Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Zdalna nauka i ochrona danych osobowych.

[responsivevoice_button voice="Polish Female" buttontext="Przeczytaj na głos tekst artykułu."]

Zdalna nauka i ochrona danych osobowych w okresie pandemii.

Zdalna nauka i ochrona danych osobowych w okresie pandemii. Czy to da się pogodzić? Pandemia odciska piętno na każdym sektorze naszego i każdego innego kraju na świecie, sektor edukacji jest jednym z tych, który został poddany jednej z największych prób, gdyż przez lata zaniedbywana informatyzacja szkół i placówek oświatowych została poddana największemu z możliwych egzaminów.

Zobacz, jakie są efekty tego wszystkiego.

Cytowane nie bez przyczyny przeze mnie artykuły wskazują, że nie jest najlepiej z tą zdalną edukacją. Niestety, ale większość opisanych problemów w powyższych artykułach jest trywialna. W wielu placówkach uruchomienie zdalnego nauczania wiosną 2020 r., to był typowy chaos nad którym nie panował nikt, a niekiedy dyrektor nie wiedział nawet z jakich narzędzi korzystają nauczyciele, a tam była pełna dowolność:

  • Facebook i Messenger
  • Skype
  • Discord
  • Zoom
  • Vebex
  • Google Classroom
  • Microsoft Office 365
  • Moodle

I wiele, wiele innych….

Prowadzenie lekcji na FB niby czemu nie?

Problem może być dwojaki po pierwsze prowadzenie zajęć z wykorzystaniem komercyjnej platformy, która nie pełni roli podmiotu przetwarzającego dla placówki oświatowej powoduje konieczność założenia konta przez ucznia lub rodzica na tym serwisie.

A to już nie tak do końca ok, czemu? W szkole nie można zmuszać ucznia, a tym bardziej uzależniać dostępu do edukacji od założenia konta na komercyjnym portalu, za którego usługi płacimy swoją prywatnością.

Problemem może być również wiek, 10 latek nie może mieć legalnie konta na portalu Facebook, Messenger czy Skype, zgodnie z np. regulaminem FB minimalny wiek użytkownika to 13 lat.

Przykładem może być błędnie skonfigurowana usług, gdzie zamiast automatycznego przeniesienia kont uczniów i nauczycieli z dziennika elektronicznego uczniowie są zmuszani do zakładania komercyjnych skrzynek pocztowych (bardzo często tak konfigurowane jest Google Classroom co jest błędem). Usługi zdalnych narzędzi muszą być konfigurowane w domenie szkoły czy to Office czy Classroom, dzięki czemu niwelujemy ryzyko pominięcia jakiegoś ucznia lub nauczyciela w procesie zakładania kont, nie zrzucamy problematycznej operacji na rodziców, nie ryzykujemy zarzutu zmuszania do zakładania komercyjnych skrzynek e-mail, nie ryzykujemy naruszenia wieku 13 lat i złamania regulaminu serwisu. Zdalna nauka i ochrona danych osobowych zatem nie jest tematem prostym i łatwym.

Ponadto błędna konfiguracja może również prowadzić do uruchomienia płatnych usług lub nieautoryzowanych kanałów dostępowych. Bardzo istotna jest również kwestia wstępnej konfiguracji, czy usługa ma poczekalnie, czy ma możliwość ustalania hosta spotkania itd. Co powoduje, iż nauczyciel może zapanować nad przebiegiem lekcji i nie jest ona przerywana przez osoby z zewnątrz.

Chciałbym dosłownie w kilku słowach przybliżyć jednak Państwu wykorzystanie narzędzi do zdalnej nauki w sposób prawidłowy.

Po pierwsze, jednolita platforma.

Bardzo dużo błędów, żalu i rozgoryczenia powoduje mnogość zastosowanych technologii, w szczególności, gdy wybór pozostał na szczeblu nauczycieli. Z ludźmi tak jest zawsze, więc nie ma co dziwić się pedagogom, jedni wolą uczyć przez FB inni zakochali się w Classroom, a dla jeszcze innych nie ma lepszej platformy jak Office 365. Każdy ma oczywiście rację, jednak wykorzystywanie wszystkich technologii powoduje, że pracy jest dużo więcej, ryzyko popełniania błędu zdecydowanie większe oraz poziom frustracji rodziców mocno podwyższony.

Którą platformę wybrać.

Na początek ustalmy jaka spełnia wymogi formalne, a więc która z platform jest rozumiana jako Podmiot Przetwarzający i mamy możliwość zawarcia z nią UPPD zgodnie z art. 28 ust. 3 RODO.

Ponieważ nie jestem w stanie omówić wszystkich szczegółowo wybierzemy sobie na początek 3:

  • Microsoft Office 365 dla edukacji A1
  • Google Gsuit Classroom
  • Vebex Cisco

Ponieważ z oprogramowaniem Vebex Cisco nie miałem przyjemności pracować (chociaż słyszałem dużo dobrego) nie będę omawiał warunków umownych i ewentualnego transferu danych.

Microsoft Office.

Przyjrzyjmy się więc znanemu nam doskonale dostawcy pakietu Office, z którego korzysta każdy na co dzień Microsoftu. Producent ten dostarcza oprogramowanie na darmowej licencji w pakiecie A1. Dla ciekawskich, pakiety możemy zobaczyć i porównać tutaj.

W telegraficznym skrócie mamy do dyspozycji cały pakiet office w wersji online (dostępnej przez przeglądarkę) i co bardzo ważne na dzień dzisiejszy jest również MS Teams i wygląda na to, że raczej zostanie w tym pakiecie na stałe.

Informacje dotyczące relacji między administratorem a Microsoft są określone przede wszystkim w dokumentach takich, jak Postanowienia Dotyczące Usług Online (tzw. OST) czy Dodatek dotyczący Ochrony Danych w ramach Usług Online Microsoft (tzw. DPA) . Opis zobowiązań Microsoft znajduje się w dokumencie DPA „Dodatek dotyczący Ochrony Danych w ramach Usług Online Microsoft”, w szczególności w Załączniku 3 POSTANOWIENIA WYNIKAJĄCE Z UNIJNEGO OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH, jak również w Załączniku 1 do Postanowień Dotyczących Usług Online (OST).

Oczywiście wszystkim pojawia się głównie jedna myśl w związku z przetwarzaniem danych przez firmę z USA, a jak to się ma do transferu danych do Państw Trzecich?

Jeszcze niedawno bez wahania powiedziałbym Państwu, że Tarcza Prywatności i wszystko jest ok, jednak mamy wyrok TSUE w/s Schrems II i Tarcza prywatności UE-USA straciła swoją cudowną moc.

Jednak z ratunkiem w wykorzystywaniu przez szkoły oprogramowania Microsoft przychodzi Załącznik 1 do Postanowień Dotyczących Usług Online wskazano zasady i procedury bezpieczeństwa dotyczące Podstawowych Usług Online, jak również miejsce przechowywania danych magazynowych Klienta (tzw. danych w spoczynku) w przypadku Podstawowych Usług Online. Bardziej szczegółowe informacje o miejscu przechowywania danych magazynowych można znaleźć na stronie https://products.office.com/en-us/where-is-your-data-located

A tam widzimy, że wszystkie dane, które stanowią informację o charakterze danych osobowych przetwarzane są na terenie UE.

Jeżeli jednak nie do końca wierzymy w brak transferu danych do USA to pozostają nam jeszcze standardowe klauzule umowne, które oferuje w swoich postanowieniach Microsoft. https://www.microsoft.com/pl-pl/trust-center/privacy/data-location

Jak się w takim razie ma usługa Google Gsuit Classroom.

Gigant Mountain View szczegóły swojego przetwarzania opisał w sekcji Umowy i Warunki https://cloud.google.com/security/gdpr/resource-center/contracts-and-terms gdzie możemy bez problemu wyczytać wszystkie regulacje dotyczące art. 28 RODO.

I tak w sekcji PRZETWARZANIE W RAMACH ZOBOWIĄZAŃ DOTYCZĄCYCH POUFNOŚCI mamy szczegółowo wskazany procesu udostępniania danych do Państw Trzecich z wykorzystaniem klauzul umownych EU Model Contract Clauses (MCC) Obligations of the Data Importer|Clause 5 oraz https://gsuite.google.com/terms/dpa_terms.html?_ga=2.247216455.217171858.1598906685-1819570802.1598906685

Przydatne miejsca w sieci.

Poniżej wybrałem dla Państwa kilka najciekawszych oficjalnych zbiorów z informacjami na temat poszczególnych usług, jednak również polecam bardzo, jak nie dużo bardziej, kanały Youtube fascynatów tych narzędzi, gdyż od takich osób można dowiedzieć się najwięcej ciekawych kruczków i tricków jak np. https://ewangelista.it/teams/ czy https://zdalna-lekcja.pl Ufam, iż dzieki przedstawionym informacjom zdalna nauka i ochrona danych osobowych stały się dla Państwa tematem przyjaznym

Procedura zdalnego i hybrydowego nauczania w szkole dla nauczycieli.

  • Z uwagi na niecierpiący zwłoki charakter tematu dokumentację wysyłamy niezwłocznie na email.
  • Pakiet procedur bezpieczeństwa dla przedszkoli można także zamówić telefonicznie 694 494 240,
  • Procedury można też zamówić przesyłając na nasz adres email biuro@prostetorodo.pl
  • Oczywiście wystawiamy Faktury VAT uwzględniając, iż jest w takim zamówieniu inny nabywca i inny odbiorca.
  • Jest możliwość otrzymania Faktury VAT z odroczonym 7 dniowym terminem płatności.