Proste to RODO ochrona danych w medycynie

Wdrożenie RODO w jednostkach medycznych. RODO w medycynie. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w medycynie i oświacie

Dziennik elektroniczny w szkole

Dziennik elektroniczny w szkole

Dziennik elektroniczny  w szkole – co należy wiedzieć, aby być zgodnym z RODO? Dzienniki elektroniczne są obecne na rynku oświatowym od lat, dzięki Rozporządzeniu Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji, placówki oświatowe mają możliwość prowadzenia dokumentacji nauczania tylko elektronicznie co stanowi nie lada ułatwienie.

Pytań jest wiele ...

Czy dyrektor szkoły musi uzyskać zgodę rodziców, aby taki dziennik wdrożyć?

Warto tu zauważyć znane i ugruntowane stanowisko Prezesa Urzędu Ochrony Danych Osobowych

cyt.: „(…) W przypadku prowadzenia przez szkoły dzienników lekcyjnych podstawą do przetwarzania danych w dokumentacji szkolnej jest przepis prawa. Zgoda rodziców nie stanowi podstawy prawnej przetwarzania danych osobowych. Sposób prowadzenia dokumentacji przez placówki oświatowe regulują przepisy ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe oraz akty prawne wydane na jej podstawie. Szkoły prowadzą dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym. Zasada ta wynika z § 8 ust. 1 rozporządzenia ministra edukacji narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji”) Dziennik ten zawiera wiele informacji, w tym dane osobowe zarówno uczniów, jak i ich rodziców. Zgodnie z § 8 ust. 2 rozporządzenia w sprawie dokumentacji do dziennika lekcyjnego wpisuje się nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania (jeżeli są różne od adresu zamieszkania ucznia) oraz adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają(…)”.

Warto jednak pamiętać, że zgodnie z art. 84 ust. 1 ustawy Prawo Oświatowe „Rada rodziców może występować do dyrektora i innych organów szkoły lub placówki, organu prowadzącego szkołę lub placówkę oraz organu sprawującego nadzór pedagogiczny z wnioskami i opiniami we wszystkich sprawach szkoły lub placówki.

Czy w dzienniku elektronicznym mogą być zawarte szersze dane niż wynikające z rozporządzenia np. dotyczące alergii czy inne informację które poda rodzic dotyczące stanu zdrowia?

W przepisach rozporządzenia wskazane są informacje, które muszą być zawarte w dzienniku lekcyjnym, a prowadzenie jego wersji elektronicznej jest jedną z dopuszczalnych form. Co do szerszego zakresu danych w nim zawartych to należy mieć tutaj na uwadze kilka elementów.

Dziennik elektroniczny najczęściej nie jest wykorzystywany tylko jako alternatywa dla dziennika papierowego, a również jako narzędzie komunikacji, wymiany informacji czy przechowywania danych. W tym celu można go bardziej porównać do połączenia skrzynki e-mail z usługami współdzielenia danych i informacji. Oczywiście dzienniki elektroniczne nie są najczęściej, aż tak rozbudowane jak Google SUIT czy Office 365 natomiast zasada ich działania i wykorzystywania jest dość zbliżona.

Czy w takim razie tutaj zgoda rodziców jest niezbędna?

Nie, podstawa prawna dotyczy się celu przetwarzania, a nie zaś samego narzędzia, podstawą prawną przetwarzania danych w placówce oświatowej jest co do zasady przepis prawa, który nadaje placówce obowiązek (art. 6 ust. 1 lit. c RODO) lub uprawnienie (art. 6 ust. 1 lit. e RODO).

Kkto może uzyskać dostęp do danych zawartych w dzienniku elektronicznym?

Dane w dzienniku elektronicznym stanowią dokumentację konkretnej placówki oświatowej i to ona jest administratorem danych, co do udostępnienia danych tam zawartych możemy mieć 4 sytuacje kiedy możemy te dane przekazać:

  • rodzicom i uczniom zgodnie z art. 44e ustawy o systemie oświaty w zakresie dostępu do informacji dotyczących przebiegu nauczania, ponadto zgodnie z art. 15 RODO osoba, której dane dotyczą ma prawo dostępu do swoich danych.
  • nauczycielom i pracownikom Administratora zgodnie z art. 29 RODO, którzy to przetwarzają dane osobowe z upoważnienia Administratora,
  • podmiotom przetwarzającym zgodnie z art. 28 RODO, którym jest m.in. dostawca systemu elektronicznego dziennika w tej sytuacji jednak niezbędne jest zawarcie Umowy Powierzenia Przetwarzania Danych,
  • innym organom uprawnionym na podstawie przepisów prawa, może to być np. w celu przeprowadzenia kontroli lub nadzoru, w tej sytuacji podmiot ten musi legitymować się przesłanką prawną upoważniającą do dostępu do takich danych.

Reasumując dziennik elektroniczny jest bardzo przydatnym narzędziem, jednak jego wdrożenie musi być poprzedzone wnikliwą analizą same rozwiązania (pod kątem bezpieczeństwa jak i funkcjonalności). W dobie pandemii COVID-19 wiele placówek, które nie korzystały wcześniej z dziennika przełamały swoje obawy i uruchomiły to narzędzie co jest właściwym krokiem do cyfryzacji szkół i placówek.

Na co zwrócić uwagę wybierając dostawcę dziennika elektronicznego?

Bardzo ważną kwestią poza samą funkcjonalnością dziennika jest jego bezpieczeństwo, stąd należy zweryfikować dostawcę poprzez uzyskanie informacji jakie procedury bezpieczeństwa dana firma posiada. W zawartej Umowie Powierzenia Przetwarzania Danych [UMPO] powinny być zapisane właściwe gwarancje i wymagane zapisy z art. 28 RODO. W umowie głównej lub powierzenia powinna być określona odpowiedzialność podmiotu za ewentualne naruszenia, a także kwestie związane z archiwizacją danych, a także postępowanie z danymi po rozwiązaniu umowy.

Niestety niektórzy dostawcy regulują również odpowiedzialność w umowie, często ograniczające je do procentowej wartości umowy, nie jestem zwolennikiem takiej praktyki, gdyż kary za ewentualne naruszenie dokonane przez podmiot mogą znacząco przewyższać wartość rocznej umowy z dostawcą dziennika. Oczywiście negocjacje z takimi dostawcami są trudne i nieraz bez owocne, osobiście zalecam wtedy jednak twardo bronić swojego stanowiska, gdyż jest wiele rozwiązań i to bardzo dobrych, których dostawcy takich rozwiązań nie praktykują.

Cyberbezpieczeństwo w szkole ... warsztaty szkolniowe

  • Podczas szkolenia, jakie przygotowuję dla Państwa wspólnie z portalem PTR, mowa będzie o bieżących zagrożeniach w cyberbezpieczeństwie, które znacząco nasiliły się z uwagi na pandemię i masowy rozwój zdalnej pracy.
  • Na szkoleniu w szczególności skupię się na tzw. czynniku ludzkim i metodzie najpopularniejszego rodzaju ataku hackerskiego na świecie jakim jest phishing. Atak ten nie tylko jest najpopularniejszy, ale również najbardziej skuteczny (pewnie dlatego jest najpopularniejszy). Haker nie musi być wybitnym specjalistą z zakresu informatyki, a jedynie dobrym socjotechnikiem i korzystać z gotowych rozwiązań.
  • Przeprowadzę również symulację kilku ataków hakerskich wzorując się na rzeczywistych sytuacjach jakie miały miejsce w Polsce, dwie główne symulacje będą dotyczyć:
    • ataku hakerskiego bez użycia złośliwego oprogramowania
    • ataku hakerskiego z użyciem złośliwego oprogramowania
  • Oczywiście symulacje będą dotyczyć scenek sytuacyjnych, a nie przeprowadzenia rzeczywistego ataku na żadną instytucję (ponieważ to nielegalne).
  • Na koniec szkolenia wskażę w jaki sposób bronić się przed takimi atakami i podam kilka zasad cyberhigieny.