Bezpieczne oprogramowanie do prowadzenia lekcji i procedury postępowania w sytuacjach awaryjnych – to podstawy, jeżeli szkoły chcą działać zgodnie z RODO i dbać o prywatność uczniów oraz pracowników placówek oświatowych. A także, by uniknąć kar od organu nadzorczego.
Nie da się ukryć, że konieczność szybkiego wdrożenia nauczania zdalnego z powodu pandemii nie pozwoliła w kwietniu szkołom odpowiednio się przygotować pod kątem zapewnienia bezpieczeństwa prywatności oraz ochrony danych osobowych uczniów, opiekunów oraz nauczycieli. – Z tego też powodu w części placówek początkowo panował spory chaos. Brakowało sprzętu, oprogramowania i odpowiednich procedur na wypadek awarii technicznych czy pojawienia się na lekcji osób nieproszonych – przyznaje Anna Pielok, inspektor ochrony danych w placówkach oświatowych. Opowiada, że wybór platform następował szybko i odbywał się bez pogłębionych analiz. W efekcie często korzystano z darmowego oprogramowania, które nie tylko nie miało ważnych funkcjonalności, lecz też nie gwarantowało odpowiedniego poziomu bezpieczeństwa danych osobowych. Z kolei dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelarii Radców Prawnych oraz redaktor naczelna „ABI Expert”, choć zdalne nauczanie ogólnie ocenia pozytywnie, to zwraca uwagę, że nauczycielom często brakowało odpowiedniej wiedzy i podstawowych procedur postępowania, np. dotyczących takiej kwestii jak poprawna wysyłka e-maili. Bywało więc, że nauczyciele przypadkowo upubliczniali całej szkole informacje przeznaczone dla jednej klasy. Albo przesyłali adresy mailowe wszystkich rodziców i opiekunów, zapominając o umieszczeniu tych adresów w polu „ukrytej kopii” (tzw. UDW). Pojawiały się również problemy z niefortunnym egzekwowaniem zaliczenia zajęć – wątpliwe pod względem prawnym było np. zobowiązywanie dzieci do przesyłania nagrań, na których wykonują one ćwiczenia w ramach zajęć z wychowania fizycznego. – To nadmierne przetwarzanie danych osobowych – wskazuje prawniczka. Jej zdaniem modelowy przykład lekcji WF to taki, gdzie dzieci na bieżąco ćwiczą razem z nauczycielem przed kamerą, ewentualnie nauczyciel pokazuje nagrania ćwiczeń znalezione w domenie publicznej.
Bez winy nie byli także dyrektorzy placówek oświatowych, którzy mieli problemy z odnalezieniem się z dnia na dzień w nowej rzeczywistości. W efekcie szkoły czasami nawet do końca roku naruszały przepisy. Przykład. Jak wskazuje dr Sakowska-Baryła, każda placówka powinna odgórnie określić, czy uczniowie mogą nagrywać lekcje na użytek własny. – Jeśli tak, to należało poinformować uczniów, że takie materiały nie powinny być nigdzie upublicznianie, gdyż wówczas może dojść nie tylko do naruszenia zasad ochrony danych osobowych, lecz także naruszenia dóbr osobistych, w tym zwłaszcza wizerunku – tłumaczy dr Sakowska-Baryła. Albo inny przykład, niektórzy dyrektorzy w sposób niezgodny z prawem zaczęli monitorować zdalną pracę nauczycieli. Kontrolując godziny wysyłki poczty mailowej czy też logi z dziennika elektronicznego, robili to bez wcześniejszego poinformowania nauczycieli. – Tymczasem zgodnie z przepisami kodeksu pracy zatrudnieni powinni być uprzedzeni o fakcie prowadzenia tego typu monitorowania – podkreśla ekspertka.
Co ciekawe, pomimo licznych naruszeń do prezesa Urzędu Ochrony Danych Osobowych wpłynęła tylko jedna skarga. Jak informuje Adam Sanocki, rzecznik prasowy UODO, związana ona była z niedopełnieniem obowiązku informacyjnego. – Kierowane były jednak liczne pytania dotyczące organizacji nauki zdalnej i zabezpieczenia danych przy takiej formie edukacji. Wśród pytań przejawiały się także takie, które dotyczyły możliwości korzystania przez nauczycieli z prywatnych komputerów czy wykorzystania różnych narzędzi do nauki zdalnej oraz możliwości rejestrowania przebiegu lekcji – opowiada Adam Sanocki.

Wskazówki organu nadzorczego

Jak więc mają postępować szkoły, jeśli od września wejdzie zdalne nauczanie? Otóż warto skorzystać ze wskazówek UODO (w pracach nad nimi uczesniczyło MEN) dla dyrektorów oraz nauczycieli. I choć zostały one opublikowane już 31 marca br., to jak zauważa Anna Pielok, są wciąż aktualne i stanowią podstawę do wdrażania odpowiednich procedur w placówkach oświaty. Poradnik można znaleźć na stronie internetowej organu nadzorczego (www.uodo.gov.pl/pl/138/1473) oraz stronie w domenie rządowej (www.gov.pl/web/edukacja/zdalne-nauczanie-uodo). Informacje na temat obowiązków administratora wynikających z RODO oraz wskazówki dotyczące zdalnego nauczania można również znaleźć w konsultowanym właśnie kodeksie postępowania dla jednostek oświatowych autorstwa Anny Pielok oraz Piotra Sojki (www.rodo-w-oswiacie.pl/kodeks-postepowania-calosc).
I tak organ nadzoru wskazuje, że obowiązujące przepisy dają możliwość realizowania przez nauczycieli zajęć z wykorzystaniem metod i technik kształcenia na odległość lub innego sposobu kształcenia, w tym z wykorzystaniem środków komunikacji elektronicznej. Jednocześnie zauważa, że pozostawiają one szkołom dużą swobodę odnośnie wyboru właściwego narzędzia przy uwzględnieniu wszystkich aspektów związanych z możliwościami placówki, nauczycieli, a przede wszystkim możliwości technicznych i organizacyjnyh rodziców i uczniów. Przy czym szkoła musi poinformować nauczycieli, rodziców oraz uczniów o sposobie realizacji nauki zdalnej w sposób zrozumiały. A, jeśli przy nauczaniu na odległość będzie wykorzystane nowe oprogramowanie lub usługi świadczone przez podmioty zewnętrzne, to należy poinformować o tym, w jakim zakresie będą przetwarzane dane osobowe. UODO podkreśla, że szkoła może wymagać od ucznia lub reprezentującego go rodzica podania danych do założenia konta w systemie zdalnego nauczania, lecz tylko w zakresie niezbędnym do tego (najczęściej jest to adres mailowy, ewentualnie imię i nazwisko). Tak więc nie można gromadzić danych nadmiarowych bądź służących do realizacji innych celów, np. numeru telefonu.

Trzeba zacząć od platformy

Zanim jednak szkoły zaczną zdalne nauczanie, muszą wybrać platformę. – Poszukując dostawcy oprogramowania, należy wybierać rozwiązania bezpieczne, zapewniające odpowiednie funkcjonalności, np. możliwość zablokowania nagrywania lekcji czy umożliwiające dyrektorowi kontrolę tego, kto i jakie treści umieszcza na platformie, a także, kto ma do nich dostęp – podkreśla Anna Pielok. W wyborze bezpiecznej platformy dyrektorowi szkoły powinien pomóc inspektor ochrony danych. W praktyce idealnym rozwiązaniem byłoby, aby placówki oświatowe korzystały z jednej, najlepiej płatnej platformy, gdyż wówczas to dostawca usługi dba o zaplecze techniczne i zabezpieczenie danych osobowych (przynajmniej na poziomie oprogramowania). Co więcej, taka platforma pozwoli też dyrektorowi na kontrolę nad danymi osobowymi również wtedy, gdy szkoła nie będzie już z niej korzystać. Na pewno nie powinno być tak, że każdy nauczyciel dobiera własną platformę.
Eksperci wskazują, że do tej pory szkoły najczęściej korzystały z oprogramowania firm Microsoft, Cisco oraz Zoom Video Communications. Tymczasem wszystkie wskazane podmioty mają swoje siedziby w USA, co obecnie – w kontekście ostatniego, bardzo głośnego wyroku Trybunału Sprawiedliwości Unii Europejskiej z 16 lipca 2020 r. (sygn. C-311/18, sprawa Facebook Ireland Limited, tzw. Schrems II) – ma niebagatelne znaczenie. Otóż TSUE stwierdził nieważność głównej podstawy prawnej do przesyłania danych osobowych z Unii Europejskiej do USA, czyli tzw. porozumienia Privacy Shield (Tarcza Prywatności). Wyrok ten opisywaliśmy dokładniej 28 lipca 2020 r.) na łamach dodatku dla prenumeratorów „Firma i Prawo” . W tej sytuacji administrator (dyrektor szkoły z pomocą IOD), wybierając platformę, powinien zweryfikować, czy i na jakiej podstawie wybrane oprogramowanie przesyła dane osobowe poza obszar Europejskiego Obszaru Gospodarczego (takie informacje można znaleźć w umowie z dostawcą bądź regulaminie usługi). Jeśli miejscem docelowym przesyłania danych jest np. USA, wówczas należy przyjrzeć się podstawie prawnej takiego transferu. Jeśli dostawca platformy wskazuje wspomnianą wcześniej Tarczę Prywatności, to – biorąc pod uwagę wyrok TSUE – należy poszukać innej podstawy prawnej. Przy czym, jak wskazuje wielu ekspertów, w przypadku firm transferujących dane osobowe do USA znalezienie takiej przesłanki może być niezwykle trudne. – Wydaje się więc, że warto w pierwszej kolejności rozważyć skorzystanie z platform, które nie transferują danych osobowych poza obszar Europejskiego Obszaru Gospodarczego – mówi Anna Pielok.

Ważne aspekty techniczne

Placówki oświatowe powinny też dostarczyć nauczycielom sprzęt i zadbać o jego odpowiednie zabezpieczenie. Chodzi tu np. o sprawdzenie, czy wykorzystywane urządzenia mają aktualny system operacyjny, czy używane są programy antywirusowe i czy dokonane są niezbędne aktualizacje. UODO podkreśla, że aktualizowane na bieżąco powinny być także zainstalowane programy antymalware i antyspyware (zabezpieczające przed złośliwym oprogramowaniem szpiegującym oraz wykradającym informacje z komputera). Najlepiej by było, gdyby tym wszystkim zajmował informatyk (może robić to zdalnie). Ważne jest też, aby oprogramowanie było pobierane wyłącznie z wiarygodnych źródeł – najlepiej ze stron internetowych ich producentów. Placówki oświatowe powinny też się zastanowić się nad blokadami uniemożliwiającymi instalowanie na szkolnych urządzeniach – udostępnianych zarówno uczniom, jak i nauczycielom – jakiegokolwiek nowego oprogramowania bez ingerencji informatyka. Z kolei korzystający z komputerów nauczyciele powinni zadbać o silne (skomplikowane) hasła, a jeżeli do sprzętu, na którym przechowują dane osobowe, mają dostęp inne osoby, wówczas najlepiej jest stworzyć osobne konta. Nauczyciel, odchodząc też od komputera (stanowiska pracy), musi również pamiętać o jego blokowaniu.
Ponadto organ podkreśla, że nie jest wskazane, by nauczyciel pracował na prywatnym sprzęcie – zgoda na jego wykorzystanie musi być rozpatrywana z uwzględnieniem stopnia ryzyka naruszenia ochrony danych osobowych. Jeśli ryzyko wycieków oceni się jako znaczne, wówczas warto rozważyć umożliwienie nauczycielowi korzystanie ze sprzętu znajdującego się na terenie szkoły. Dr Marlena Sakowska-Baryła wskazuje też, że nauczyciele nie powinni korzystać z prywatnych skrzynek mailowych czy samodzielnie wybieranych komunikatorów. – Należy zadbać o to, aby nauczyciele wykorzystywali do komunikacji z uczniami oraz ich opiekunami wyłącznie służbowe skrzynki mailowe – podkreśla prawniczka. Ale i w takim przypadku należy odpowiednio dbać o zabezpieczenie danych (warto pomyśleć o wykorzystaniu szyfrowania przesyłanych wiadomości czy wprowadzaniu haseł dla przesyłanych tą drogą ważnych plików).

Potrzeba procedur

Ważnym obowiązkiem szkoły jest to, aby przetwarzane dane osobowe były zabezpieczone poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych. Tak aby były chronione przed utratą, zniszczeniem bądź udostępnieniem osobom nieupoważnionym. UODO przypomina, że przykładowymi środkami służącymi zabezpieczeniu danych osobowych są: pseudonimizacja, anonimizacja oraz szyfrowanie danych. Z kolei dr Marlena Sakowska-Baryła podkreśla, że szkoły powinny nie tylko przeszkolić personel w zakresie odpowiedniego wykorzystania sprzętu i oprogramowania do prowadzenia nauczania zdalnego, lecz także z zakresu ochrony danych osobowych w pracy zdalnej z uwzględnieniem jej specyfiki. Niezwykle przydatne mogą być też procedury na wypadek sytuacji krytycznych. Mowa tu np. o nagłych awariach sprzętu bądź pojawieniu się na lekcji osób nieproszonych (czasami jest to rodzic, który z innego komputera obserwuje lekcję i nagle wdaje się w polemikę z nauczycielem). – Warto zadbać o to, aby nauczyciel mógł wówczas szybko kontaktować się z osobą, która pomoże mu rozwiązać tego typu problemy. W początkowym okresie pandemii często tego brakowało. Teraz szkoły muszą być już jednak gotowe – podkreśla dr Sakowska-Baryła. W przeciwnym razie placówki oświatowe narażają się na ryzyko wystąpienia wycieków danych osobowych, co może skutkować sankcjami nałożonymi przez prezesa UODO (najmniej dotkliwe może być upomnienie, lecz organ nadzoru może też nałożyć karę do 100 tys. zł).
WAŻNE Platformę do zdalnego nauczania dla wszystkich swoich placówek może wybrać gmina. Urząd, decydując się na podpisanie umowy z jednym dostawcą, ma szansę wynegocjować lepsze warunki techniczne i finansowe. Z takiego rozwiązania postanowiła skorzystać Warszawa.
Jak należy postępować, by zachować bezpieczeństwo danych
• Na bieżąco aktualizuj systemy operacyjne
• Skanuj stacje robocze programami antywirusowymi, antymalware i antyspyware
• Pobieraj oprogramowanie wyłącznie ze stron producentów
• Nie otwieraj załączników z nieznanych źródeł
• Nie zapamiętuj haseł w aplikacjach internetowych, ani nie zapisuj ich na kartkach
• Nie używaj tych samych haseł w różnych systemach informatycznych
• Zabezpieczaj serwery plików czy inne zasoby sieciowe
• Zabezpieczaj sieci bezprzewodowe silnymi (skomplikowanymi) hasłami
• Unikaj wchodzenia na nieznane czy przypadkowe strony internetowe
• Nie loguj się do systemów informatycznych w przypadkowych miejscach
• Wykonuj regularnie kopie zapasowe
• Korzystaj ze sprawdzonego oprogramowania do szyfrowania e-maili lub nośników
• Szyfruj dane przesyłane pocztą elektroniczną
• Szyfruj dyski twarde w komputerach przenośnych
• Przy pracy zdalnej korzystaj z szyfrowanego połączenia VPN (wirtualna sieć prywatna)
• Odchodząc od komputera, blokuj stację komputerową.