Przed nami wyjątkowy rok szkolny, bo pierwszy od czasu wejścia w życie przepisów "Ogólnego rozporządzenia o ochronie danych" (RODO). Czy szkoły są przygotowane na nowe prawo? Jakie wyzwania stoją przed dyrekcjami placówek i czy rzeczywiście aż tak dużo się zmieni?

"Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE", bo tak brzmi pełna nazwa słynnego już RODO, jest unijnym aktem prawem, którego głównym celem jest doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych. Zgodnie z kluczowymi założeniami, RODO "ma pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych oraz stanowić modernizację i ujednolicenie przepisów umożliwiających firmom ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów"^[1]. Pomimo, jak mogłoby się wydawać, klarownych celów przyświecających Rozporządzeniu, wielu krajowych przedsiębiorców ze strachem wyczekiwało na 25 maja 2018 r. - to właśnie wtedy weszły w życie przepisy, uchwalonej dwa lata wcześniej nowelizacji. Wiele firm nie podołało jednak przygotowaniom i w nową erę ochrony danych weszło bez przeprowadzania odpowiednich procesów. A zmieniło się sporo, co najbardziej odczuli przedsiębiorcy świadczący swoje usługi w internecie - nowy obowiązek informacyjny, nowe zasady zbierania zgód na przetwarzanie danych i prowadzenie mailingu (wysyłanie maili z ofertami handlowymi), czy w końcu kompletne przeformułowanie reguł dotyczących przechowywania danych klientów poszczególnych firm. Pozostaje zatem postawić pytanie - w jakim stopniu przepisy RODO, wpłynęły na funkcjonowanie placówek oświaty, które znakomitą większość swojej działalności, prowadzą przecież w analogowym świecie?

RODO w szkołach

Na wstępie należy podkreślić, iż bez wątpienia, różnej maści placówki oświaty, przechowują i przetwarzają ogromne ilości danych o uczniach, nauczycielach oraz innych pracownikach - w tym np. numery PESEL i dane o miejscu zamieszkania. W związku z tym, pierwszym i podstawowym obowiązkiem jest wyznaczenie Inspektora Ochrony Danych, o czym mówi art. 37 ust. 1 lit. a RODO. Rolą Inspektora ma być z jednej strony monitorowanie działań administratora danych osobowych (dyrektora szkoły) i współpraca z organem nadzorczym (Prezes Urzędu Ochrony Danych Osobowych), z drugiej - wsparcie w zakresie zasad, narzędzi i środków organizacyjnych wdrażanych w konkretnym podmiocie administracji. Co ciekawe, nowe prawo dopuszcza możliwość, aby jeden inspektor obsługiwał jednocześnie do 9 placówek edukacyjnych, jeśli razem stanowią np. zespół szkół. Warto w tym miejscu wspomnieć, iż w przeciwieństwie do dotychczas obowiązujących przepisów, RODO nie wskazuje konkretnych zasad i wytycznych, których dyrekcja powinna się trzymać. Weźmy na przykład hasła zabezpieczające, wykorzystywane w administracji oświatowej.

Przed RODO, sprawa była jasna - regulacje wskazywały, iż hasło musi mieć minimalnie 8 znaków, z czego co najmniej jeden powinien być wielką literą, jeden małą literą, a dodatkowo musiało znaleźć się miejsce na cyfrę bądź znak specjalny. Obecnie, nie dość, że takich wskazówek nie ma, to prawo wyklucza możliwość ich tworzenia. Stosowane w konkretnych przypadkach zabezpieczenia, muszą być wynikiem przeprowadzonej uprzednio tzw. "analizy ryzyka", za której przeprowadzenie odpowiedzialny będzie dyrektor szkoły występujący w roli administratora danych. Analiza ryzyka, ma na celu dostarczenie adekwatnych do danych warunków rozwiązań oraz zwiększenie zaangażowania podmiotów odpowiedzialnych za dane, w proces wdrażania nowych przepisów.

Wspomniałem już wyżej o wprowadzeniu nowych zasadach dotyczących tzw. "obowiązku informacyjnego". Jest to narzędzie uprawniające właścicieli danych, m.in do wglądu co robi z nimi podmiot przetwarzający. Pomimo tego, iż przed RODO, taki obowiązek już istniał, to właśnie majowa nowelizacja rozszerzyła uprawnienia właścicieli danych w tym zakresie. Obecnie, placówki zobligowane są do udzielania szczegółowych informacji każdej osobie, której dane szkoła przetwarza - zarówno w momencie ich otrzymania oraz dodatkowo na każde żądanie. Specjaliści zgodnie twierdzą, że spełnienie tego wymogu nie jest w szkole aż tak skomplikowane, przy czym przygotowanie właściwego zaplecza realizacji może okazać się dość pracochłonne. Bardzo ciekawą kwestią jest również tworzenie i korzystanie z elektronicznych dzienników, które czasami bywają zaopatrzone w wariant profilowania - mechanizm, który byłby w stanie wyłonić, uczniów kwalifikujących się np. do odebrania nagród za wyniki w nauce. Z puli 40 uczniów system wskazuje 15, którzy ze względu na oceny i np. aktywność czy zachowanie, są rekomendowani do wyróżnienia. W tym miejscu powstaje jednak pewniem problem, bowiem automatyczne podejmowanie decyzji na podstawie profilowania wymaga uzyskania zgody podmiotu danych.

Monitoring

Należy pamiętać, iż jedną z podstawowych zasadach postępowania z danymi jest celowość ich przetwarzania. Oznacza to, że przetwarzanie, a zatem zbieranie, przechowywanie, utrwalanie itd., może odbywać się jedynie w zakresie niezbędnym do wykonania określonego zadania. Dotychczas zawsze można było wytłumaczyć to charakterem działalności szkoły i posługiwano się tzw. "przesłanką prawnie usprawiedliwionego celu". Dobrym przykładem jest monitoring wizyjny, który przecież nie jest niezbędny do zapewnienia prawidłowego funkcjonowania szkół. Ponadto kamery zapisują również tzw. dane wrażliwe, czyli dane, którym przepisy przyznają szczególny status i zapewniają odrębny rygor postępowania. Danymi wrażliwymi w tym przypadku, mogą być choćby utrwalone na monitoringu informacje o stanie zdrowia uczniów szkoły. Zgodnie z RODO, zarejestrowane za pomocą monitoringu dane, będzie można przechowywać nie dłużej, niż przez 30 dni. Co więcej, szkoły będą zobligowane do wyraźnego wskazania, które z pomieszczeń są monitorowane. Dodatkowo, warto wspomnieć, iż przed instalacją systemu dyrekcja będzie musiała skonsultować taki pomysł z radą pedagogiczną, radą rodziców i samorządem uczniowskim.

Czy jest się czego obawiać?

Co prawda, przepisy obniżają maksymalną wysokość kary, jaką będzie można nałożyć na podmiot publiczny, co nie zmienia faktu, iż za ich naruszenie grożą duże sumy. Kary administracyjne, które przewiduje RODO dochodzą do 20 mln euro - najwyższe nalicza się za naruszanie praw osób fizycznych, w tym m.in. zasad dotyczących przetwarzania danych osobowych. Resort cyfryzacji postanowił jednak obniżyć próg kary dla podmiotów publicznych do maksymalnie 100 000 zł. Należy jednak pamiętać, że ewentualnym poszkodowanym pozostaje jeszcze droga cywilna i dochodzenie ewentualnych odszkodowań na zasadach ogólnych.


Paweł Kowalewicz