Szkoły popełniają wiele błędów związanych z ochroną danych osobowych 

Jakich przepisów związanych z ochroną danych osobowych powinni przestrzegać dyrektorzy szkół? ?

Wprawdzie ustawa o ochronie danych osobowych obowiązuje wszystkich administratorów danych, a więc także dyrektorów szkół i przedszkoli, ale w przypadku oświaty szczegółowe zasady dotyczące przetwarzania danych osobowych zawarte są w ustawie o systemie informacji oświatowej. To te przepisy – poza tym, że regulują zasady zbierania i przekazywania danych, w tym niekiedy danych wrażliwych –określają zasady przekazywania przez dyrektorów palcówek oświatowych danych osobowych innym administratorom.

Jakie kary grożą za nieprzestrzeganie przepisów o ochronie danych osobowych?

Generalny Inspektor Ochrony Danych Osobowych nie nakłada kar finansowych. Jest organem administracji publicznej stojącym na straży przysługującego każdemu z nas prawa do ochrony danych osobowych. Na podstawie ustawy o ochronie danych osobowych jest uprawniony m.in. do kontroli tego, czy dane osobowe są przetwarzane (a więc m.in. pozyskiwane, gromadzone i wykorzystywane) zgodnie z prawem, oraz rozpatrywania skarg na przetwarzanie danych osobowych niezgodnie z prawem. W razie stwierdzenia uchybień GIODO ma prawo wydawania decyzji administracyjnych mających na celu przywrócenie stanu zgodnego z prawem. Może nakłada grzywny jedynie w celu przymuszenia do wykonania decyzji, co wynika z przepisów egzekucyjnych w administracji.

A jakie błędy lub uchybienia najczęściej popełniają dyrektorzy szkół?

Wiele błędów wynika ze zwykłej nieostrożności, nieuwagi, a nie ze złej woli. I te można stosunkowo łatwo usunąć. Podstawowa zasada, która powinna obowiązywać wszędzie, a więc także w szkole, to zasada tzw. czystego biurka. Gdy kończy się dzień pracy, na biurku nie powinny zostawać żadne dokumenty zawierające dane osobowe. Zatem gdy dyrektor lub pracownicy wychodzą ze szkoły i zamykają gabinet, sekretariat czy pokój nauczycielski, to na biurku nie powinny zostawać np. kopie świadectw. Należy też pamięta, że program komputerowy używany do przetwarzania danych pracowników szkoły czy danych uczniów, to system teleinformatyczny, co oznacza, że należy zabezpieczyć go przed dostępem osób niepowołanych. Nieszyfrowanie danych w tych komputerach jest niedbałością, a z naszego punktu widzenia to naruszenie ustawy o ochronie danych osobowych. Trzeba mieć świadomość, że w XXI wieku diametralnie zmieniły się zasady przechowywania i przekazywania danych. Ot, choćby sytuacje związane z dziennikiem.

Kiedyś powierzenie dziennika lekcyjnego na kilka minut uczniowi w zasadzie niczym nie groziło, dziś, w ciągu kilku minut, przy pomocy telefonu komórkowego uczeń może go skopiować i np. zamieścić w internecie, przez co zawarte w nim dane mogą być dostępne na całym świecie.

To dotyczy również innych informacji przechowywanych przez szkoły, jak dane o chorobach uczniów czy korzystaniu przez nich z pomocy psychologa lub pedagoga. Dyrektor musi zdawać sobie sprawę ze swojej odpowiedzialności w zakresie zapewnienia bezpieczeństwa i pełnej poufności tego typu informacji.

Inna kwestia to upublicznianie informacji o tym, co się w szkole dzieje. Pamiętajmy, że szkoła nie jest uprawniona np. do tego, by w internecie umieszczać informacje o uczniach.

Czy więc publikowanie przez szkołę zdjęć uczniów i pracowników z różnych imprez, np. zawodów sportowych, zielonych szkół, bez zgody osób na nich zamieszczonych, jest zgodne z prawem?

W każdym przypadku umieszczania zdjęć w internecie sugerowałbym uzyskanie zgody osób na nich widniejących - czy to nauczycieli, czy samych uczniów czy rodziców bądź opiekunów prawnych osób małoletnich. Są przypadki, gdy nawet informacja, o tym, że dane dziecko chodzi do konkretnej szkoły może być dla niego niebezpieczna. Szczególnie, gdy rodzic jest powiedzmy prokuratorem, sędzią, politykiem itp. Nie w każdym przypadku umieszczenie w sieci zdjęcia może prowadzić do naruszenia prawa o ochronie danych osobowych, częściej może stanowić naruszenie dóbr osobistych. Dyrektorzy powinni pamiętać, że muszą dbać zarówno o dobro dziecka, jak i nauczycieli oraz rodziców. Dodam, że rodzice mogą wydać zgodę na upublicznianie zdjęć ucznia na początku roku szkolnego na cały rok. Jednak nawet wtedy zalecałbym dużą ostrożność, bo nam się może wydawać, że zdjęcie jest neutralne, lecz w opinii osoby na nim widniejącej czasem wcale tak nie jest. Myślę tu bardziej o nauczycielach. Mieliśmy taką sprawę, choć dotyczącą akurat pracownika korporacji, który został sfotografowany na firmowej imprezie przy stole w towarzystwie kolegów z pracy przy kuflu piwa. Pracownik ów był członkiem wspólnoty religijnej, w której obowiązuje zakaz picia alkoholu. Takie zdjęcie w internecie naraziło go na ogromne problemy, choć on sam piwa nie pił.

Dotyczy to też filmów…

Dlatego zawsze trzeba o robieniu zdjęcia czy filmiku uprzedzić i uzyskać na to zgodę. Na szkolnych zawodach sportowych można uwiecznić świetnie skaczącego do wody Jasia i fatalnie pływającego Maćka. Taki film z internetu nigdy już nie zniknie. Dla Jasia może to i dobrze, dla Maćka nie. Tego typu informacje są oczywiście dostępne dla uczestników i obserwatorów zawodów, ale w momencie, gdy wrzucamy je do Internetu, to udostępniamy je całemu światu i to na zawsze. Młodzi ludzie, ale także pracownicy szkoły, często nie zdają sobie z tego sprawy. Rolą nauczycieli i dyrektorów szkół jest uświadamianie dzieciom, że informacja jest też dobrem osobistym. Temu celowi służy również nasz program edukacyjny prowadzony w szkołach „Twoje dane – Twoja sprawa”.

A jakie błędy popełniają pracownicy szkół w związku z dziennikami?

W instytucjach oświatowych mamy często problem z dziennikami elektronicznymi. Za ich bezpieczeństwo w pełni odpowiada dyrektor szkoły. Są przynajmniej trzy rozwiązania w tej kwestii. Szkoła może sama stworzyć lub kupić odpowiedni program, zainstalować go w komputerach i wówczas dyrektor szkoły, czyli administrator danych, sprawuje nad nim kontrolę, sam lub przez wybranego nauczyciela. Drugie, częściej obecnie stosowane rozwiązanie, to kupowanie całej usługi informatycznej związanej z prowadzeniem e-dziennika na zewnątrz. W tym modelu dane nie są przechowywane w szkole, lecz w owej firmie. Ale dyrektor musi zdawać sobie sprawę z tego, że nadal jest odpowiedzialny za ochronę danych. Musi więc zawrzeć precyzyjną umowę z usługodawcą, zabezpieczającą dane uczniów przed kopiowaniem, udostępnianiem osobom nieuprawnionym, łączeniem ich z innymi danymi firmy. I trzecie rozwiązanie, coraz częstsze, ale u nas wywołuje spore wątpliwości, to wykupywanie miejsc na platformach miejskich, w działach oświatowych. Tak jest w Warszawie, Gdańsku i innych miastach. Nie we wszystkich jednak poprawnie rozwiązuje się kwestię odpowiedzialności za zasób informacji szkolnych, a przecież wciąż odpowiedzialność za niego ponosi dyrektor szkoły. Dyrektor nie ma prawa udostępniać posiadanych danych osobom nieuprawnionym, także władzom miasta, więc sprawa jest delikatna.

Na jakich zasadach można udostępniać listy rekrutacyjne do szkół?

Jestem bardzo ostrożny w kwestii umieszczania takich informacji w otwartej przestrzeni publicznej. Zalecałbym wstrzemięźliwość w upublicznianiu list rekrutacyjnych, gdy prawo tego nie nakazuje. W takich przypadkach, moim zdaniem, należy dać dostęp do takiej wiedzy tylko tym osobom, które są bezpośrednio związane z rekrutacją.

Czy w 2014 roku planowane są zmiany w zakresie ochrony danych w szkołach?

W ogólnych przepisach o ochronie danych osobowych nie przewidujemy na razie żadnych rewolucyjnych zmian, ponieważ czekamy na rozporządzenie unijne, które z pewnością wprowadzi bardzo istotne zmiany. Do tego czasu nie będziemy wprowadzać półśrodków. Są propozycje pewnych modyfikacji, ale nie będą one miały wpływu na to, co się dzieje w oświacie. Mogą natomiast zajść zmiany w przepisach szczególnych, regulujących funkcjonowanie sektora oświatowego, takich jak ustawa o systemie informacji oświatowej czy ustawa o systemie oświaty.

1 września do szkół pójdą kolejne sześciolatki. Czy w związku z tym szkoły powinny na coś szczególnie zwrócić uwagę w zakresie ochrony danych?

Dotychczasowe doświadczenia wskazują, że bez względu na to, czy naukę zaczynają sześcio- czy siedmiolatki, w szkołach niewiele się zmienia w zakresie przetwarzania danych osobowych. , W niektórych przypadkach zmiana jest taka, że administratorem danych przestaje być dyrektor przedszkola, a zostaje dyrektor szkoły. Tam, gdzie przedszkola są połączone ze szkołami, nie ma nawet takiej zmiany. Trzeba jednak uwzględnić to, że nie ma podstaw prawnych dla przekazania danych osobowych ucznia zerówki z przedszkola niepołączonego ze szkołą do szkoły. Najwięcej problemów pojawiało się w przypadku rekrutacji dzieci do przedszkoli, co jest związane z deficytem miejsc w tych placówkach. Do niedawna gmina ustalała swoje kryteria rekrutacji, często oparte na danych wrażliwych, a przedszkola pozyskiwały i gromadziły np. PIT-y. A do tego typu działania nie mają żadnych podstaw prawnych! Teraz, na skutek m.in. interwencji GIODO i Rzecznika Praw Obywatelskich, przepisy zostały poprawione, a najbliższa rekrutacja do przedszkoli odbędzie się już z uwzględnieniem nowych zasad.