GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Dane osobowe bezpieczne podczas zdalnego nauczania

Dane osobowe bezpieczne podczas zdalnego nauczania

W związku z dalszym zamknięciem szkół do 24 maja i kontynuowaniem zdalnej nauki przybliżamy Państwu treść komunikatu Prezesa Urzędu Ochrony Danych Osobowych z dnia 31 marca 2020 r.

W komunikacie tym, Prezes UODO wskazał, że RODO nie stoi na przeszkodzie zdalnej edukacji w czasie pandemii koronawirusa, jednakże korzystając z takich narzędzi należy szczególnie dbać o prawa osób, których dane będą przetwarzane oraz o samo bezpieczeństwo tych danych” [1].

Organ nadzorczy wychodząc naprzeciw aktualnym potrzebom w sektorze szkolnictwa przygotował poradnik, który zawiera podstawowe wskazówki, jak korzystając z metod nauczania online, dbać o bezpieczne przetwarzanie danych osobowych.

20 zasad bezpieczeństwa

W poradniku przedstawiono 20 zasad bezpieczeństwa, które stosować powinni zarówno szkolni administratorzy, nauczyciele oraz sami uczniowie aby chronić swoje dane w trakcie lekcji online. Do zasad tych należą:

  • Bieżąca aktualizacja systemów operacyjnych;
  • Systematyczne aktualizowanie programów antywirusowych, antymalware i antyspyware;
  • Regularnie skanowanie stacji roboczych programami antywirusowymi, antymalware
    i antyspyware;
  • Pobieranie oprogramowania wyłącznie ze stron producentów;
  • Nieotwieranie załączników z nieznanych źródeł dostarczanych poprzez korespondencję elektroniczną;
  • Niezapamiętywanie haseł w aplikacjach webowych;
  • Niezapisywanie haseł na kartkach;
  • Nieużywanie tych samych haseł w różnych systemach informatycznych;
  • Zabezpieczanie serwerów plików oraz innych zasobów sieciowych;
  • Zabezpieczanie sieci bezprzewodowej – Access Point;
  • Dostosowanie złożoności haseł odpowiednio do zagrożeń;
  • Unikanie wchodzenia na nieznane, czy przypadkowe strony internetowe;
  • Nielogowanie się do systemów informatycznych w przypadkowych miejscach z niezaufanych urządzeń lub publicznych niezabezpieczonych sieci Wi-Fi;
  • Wykonywanie regularne kopii zapasowych;
  • Korzystanie ze sprawdzonego oprogramowania do szyfrowania e-maili lub nośników danych;
  • Szyfrowanie danych przesyłanych pocztą elektroniczną;
  • Szyfrowanie dysków twardych w komputerach przenośnych;
  • Przy pracy zdalnej korzystanie z szyfrowanego połączenia VPN;
  • Blokowanie stacji komputera przy każdorazowym odejściu od komputera;
  • Nieumieszczanie w komputerze przypadkowo znalezionych nośników USB, na którym może znajdować się złośliwe oprogramowanie.

Prawa i obowiązki

W poradniku Prezes Urzędu Ochrony Danych skierował również  konkretne wytyczne dla dyrektorów szkół, nauczycieli oraz rodziców uczniów.

Obowiązki Dyrektora Szkoły:

  • dostarczenie narzędzi umożliwiających nauczycielom prowadzenie zajęć zdalnych; w tym
    w sytuacji wykorzystania nowych narzędzi, dokonanie analizy zagrożeń (analizy ryzyka) z inspektorem ochrony danych wyznaczonym w placówce;
  • poinformowanie nauczycieli, rodziców o sposobie realizacji nauki zdalnej, w tym wskazanie jak będą przetwarzane dane osobowe przy używanych nowych narzędziach;
  • pobranie danych uczniów, wyłącznie w zakresie niezbędnym do założenia konta w systemie zdalnego nauczania;
  • stosowanie odpowiednich środków technicznych i organizacyjnych takich jak szyfrowanie danych oraz pseudonimizacja; w tym przykładowo umożliwienie nauczycielowi, który nie ma właściwych warunków do pracy zdalnej, korzystanie ze sprzętu znajdującego się w szkole;
  • stosowanie w komunikacji z uczniami i ich rodzicami służbowego adresu e-mail przez nauczycieli w tym odpowiednie zabezpieczenie danych osobowych udostępnionych w przesłanych wiadomościach (np. poprzez hasłowanie dokumentów) – w tym zakresie wydaje się jednak, że obowiązek jaki w istocie leży po stronie szkoły to zapewnienie takich służbowych adresów e-mail nauczycielom).

Obowiązki Nauczyciela:

  • nie jest wykluczone stosowanie w pracy zdalnej urządzeń prywatnych przez nauczycieli, jednakże sprzęt taki musi być odpowiednio zabezpieczony (aktualny system operacyjny, programy antywirusowe, zaktualizowane programy antymaleware i antyspyware);
  • stosowanie mocnych haseł dostępowych, blokowanie urządzenia przed odejściem od stanowiska pracy;
  • w przypadku przechowywania jakichkolwiek danych na urządzeniach przenośnych (np. pamięć USB) muszą być one bezwzględnie szyfrowane i chronione hasłem;
  • przy każdorazowej wysyłce wiadomości mailowej zawierającej dane osobowe konieczne jest upewnienie się, że dane adresata wiadomości zostały wpisane poprawnie;
  • podczas wysyłania korespondencji zbiorczej należy korzystać z opcji „UDW”, dzięki której odbiorcy wiadomości nie będą widzieć wzajemnie swoich adresów e-mail;
  • stosowanie się do polityk i instrukcji przyjętych w szkole, dotyczących ochrony danych osobowych;
  • korzystanie z narzędzi do pracy zdalnej udostępnionych i zweryfikowanych przez szkołę (lub co najmniej uzgodnionych z dyrektorem szkoły, w sytuacji gdy globalne rozwiązania techniczne nie zostały jeszcze przez szkołę podjęte);
  • niestosowanie w celu sprawdzania i monitorowania obecności uczniów narzędzi zbierających dane biometryczne (np. odcisk palca czy skan siatkówki), w tym wykorzystujących systemy wykrycia twarzy (w tym zakresie wydaje się jednak, że obowiązek ten powinna przede wszystkim zabezpieczyć szkoła aby nie stosować tak daleko ingerujących w prywatność narzędzi do zwykłego sprawdzenia obecności uczniów na lekcji zdalnej).

Prawa Rodzica:

  • do uzyskania transparentnej informacji od szkoły (lub ewentualnych innych administratorów danych np. właścicieli platform wykorzystywanych do zdalnego nauczania) o sposobie przetwarzania danych osobowych ich dzieci.

Podsumowanie

Poradnik przygotowany przez Prezesa Urzędu Ochrony Danych Osobowych zawiera szereg rozwiązań technicznych i organizacyjnych, którego celem jest zapewnienie możliwie jak najbezpieczniejszych warunków nauczania zdalnego. Jego odbiorcami są zarówno dyrektorzy, będący administratorami danych osobowych, jak i nauczyciele oraz uczniowie i rodzice/opiekunowie prawni. Przedstawione propozycje mają charakter ogólny i mogą niekiedy być problematyczne w implementacji. Przykładowo, część obowiązków adresowana do nauczycieli powinna w naszej ocenie zostać oddelegowana dyrektorom oraz wewnętrznym działom IT.

[1] https://uodo.gov.pl/pl/138/1473 – komunikat opublikowany na stronie internetowej Urzędu Ochrony Danych Osobowych w dniu 31.03.2020 r.

Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter