GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
29 kwietnia 2020

Dane osobowe bezpieczne podczas zdalnego nauczania

Autor: r.pr. Katarzyna Kulig
Udostępnij publikację:
Dane osobowe bezpieczne podczas zdalnego nauczania

W związku z dalszym zamknięciem szkół do 24 maja i kontynuowaniem zdalnej nauki przybliżamy Państwu treść komunikatu Prezesa Urzędu Ochrony Danych Osobowych z dnia 31 marca 2020 r.

W komunikacie tym, Prezes UODO wskazał, że RODO nie stoi na przeszkodzie zdalnej edukacji w czasie pandemii koronawirusa, jednakże korzystając z takich narzędzi należy szczególnie dbać o prawa osób, których dane będą przetwarzane oraz o samo bezpieczeństwo tych danych” [1].

Organ nadzorczy wychodząc naprzeciw aktualnym potrzebom w sektorze szkolnictwa przygotował poradnik, który zawiera podstawowe wskazówki, jak korzystając z metod nauczania online, dbać o bezpieczne przetwarzanie danych osobowych.

20 zasad bezpieczeństwa

W poradniku przedstawiono 20 zasad bezpieczeństwa, które stosować powinni zarówno szkolni administratorzy, nauczyciele oraz sami uczniowie aby chronić swoje dane w trakcie lekcji online. Do zasad tych należą:

  • Bieżąca aktualizacja systemów operacyjnych;
  • Systematyczne aktualizowanie programów antywirusowych, antymalware i antyspyware;
  • Regularnie skanowanie stacji roboczych programami antywirusowymi, antymalware
    i antyspyware;
  • Pobieranie oprogramowania wyłącznie ze stron producentów;
  • Nieotwieranie załączników z nieznanych źródeł dostarczanych poprzez korespondencję elektroniczną;
  • Niezapamiętywanie haseł w aplikacjach webowych;
  • Niezapisywanie haseł na kartkach;
  • Nieużywanie tych samych haseł w różnych systemach informatycznych;
  • Zabezpieczanie serwerów plików oraz innych zasobów sieciowych;
  • Zabezpieczanie sieci bezprzewodowej – Access Point;
  • Dostosowanie złożoności haseł odpowiednio do zagrożeń;
  • Unikanie wchodzenia na nieznane, czy przypadkowe strony internetowe;
  • Nielogowanie się do systemów informatycznych w przypadkowych miejscach z niezaufanych urządzeń lub publicznych niezabezpieczonych sieci Wi-Fi;
  • Wykonywanie regularne kopii zapasowych;
  • Korzystanie ze sprawdzonego oprogramowania do szyfrowania e-maili lub nośników danych;
  • Szyfrowanie danych przesyłanych pocztą elektroniczną;
  • Szyfrowanie dysków twardych w komputerach przenośnych;
  • Przy pracy zdalnej korzystanie z szyfrowanego połączenia VPN;
  • Blokowanie stacji komputera przy każdorazowym odejściu od komputera;
  • Nieumieszczanie w komputerze przypadkowo znalezionych nośników USB, na którym może znajdować się złośliwe oprogramowanie.

Prawa i obowiązki

W poradniku Prezes Urzędu Ochrony Danych skierował również  konkretne wytyczne dla dyrektorów szkół, nauczycieli oraz rodziców uczniów.

Obowiązki Dyrektora Szkoły:

  • dostarczenie narzędzi umożliwiających nauczycielom prowadzenie zajęć zdalnych; w tym
    w sytuacji wykorzystania nowych narzędzi, dokonanie analizy zagrożeń (analizy ryzyka) z inspektorem ochrony danych wyznaczonym w placówce;
  • poinformowanie nauczycieli, rodziców o sposobie realizacji nauki zdalnej, w tym wskazanie jak będą przetwarzane dane osobowe przy używanych nowych narzędziach;
  • pobranie danych uczniów, wyłącznie w zakresie niezbędnym do założenia konta w systemie zdalnego nauczania;
  • stosowanie odpowiednich środków technicznych i organizacyjnych takich jak szyfrowanie danych oraz pseudonimizacja; w tym przykładowo umożliwienie nauczycielowi, który nie ma właściwych warunków do pracy zdalnej, korzystanie ze sprzętu znajdującego się w szkole;
  • stosowanie w komunikacji z uczniami i ich rodzicami służbowego adresu e-mail przez nauczycieli w tym odpowiednie zabezpieczenie danych osobowych udostępnionych w przesłanych wiadomościach (np. poprzez hasłowanie dokumentów) – w tym zakresie wydaje się jednak, że obowiązek jaki w istocie leży po stronie szkoły to zapewnienie takich służbowych adresów e-mail nauczycielom).

Obowiązki Nauczyciela:

  • nie jest wykluczone stosowanie w pracy zdalnej urządzeń prywatnych przez nauczycieli, jednakże sprzęt taki musi być odpowiednio zabezpieczony (aktualny system operacyjny, programy antywirusowe, zaktualizowane programy antymaleware i antyspyware);
  • stosowanie mocnych haseł dostępowych, blokowanie urządzenia przed odejściem od stanowiska pracy;
  • w przypadku przechowywania jakichkolwiek danych na urządzeniach przenośnych (np. pamięć USB) muszą być one bezwzględnie szyfrowane i chronione hasłem;
  • przy każdorazowej wysyłce wiadomości mailowej zawierającej dane osobowe konieczne jest upewnienie się, że dane adresata wiadomości zostały wpisane poprawnie;
  • podczas wysyłania korespondencji zbiorczej należy korzystać z opcji „UDW”, dzięki której odbiorcy wiadomości nie będą widzieć wzajemnie swoich adresów e-mail;
  • stosowanie się do polityk i instrukcji przyjętych w szkole, dotyczących ochrony danych osobowych;
  • korzystanie z narzędzi do pracy zdalnej udostępnionych i zweryfikowanych przez szkołę (lub co najmniej uzgodnionych z dyrektorem szkoły, w sytuacji gdy globalne rozwiązania techniczne nie zostały jeszcze przez szkołę podjęte);
  • niestosowanie w celu sprawdzania i monitorowania obecności uczniów narzędzi zbierających dane biometryczne (np. odcisk palca czy skan siatkówki), w tym wykorzystujących systemy wykrycia twarzy (w tym zakresie wydaje się jednak, że obowiązek ten powinna przede wszystkim zabezpieczyć szkoła aby nie stosować tak daleko ingerujących w prywatność narzędzi do zwykłego sprawdzenia obecności uczniów na lekcji zdalnej).

Prawa Rodzica:

  • do uzyskania transparentnej informacji od szkoły (lub ewentualnych innych administratorów danych np. właścicieli platform wykorzystywanych do zdalnego nauczania) o sposobie przetwarzania danych osobowych ich dzieci.

Podsumowanie

Poradnik przygotowany przez Prezesa Urzędu Ochrony Danych Osobowych zawiera szereg rozwiązań technicznych i organizacyjnych, którego celem jest zapewnienie możliwie jak najbezpieczniejszych warunków nauczania zdalnego. Jego odbiorcami są zarówno dyrektorzy, będący administratorami danych osobowych, jak i nauczyciele oraz uczniowie i rodzice/opiekunowie prawni. Przedstawione propozycje mają charakter ogólny i mogą niekiedy być problematyczne w implementacji. Przykładowo, część obowiązków adresowana do nauczycieli powinna w naszej ocenie zostać oddelegowana dyrektorom oraz wewnętrznym działom IT.

[1] https://uodo.gov.pl/pl/138/1473 – komunikat opublikowany na stronie internetowej Urzędu Ochrony Danych Osobowych w dniu 31.03.2020 r.

Polecamy także:

Wyciek danych z Cyfrowe.pl

Dane osobowe bezpieczne podczas zdalnego nauczania

Przeprowadzenie kontroli w okresie pandemii oraz kwestia taryfikacji kar stanowiska organów europejskich

Ochrona dobra dzieci wyłącza bezprawność nagrań bez zgody

Naruszenie prywatności ucznia przez nauczyciela w Austrii

 

Pozostałe artykuły

Kara za brak skutecznego wyznaczenia IOD
Kara za brak skutecznego wyznaczenia…
20 listopada 2024
Odwołanie zgody musi być równie łatwe, jak jej udzielenie – wyrok NSA!
Odwołanie zgody musi być równie…
18 listopada 2024
Ewentualne przyszłe roszczenia mogą uzasadniać przechowywanie danych
Ewentualne przyszłe roszczenia mogą uzasadniać…
13 listopada 2024
Jak szczegółowo należy kontrolować dalsze podmioty przetwarzające? 
Jak szczegółowo należy kontrolować dalsze…
6 listopada 2024
Jak przetwarzać dane na podstawie prawnie uzasadnionego interesu?
Jak przetwarzać dane na podstawie…
4 listopada 2024
Ważne wnioski po seminarium UODO i ZUS
Ważne wnioski po seminarium UODO…
30 października 2024
Numer telefonu prezesa zarządu spółki nie podlega ochronie przewidzianej w RODO
Numer telefonu prezesa zarządu spółki…
28 października 2024
Problemy z danymi osobowymi przy Lex Kamilek
Problemy z danymi osobowymi przy…
23 października 2024
Surowe kary za liczne naruszenia firm świadczących usługi jasnowidztwa
Surowe kary za liczne naruszenia…
21 października 2024
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies