Dziennik elektroniczny w szkole

Dziennik elektroniczny w szkole – co należy wiedzieć, aby być zgodnym z RODO? Dzienniki elektroniczne są obecne na rynku oświatowym od lat, dzięki Rozporządzeniu Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji, placówki oświatowe mają możliwość prowadzenia dokumentacji nauczania tylko elektronicznie co stanowi nie lada ułatwienie.

Co należy wiedzieć ... Czy jednak popisanie umowy na usługę z dostawcą dziennika i wdrożenie go w placówce to wszystko o czym trzeba wiedzieć?

Pytań jest wiele ...

Pytań jest wiele ... Mimo, iż dzienniki elektroniczne są powszechnie dostępne i znane nadal spotykam się z wieloma pytaniami ze strony dyrektorów placówek oświatowych.

Czy dyrektor szkoły musi uzyskać zgodę rodziców, aby taki dziennik wdrożyć?

Warto tu zauważyć znane i ugruntowane stanowisko Prezesa Urzędu Ochrony Danych Osobowych

cyt.: „(…) W przypadku prowadzenia przez szkoły dzienników lekcyjnych podstawą do przetwarzania danych w dokumentacji szkolnej jest przepis prawa. Zgoda rodziców nie stanowi podstawy prawnej przetwarzania danych osobowych. Sposób prowadzenia dokumentacji przez placówki oświatowe regulują przepisy ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe oraz akty prawne wydane na jej podstawie. Szkoły prowadzą dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym. Zasada ta wynika z § 8 ust. 1 rozporządzenia ministra edukacji narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji”) Dziennik ten zawiera wiele informacji, w tym dane osobowe zarówno uczniów, jak i ich rodziców. Zgodnie z § 8 ust. 2 rozporządzenia w sprawie dokumentacji do dziennika lekcyjnego wpisuje się nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania (jeżeli są różne od adresu zamieszkania ucznia) oraz adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają(…)”.

Warto jednak pamiętać, że zgodnie z art. 84 ust. 1 ustawy Prawo Oświatowe „Rada rodziców może występować do dyrektora i innych organów szkoły lub placówki, organu prowadzącego szkołę lub placówkę oraz organu sprawującego nadzór pedagogiczny z wnioskami i opiniami we wszystkich sprawach szkoły lub placówki.”

Rada Rodziców z opinią ... Tak, więc sama zgoda rodziców nie jest konieczna ani do wdrożenia dziennika w placówce ani tym bardziej do przetwarzania danych osobowych w nim zawartych. Sama zaś Rada Rodziców ma prawo przedstawić swoją opinię na temat wdrożenia lub wyboru konkretnego rozwiązania e-dziennika, gdyż zgodnie z w/w przepisem może występować z opiniami i wnioskami w każdej sprawie. Należy jednak zwrócić uwagę na to, iż stanowisko RR nie jest dla dyrektora wiążące i stanowi jedynie źródło opiniotwórcze, a ostateczna decyzja co do podjęcia decyzji należy do niego.

Czy w dzienniku elektronicznym mogą być zawarte szersze dane niż wynikające z rozporządzenia np. dotyczące alergii czy inne informację które poda rodzic dotyczące stanu zdrowia?

W przepisach rozporządzenia wskazane są informacje, które muszą być zawarte w dzienniku lekcyjnym, a prowadzenie jego wersji elektronicznej jest jedną z dopuszczalnych form. Co do szerszego zakresu danych w nim zawartych to należy mieć tutaj na uwadze kilka elementów.

Dziennik elektroniczny najczęściej nie jest wykorzystywany tylko jako alternatywa dla dziennika papierowego, a również jako narzędzie komunikacji, wymiany informacji czy przechowywania danych. W tym celu można go bardziej porównać do połączenia skrzynki e-mail z usługami współdzielenia danych i informacji. Oczywiście dzienniki elektroniczne nie są najczęściej, aż tak rozbudowane jak Google SUIT czy Office 365 natomiast zasada ich działania i wykorzystywania jest dość zbliżona.

Czy w takim razie tutaj zgoda rodziców jest niezbędna?

Nie, podstawa prawna dotyczy się celu przetwarzania, a nie zaś samego narzędzia, podstawą prawną przetwarzania danych w placówce oświatowej jest co do zasady przepis prawa, który nadaje placówce obowiązek (art. 6 ust. 1 lit. c RODO) lub uprawnienie (art. 6 ust. 1 lit. e RODO).

Również, nie na podstawie zgody ... W zakresie udostępniania rodzicom uczniów i samym uczniom/słuchaczom informacji o ich ocenach, uwagach czy osiągnięciach należy zwrócić uwagę, iż dziennik elektroniczny realizuje w tym zakresie obowiązek prawny nałożony na placówkę przez art. 44e ustawy o systemie oświaty, który wprost wskazuje, iż oceny są jawne dla ucznia i jego rodziców.

Dziennik, jako narzędzie elektroniczne ... Często jednak dziennik elektroniczny jest wykorzystywany w celu szybkiego dostępu dla nauczyciela do informacji o uczniu, jego potrzebach wychowawczych czy edukacyjnych, a także do danych zdrowotnych w celu zapewnienia mu bezpiecznych warunków. W tym celu dane są przetwarzane na podstawie art. 155 ustawy Prawo Oświatowe zgodnie z art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. g) RODO w tej sytuacji dziennik jest tylko narzędziem elektronicznym, a nie osobnym celem przetwarzania.

Kkto może uzyskać dostęp do danych zawartych w dzienniku elektronicznym?

Dane w dzienniku elektronicznym stanowią dokumentację konkretnej placówki oświatowej i to ona jest administratorem danych, co do udostępnienia danych tam zawartych możemy mieć 4 sytuacje kiedy możemy te dane przekazać:

rodzicom i uczniom zgodnie z art. 44e ustawy o systemie oświaty w zakresie dostępu do informacji dotyczących przebiegu nauczania, ponadto zgodnie z art. 15 RODO osoba, której dane dotyczą ma prawo dostępu do swoich danych.
nauczycielom i pracownikom Administratora zgodnie z art. 29 RODO, którzy to przetwarzają dane osobowe z upoważnienia Administratora,
podmiotom przetwarzającym zgodnie z art. 28 RODO, którym jest m.in. dostawca systemu elektronicznego dziennika w tej sytuacji jednak niezbędne jest zawarcie Umowy Powierzenia Przetwarzania Danych,
innym organom uprawnionym na podstawie przepisów prawa, może to być np. w celu przeprowadzenia kontroli lub nadzoru, w tej sytuacji podmiot ten musi legitymować się przesłanką prawną upoważniającą do dostępu do takich danych.

Kto dostępu do e-dziennika nie otrzyma ... Niewłaściwą praktyką jest nadawanie dostępu do dziennika elektronicznego pracownikom innych podmiotów z którymi placówka współpracuje np. OHP czy pielęgniarka szkolna, gdyż podmioty te nie posiadają prawnej przesłanki, która upoważniałaby do takiego dostępu, a zawieranie różnego rodzaju porozumień w tej sprawie może prowadzić do zbierania danych nadmiarowych, których szkoła codo zasady nie ma prawa przetwarzać np. dokumentacja medyczna.

Reasumując dziennik elektroniczny jest bardzo przydatnym narzędziem, jednak jego wdrożenie musi być poprzedzone wnikliwą analizą same rozwiązania (pod kątem bezpieczeństwa jak i funkcjonalności). W dobie pandemii COVID-19 wiele placówek, które nie korzystały wcześniej z dziennika przełamały swoje obawy i uruchomiły to narzędzie co jest właściwym krokiem do cyfryzacji szkół i placówek.

Na co zwrócić uwagę wybierając dostawcę dziennika elektronicznego?

Bardzo ważną kwestią poza samą funkcjonalnością dziennika jest jego bezpieczeństwo, stąd należy zweryfikować dostawcę poprzez uzyskanie informacji jakie procedury bezpieczeństwa dana firma posiada. W zawartej Umowie Powierzenia Przetwarzania Danych [UMPO] powinny być zapisane właściwe gwarancje i wymagane zapisy z art. 28 RODO. W umowie głównej lub powierzenia powinna być określona odpowiedzialność podmiotu za ewentualne naruszenia, a także kwestie związane z archiwizacją danych, a także postępowanie z danymi po rozwiązaniu umowy.

Do umowy warto podchodzić racjonalnie ... Na rynku można spotkać różne dzienniki bardziej i mniej znanych dostawców, a także w przeróżnych cenach nawet darmowe, należy zwrócić uwagę iż wartość dziennika nie jest wyznacznikiem tego czy UMPO powinna być lub nie powinna być zawarta przy każdej z tych usług dochodzi bowiem do powierzenia przetwarzania danych, jeżeli dziennik ten umieszczony jest na serwerach dostawcy.

Niestety niektórzy dostawcy regulują również odpowiedzialność w umowie, często ograniczające je do procentowej wartości umowy, nie jestem zwolennikiem takiej praktyki, gdyż kary za ewentualne naruszenie dokonane przez podmiot mogą znacząco przewyższać wartość rocznej umowy z dostawcą dziennika. Oczywiście negocjacje z takimi dostawcami są trudne i nieraz bez owocne, osobiście zalecam wtedy jednak twardo bronić swojego stanowiska, gdyż jest wiele rozwiązań i to bardzo dobrych, których dostawcy takich rozwiązań nie praktykują.

Autor: Mariusz Stasiak vel Stasek

Rozporządzenie Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji

Cyberbezpieczeństwo w szkole ... warsztaty szkolniowe

Do kogo adresowane jest nasze szkolenie ... Szkolenie dedykowane jest pracownikom administracyjnym w szczególności kierownikom jednostek, pracownikom sekretariatu, księgowości, kierownikom gospodarczym, intendentom.

Podczas szkolenia, jakie przygotowuję dla Państwa wspólnie z portalem PTR, mowa będzie o bieżących zagrożeniach w cyberbezpieczeństwie, które znacząco nasiliły się z uwagi na pandemię i masowy rozwój zdalnej pracy.
Na szkoleniu w szczególności skupię się na tzw. czynniku ludzkim i metodzie najpopularniejszego rodzaju ataku hackerskiego na świecie jakim jest phishing. Atak ten nie tylko jest najpopularniejszy, ale również najbardziej skuteczny (pewnie dlatego jest najpopularniejszy). Haker nie musi być wybitnym specjalistą z zakresu informatyki, a jedynie dobrym socjotechnikiem i korzystać z gotowych rozwiązań.
Przeprowadzę również symulację kilku ataków hakerskich wzorując się na rzeczywistych sytuacjach jakie miały miejsce w Polsce, dwie główne symulacje będą dotyczyć:
ataku hakerskiego bez użycia złośliwego oprogramowania
ataku hakerskiego z użyciem złośliwego oprogramowania
Oczywiście symulacje będą dotyczyć scenek sytuacyjnych, a nie przeprowadzenia rzeczywistego ataku na żadną instytucję (ponieważ to nielegalne).
Na koniec szkolenia wskażę w jaki sposób bronić się przed takimi atakami i podam kilka zasad cyberhigieny.

Formularz oceny i aktualizacji standardów ochrony małoletnich
Formularz oceny i aktualizacji standardów ochrony małoletnich Obowiązek oceny i aktualizacji standardów ochrony małoletnich – dnia 15 lutego 2024r., weszła
Szczegóły szkolenia >>

Rekomendowane środki organizacyjne i techniczne dla IT
Rekomendowane środki organizacyjne i techniczne dla IT
Kompendium wiedzy praktycznej zawierające konkretne propozycje rozwiązań w obszarze stosowania środków organizacyjny i technicznych dla zabezpieczenia systemu teleinformatycznego, z równoczesnym określeniem celów stosowania rekomendowanych rozwiązań jak i ryzyk związanych z brakiem ich stosowania.
Autor: Bartosz Świąć
Format: Edytowalny MS Word
Ilość stron: 172 str.
Szczegóły szkolenia >>

Dokumentacja RODO dla KSeF
Dokumentacja RODO dla KSeF
Pakiet dokumentów dedykowanych dla przedsiębiorców oraz IOD przygotowujący do wdrożenia rozwiązań jakie niesie za sobą wejście w życie przepisów dotyczących Krajowego Systemu e-Faktur
Pakiet dokumentów zawiera:
Kompletny wpis do RCPD / „Obsługa Krajowego Systemu eFaktur”
Procedurę privacy by design oraz privacy by default:
Etap I – arkusz informacyjny ocenianego procesu
Etap II – interpretacja zebranych informacji / określenie obowiązków prawnych
Etap III – analiza ryzyka / ocena ryzyka
Etap IV – ocena skutków dla ochrony danych / DPIA

Szczegóły szkolenia >>

Klauzula Informacyjna RODO oraz Wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Klauzula Informacyjna RODO oraz Wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Pakiet dokumentów zawiera:
Wzór – Klauzuli Informacyjnej RODO dla osób składających wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej.
Wzór – Wniosku o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Szczegóły szkolenia >>

Dokumentacja do Oceny Ryzyka
Dokumentacja do Oceny Ryzyka
Przygotowaliśmy dla Państwa wzorcowy pakiet dokumentów pozwalających na przeprowadzenie analizy ryzyka w organizacji oraz jej udokumentowanie. Pakiet dokumentów składa się z części opisowej, w której szczegółowo opisana została metodologia realizacji procesu oceny ryzyka oraz z arkusza kalkulacyjnego. Arkusza kalkulacyjnego, w którym to dokonywana jest analiza i ocena ryzyka.
Autor: mgr Magdalena Waszak
Format: Word / Excell
Edycja: Pliki edytowalne
Wysyłka: bezpośrednio po zaksięgowaniu wpłaty

Szczegóły szkolenia >>

Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji …

Korzystając z przygotowanych przez nas materiałów istotnie przyspieszają Państwo proces opracowania i wdrożenia kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji w zarządzanej Organizacji. Dodatkowo w sytuacji, w której to organ prowadzący chciałby narzucić dla zarządzanej przez Państwa organizacji własne rozwiązania, jesteście Państwo przygotowani na taką sytuację. Analogicznie, w sytuacji audytu realizowanego w ramach działań organu nadrzędnego, zyskują Państwo materiały istotne z punktu widzenia działań audytowych. Nie należy także ukrywać, iż przygotowana przez nas dokumentacja, może przyspieszyć i usprawnić pracę audytorom, czy też inspektorom ochrony danych, którzy mogą z rożnych względów stać się realizatorami działań w obszarze przygotowania do wdrożenia projektów zapisów Dokumentacji SZBI.
Warianty do wyboru …

Pakiet (1) Dokumentacja SZBI
Pakiet (2) Dokumentacja SZBI + Ocena Ryzyka w bezpieczeństwie Informacji
Dokumentacja SZBI zgodna z NIS2 …

Oczywiście przygotowując Dokumentację SZBI opracowaliśmy ją zgodnie z wymogami jakie wynikają z treści Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).

Szczegóły szkolenia >>

Procedura dokonywania zgłoszeń wewnętrznych
Procedura dokonywania zgłoszeń wewnętrznych dla podmiotu prawnego
W związku z faktem uchwalenia Ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów opracowaliśmy dokumentację zawierającą procedury związane z obsługa zgłoszeń wewnętrznych dedykowane dla podmiotu medycznego.
Kto ma obowiązek opracowania procedury dokonywania zgłoszeń wewnętrznych
Obowiązek przygotowania i wdrożenia dokumentacji na gruncie ww. Ustawy o ochronie sygnalistów mają podmioty prawne na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Uwaga jednak do liczby 50 osób wykonujących pracę zarobkową wlicza się zarówno pracowników w przeliczeniu na pełne etaty oraz wlicza się osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.
Termin na opracowanie i wdrożenie procedur dokonywania zgłoszeń
Podmioty prawne zobowiązane na mocy Ustawy o ochronie sygnalistów mają termin do 25 września 2024 r. na opracowanie i wdrożenie dokumentacji.
Pakiet dokumentów zawiera
Procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych.
Potwierdzenie:
dokonania konsultacji z organizacją związkową celem ustalenia procedury zgłoszenia wewnętrznego
dokonania konsultacji z przedstawicielem załogi celem ustalenia procedury zgłoszenia wewnętrznego
Wzór:
informacji o podaniu do wiadomości osób wykonujących pracę procedury zgłoszeń wewnętrznych
informacja dla osób ubiegających się o pracę / rekrutacja / negocjacje umowy – o procedurze zgłoszeń wewnętrznych
rejestru zgłoszeń wewnętrznych
upoważnienia do podejmowania działań następczych i przetwarzania danych osobowych
upoważnienia do weryfikacji zgłoszeń wewnętrznych i przetwarzania danych osobowych
transkrypcji rozmowy z linii nagrywanej / z linii nie nagrywanej w ramach której doszło do zgłoszenia wewnętrznego
wniosek sygnalisty o zorganizowanie bezpośredniego spotkania celem dokonania ustnego zgłoszenia wewnętrznego
zgłoszenia wewnętrznego
protokołu ze zgłoszenia wewnętrznego dokonanego ustnie
oświadczenia sygnalisty o wyrażeniu zgody na ujawnienie jego danych osobowych
karta weryfikacji zgłoszenia wewnętrznego
informacji zwrotnej dla osoby sygnalisty wraz ze schematem pytań i odpowiedzi pozwalających na ocenę zgłoszenia
protokół ze zniszczenia danych osobowych zebranych przypadkowo
protokół ze zniszczenia danych związanych ze zgłoszeniem (retencja)
RCPD
Klauzula Informacyjna art. 13 RODO
Klauzula Informacyjna art. 14 RODO
i inne.
Forma dokumentu: dokumenty edytowalne
Czas realizacji: przed terminem 25 września 2024r.
Autor: dr Jakub Rzymowski
Autor: mgr Dominik Spałek

Szczegóły szkolenia >>

Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
W skład pakiety wchodzą następujące dokumenty:
Omówienie przepisów – wprowadzenie do tematu
Oświadczenie – o jakim mowa w art. 21 ust. 7 Lex Kamilek / braku skazania
Oświadczenie – o jakim mowa w art. 21 ust. 5 Lex Kamilek / państwa zamieszkania
Szczegóły szkolenia >>

Procedura użytkowania zewnętrznych nośników danych
Procedura użytkowania zewnętrznych nośników danych
Procedura opisuje zasady / powierzania / korzystania / zabezpieczania / testowania / przechowywania / niszczenia / przenośnych pamięci danych wykorzystywanych w pracy personelu administratora danych osobowych. Procedura użytkowania zewnętrznych nośników danych zawiera także zestaw zakazanych praktyk, wskazując na konkretne ryzyka, jakie wynikają z ich nieprzestrzegania, w szczególności w obszarze cyberbezpieczeństwa.
Pakiet dokumentów zawiera:
Procedura użytkowania zewnętrznych nośników danych
Materiał edukacyjny / cyberbezpieczeństwo w pracy z urządzeniami elektornicznymi
Ankieta inwentaryzacyjno / ewaluacyjna
Umowa użytkowania służbowego nośnika danych
Protokół przekazania nośnika danych

Szczegóły szkolenia >>

Wybierz interesujący tematycznie dział Sklepu RODO

Dokumentacja RODO
dla podmiotów medycznych
Wejdź do sklepu >>>

Dokumentacja RODO
dla podmiotów oświatowych
Wejdź do sklepu >>>

Dokumentacja RODO
dla firm i przedsiębiorstw
Wejdź do sklepu >>>

Stanowiska IOD
Zalecenia i sanowiska
Wejdź do sklepu >>>

Oferta
usług informatycznych
Wejdź do sklepu >>>

Oferta
niszczarki do dokumentów
Wejdź do sklepu >>>