Dziennik elektroniczny w szkole

Dziennik elektroniczny w szkole – co należy wiedzieć, aby być zgodnym z RODO? Dzienniki elektroniczne są obecne na rynku oświatowym od lat, dzięki Rozporządzeniu Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji, placówki oświatowe mają możliwość prowadzenia dokumentacji nauczania tylko elektronicznie co stanowi nie lada ułatwienie.

Co należy wiedzieć ... Czy jednak popisanie umowy na usługę z dostawcą dziennika i wdrożenie go w placówce to wszystko o czym trzeba wiedzieć?

Pytań jest wiele ...

Pytań jest wiele ... Mimo, iż dzienniki elektroniczne są powszechnie dostępne i znane nadal spotykam się z wieloma pytaniami ze strony dyrektorów placówek oświatowych.

Czy dyrektor szkoły musi uzyskać zgodę rodziców, aby taki dziennik wdrożyć?

Warto tu zauważyć znane i ugruntowane stanowisko Prezesa Urzędu Ochrony Danych Osobowych

cyt.: „(…) W przypadku prowadzenia przez szkoły dzienników lekcyjnych podstawą do przetwarzania danych w dokumentacji szkolnej jest przepis prawa. Zgoda rodziców nie stanowi podstawy prawnej przetwarzania danych osobowych. Sposób prowadzenia dokumentacji przez placówki oświatowe regulują przepisy ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe oraz akty prawne wydane na jej podstawie. Szkoły prowadzą dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym. Zasada ta wynika z § 8 ust. 1 rozporządzenia ministra edukacji narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji”) Dziennik ten zawiera wiele informacji, w tym dane osobowe zarówno uczniów, jak i ich rodziców. Zgodnie z § 8 ust. 2 rozporządzenia w sprawie dokumentacji do dziennika lekcyjnego wpisuje się nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania (jeżeli są różne od adresu zamieszkania ucznia) oraz adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają(…)”.

Warto jednak pamiętać, że zgodnie z art. 84 ust. 1 ustawy Prawo Oświatowe „Rada rodziców może występować do dyrektora i innych organów szkoły lub placówki, organu prowadzącego szkołę lub placówkę oraz organu sprawującego nadzór pedagogiczny z wnioskami i opiniami we wszystkich sprawach szkoły lub placówki.”

Rada Rodziców z opinią ... Tak, więc sama zgoda rodziców nie jest konieczna ani do wdrożenia dziennika w placówce ani tym bardziej do przetwarzania danych osobowych w nim zawartych. Sama zaś Rada Rodziców ma prawo przedstawić swoją opinię na temat wdrożenia lub wyboru konkretnego rozwiązania e-dziennika, gdyż zgodnie z w/w przepisem może występować z opiniami i wnioskami w każdej sprawie. Należy jednak zwrócić uwagę na to, iż stanowisko RR nie jest dla dyrektora wiążące i stanowi jedynie źródło opiniotwórcze, a ostateczna decyzja co do podjęcia decyzji należy do niego.

Czy w dzienniku elektronicznym mogą być zawarte szersze dane niż wynikające z rozporządzenia np. dotyczące alergii czy inne informację które poda rodzic dotyczące stanu zdrowia?

W przepisach rozporządzenia wskazane są informacje, które muszą być zawarte w dzienniku lekcyjnym, a prowadzenie jego wersji elektronicznej jest jedną z dopuszczalnych form. Co do szerszego zakresu danych w nim zawartych to należy mieć tutaj na uwadze kilka elementów.

Dziennik elektroniczny najczęściej nie jest wykorzystywany tylko jako alternatywa dla dziennika papierowego, a również jako narzędzie komunikacji, wymiany informacji czy przechowywania danych. W tym celu można go bardziej porównać do połączenia skrzynki e-mail z usługami współdzielenia danych i informacji. Oczywiście dzienniki elektroniczne nie są najczęściej, aż tak rozbudowane jak Google SUIT czy Office 365 natomiast zasada ich działania i wykorzystywania jest dość zbliżona.

Czy w takim razie tutaj zgoda rodziców jest niezbędna?

Nie, podstawa prawna dotyczy się celu przetwarzania, a nie zaś samego narzędzia, podstawą prawną przetwarzania danych w placówce oświatowej jest co do zasady przepis prawa, który nadaje placówce obowiązek (art. 6 ust. 1 lit. c RODO) lub uprawnienie (art. 6 ust. 1 lit. e RODO).

Również, nie na podstawie zgody ... W zakresie udostępniania rodzicom uczniów i samym uczniom/słuchaczom informacji o ich ocenach, uwagach czy osiągnięciach należy zwrócić uwagę, iż dziennik elektroniczny realizuje w tym zakresie obowiązek prawny nałożony na placówkę przez art. 44e ustawy o systemie oświaty, który wprost wskazuje, iż oceny są jawne dla ucznia i jego rodziców.

Dziennik, jako narzędzie elektroniczne ... Często jednak dziennik elektroniczny jest wykorzystywany w celu szybkiego dostępu dla nauczyciela do informacji o uczniu, jego potrzebach wychowawczych czy edukacyjnych, a także do danych zdrowotnych w celu zapewnienia mu bezpiecznych warunków. W tym celu dane są przetwarzane na podstawie art. 155 ustawy Prawo Oświatowe zgodnie z art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. g) RODO w tej sytuacji dziennik jest tylko narzędziem elektronicznym, a nie osobnym celem przetwarzania.

Kkto może uzyskać dostęp do danych zawartych w dzienniku elektronicznym?

Dane w dzienniku elektronicznym stanowią dokumentację konkretnej placówki oświatowej i to ona jest administratorem danych, co do udostępnienia danych tam zawartych możemy mieć 4 sytuacje kiedy możemy te dane przekazać:

rodzicom i uczniom zgodnie z art. 44e ustawy o systemie oświaty w zakresie dostępu do informacji dotyczących przebiegu nauczania, ponadto zgodnie z art. 15 RODO osoba, której dane dotyczą ma prawo dostępu do swoich danych.
nauczycielom i pracownikom Administratora zgodnie z art. 29 RODO, którzy to przetwarzają dane osobowe z upoważnienia Administratora,
podmiotom przetwarzającym zgodnie z art. 28 RODO, którym jest m.in. dostawca systemu elektronicznego dziennika w tej sytuacji jednak niezbędne jest zawarcie Umowy Powierzenia Przetwarzania Danych,
innym organom uprawnionym na podstawie przepisów prawa, może to być np. w celu przeprowadzenia kontroli lub nadzoru, w tej sytuacji podmiot ten musi legitymować się przesłanką prawną upoważniającą do dostępu do takich danych.

Kto dostępu do e-dziennika nie otrzyma ... Niewłaściwą praktyką jest nadawanie dostępu do dziennika elektronicznego pracownikom innych podmiotów z którymi placówka współpracuje np. OHP czy pielęgniarka szkolna, gdyż podmioty te nie posiadają prawnej przesłanki, która upoważniałaby do takiego dostępu, a zawieranie różnego rodzaju porozumień w tej sprawie może prowadzić do zbierania danych nadmiarowych, których szkoła codo zasady nie ma prawa przetwarzać np. dokumentacja medyczna.

Reasumując dziennik elektroniczny jest bardzo przydatnym narzędziem, jednak jego wdrożenie musi być poprzedzone wnikliwą analizą same rozwiązania (pod kątem bezpieczeństwa jak i funkcjonalności). W dobie pandemii COVID-19 wiele placówek, które nie korzystały wcześniej z dziennika przełamały swoje obawy i uruchomiły to narzędzie co jest właściwym krokiem do cyfryzacji szkół i placówek.

Na co zwrócić uwagę wybierając dostawcę dziennika elektronicznego?

Bardzo ważną kwestią poza samą funkcjonalnością dziennika jest jego bezpieczeństwo, stąd należy zweryfikować dostawcę poprzez uzyskanie informacji jakie procedury bezpieczeństwa dana firma posiada. W zawartej Umowie Powierzenia Przetwarzania Danych [UMPO] powinny być zapisane właściwe gwarancje i wymagane zapisy z art. 28 RODO. W umowie głównej lub powierzenia powinna być określona odpowiedzialność podmiotu za ewentualne naruszenia, a także kwestie związane z archiwizacją danych, a także postępowanie z danymi po rozwiązaniu umowy.

Do umowy warto podchodzić racjonalnie ... Na rynku można spotkać różne dzienniki bardziej i mniej znanych dostawców, a także w przeróżnych cenach nawet darmowe, należy zwrócić uwagę iż wartość dziennika nie jest wyznacznikiem tego czy UMPO powinna być lub nie powinna być zawarta przy każdej z tych usług dochodzi bowiem do powierzenia przetwarzania danych, jeżeli dziennik ten umieszczony jest na serwerach dostawcy.

Niestety niektórzy dostawcy regulują również odpowiedzialność w umowie, często ograniczające je do procentowej wartości umowy, nie jestem zwolennikiem takiej praktyki, gdyż kary za ewentualne naruszenie dokonane przez podmiot mogą znacząco przewyższać wartość rocznej umowy z dostawcą dziennika. Oczywiście negocjacje z takimi dostawcami są trudne i nieraz bez owocne, osobiście zalecam wtedy jednak twardo bronić swojego stanowiska, gdyż jest wiele rozwiązań i to bardzo dobrych, których dostawcy takich rozwiązań nie praktykują.

Autor: Mariusz Stasiak vel Stasek

Rozporządzenie Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji

Cyberbezpieczeństwo w szkole ... warsztaty szkolniowe

Do kogo adresowane jest nasze szkolenie ... Szkolenie dedykowane jest pracownikom administracyjnym w szczególności kierownikom jednostek, pracownikom sekretariatu, księgowości, kierownikom gospodarczym, intendentom.

Podczas szkolenia, jakie przygotowuję dla Państwa wspólnie z portalem PTR, mowa będzie o bieżących zagrożeniach w cyberbezpieczeństwie, które znacząco nasiliły się z uwagi na pandemię i masowy rozwój zdalnej pracy.
Na szkoleniu w szczególności skupię się na tzw. czynniku ludzkim i metodzie najpopularniejszego rodzaju ataku hackerskiego na świecie jakim jest phishing. Atak ten nie tylko jest najpopularniejszy, ale również najbardziej skuteczny (pewnie dlatego jest najpopularniejszy). Haker nie musi być wybitnym specjalistą z zakresu informatyki, a jedynie dobrym socjotechnikiem i korzystać z gotowych rozwiązań.
Przeprowadzę również symulację kilku ataków hakerskich wzorując się na rzeczywistych sytuacjach jakie miały miejsce w Polsce, dwie główne symulacje będą dotyczyć:
ataku hakerskiego bez użycia złośliwego oprogramowania
ataku hakerskiego z użyciem złośliwego oprogramowania
Oczywiście symulacje będą dotyczyć scenek sytuacyjnych, a nie przeprowadzenia rzeczywistego ataku na żadną instytucję (ponieważ to nielegalne).
Na koniec szkolenia wskażę w jaki sposób bronić się przed takimi atakami i podam kilka zasad cyberhigieny.

Czy z Pocztą Polską należy zawrzeć umowę powierzenia dla usług PURDE i PUH?
Szczegóły szkolenia >>

Standardy Ochrony Małoletnich dla placówek oświatowych
Szczegóły szkolenia >>

Jak dostosować stanowiska pracy wyposażone w monitory ekranowe do nowych przepisów BHP
Szczegóły szkolenia >>

Przykłady konsekwencji i środków zaradczych pomocne przy sporządzaniu zgłoszenia lub zawiadomienia podmiotu danych
Szczegóły szkolenia >>

Wzory dokumentów dla szkół przy przekazywaniu laptopów i bonów
Szczegóły szkolenia >>

Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca
Szczegóły szkolenia >>

Dokumentacja RODO dla oświaty
Szczegóły szkolenia >>

Wzór porozumienia w sprawie pracy zdalnej
Szczegóły szkolenia >>

Omówienie przepisów kodeksu pracy wprowadzających pracę zdalną
Szczegóły szkolenia >>

Wybierz interesujący tematycznie dział Sklepu RODO

Sklep RODO
w medycynie
Wejdź do sklepu >>>

Sklep RODO
w oświacie
Wejdź do sklepu >>>

Sklep RODO
dla firm
Wejdź do sklepu >>>

Usługi IT
w medycynie
Wejdź do sklepu >>>

Szkolenia
RODO
Wejdź do sklepu >>>

Niszczarki
do dokumentów
Wejdź do sklepu >>>

Wdrożenie RODO w jednostkach medycznych.
RODO w medycynie. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w medycynie i oświacie

Dziennik elektroniczny w szkole