodatkowe szyfrowanie może być traktowane jako dodatkowe zabezpieczenie, ale nie jest ono wymagane. Pamiętać należy, że materiały edukacyjne czy zadane przez nauczyciela prace domowe nie zawsze będą zawierać dane osobowe, które należałoby dodatkowo zabezpieczać.

Czy można wykorzystywać inne sprzęty w trakcie zdalnej nauki?

Nic nie stoi na przeszkodzie, aby w trakcie nauki za pośrednictwem innych kanałów komunikacji nauczyciele posług...

Artykuł jest dostępny dla zalogowanych użytkowników w ramach Otwartego Dostępu.

Jak uzyskać dostęp? Wystarczy, że założysz konto lub zalogujesz się.
Czeka na Ciebie pakiet inspirujących materiałów.
Załóż konto Zaloguj się