Monika Sewastianowicz: Jak szkoły poradziły sobie z dostosowaniem się do RODO?
Marlena Sakowska-Baryła: Obsługujemy blisko sześćdziesiąt szkół, przedszkoli i placówek oświatowych, więc mogę ocenić to z całkiem szerokiej perspektywy. Oczywiście poszło różnie, są takie podmioty, które dobrze radziły sobie ze stosowaniem starych przepisów i im było o wiele łatwiej.
Dla placówek, które wcześniej miały wdrożone odpowiednie procedury, przeszkolony personel i przygotowaną dokumentacje, RODO nie wniosło szczególnych nowości. Pojawił się jedynie element szacowania ryzyka i konieczność sporządzenia rejestru czynności przetwarzania.
Tak naprawdę najważniejsze było przekroczenie bariery mentalnej, którą stanowiło rozpoczęcie stosowania przepisów o ochronie danych osobowych tam, gdzie o ochronie danych osobowych wiedziano niewiele albo sprowadano ją do bezwzględnej tajemnicy danych.
Nie dla wszystkich było to łatwe?
Jest wiele szkół i placówek, które sobie z tym nie poradziły i to nie dlatego, że zignorowały nowe przepisy, ale ochronę danych osobowych zaczęły rozumieć zupełnie opacznie. Pokazują to pytania, jakie zadają mi dyrektorzy i nauczyciele.
Pojawił się np. problem z podpisanymi pracami plastycznymi, które wisiały na korytarzach. Mamy nowy rok szkolny i część z tych prac, przez taką nadinterpretację przepisów, zniknęła ze szkół z wyraźnym wskazaniem, że to „przez RODO”. Podobnie jest z konkursami - wielu dyrektorów czy nauczycieli zaczęło się zastanawiać nie tyle, jak przeprowadzić konkurs, zbierając przy tym wyłącznie niezbędne dane osobowe i przetwarzając je w taki właśnie adekwatny sposób, ale ze względu na RODO zaczęto wręcz postulować, by owe konkursy, czy turnieje szkolne przeprowadzać bez upubliczniania nazwisk zwycięzców, bo to rzekomo miałoby być działaniem zgodnym z rozporzdzeniem.
Część dyrektorów proponowała, by uczestnikom nadawać numery i w ten sposób ogłaszać wyniki, a przecież to odbiera sens całemu przedsięwzięciu. Zazwyczaj udział w konkursie bierze się właśnie po to, by mieć satysfakcję ze zwycięstwa i z tego, że szersza publiczność będzie mogła się o tym dowiedzieć. Tymczasem byłoby to trudne, gdyby nikt nie poznał nazwisk laureatów, zaś startowanie w konkursach incognito wypacza ich sens i nie ma nic wspólnego z RODO.
Na jakie problemy zwracano uwagę przed rozpoczęciem nowego roku szkolnego?
W niektórych szkołach z obawy przed RODO brakowało informacji, do którego oddziału zostali przypisani pierwszoklasiści, bo obawiano się udostępniać listy uczniów. Prowadziło to do sytuacji, że dziecko do ostatniej chwili nie wiedziało, gdzie ma iść, bo ani ono, ani jego rodzice nie mieli pojęcia, czy jest np. w klasie A czy C.
Kolejną kłopotliwą sprawą jest wciąż kwestia obowiązków informacyjnych. Teoretycznie funkcjonowały one od dwudziestu lat, ale do czasu RODO nikt się tym specjalnie nie przejmował.
A teraz są doklejane wszędzie. Szkoły chcą odrębnie informować o tym, że przetwarzają dane osobowe jako administratorzy, gdy dziecko uczęszcza do świetlicy, gdy jedzie na wycieczkę, gdy wyrażają zgodę na sprawdzanie czystości.. Nie widzę potrzeby takiego rozdrabniania się, bo obowiązek informacyjny spełnia się przy pozyskiwaniu danych osobowych, a ten etap szkoła ma już za sobą. Nie ma tu także miany celu przetwarzania danych osobowych, co uzasadnioałoby spełnienie uzupełniającego obowiązku informacyjnego przy zmianie celu..
Takich absurdów jest pewnie więcej...
Spotkałam się też z sytuacją, gdy szkoły wymagały zgody na przetwarzanie danych np. dziadków, których upoważniano do odebrania dziecka. Żądano m.in., by dziadkowie własnoręcznie podpisali oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych oraz potwierdzili, że został wobec nich spełniony obowiązek informacyjny z art. 14 RODO. To zbędne, a dodatkowo problematyczne, gdy osoby upoważnione mieszkają w innym mieście niż znajduje się placówka, z której potencjalnie mogą odebrać dziecko. Nie jest przecież tak, że pod rządami RODO dane osobowe można przetwarzać wyłącznie na podstawie zgody osoby, której one dotyczą.
Mam wrażenie, że RODO otworzyło przed nami zupełnie nowy rozdział, jeżeli chodzi o ochronę danych osobowych. Wkraczamy w niego z lekką amnezją, zapominając o tym, co osiągnęliśmy pod rządami poprzedniej ustawy o ochronie danych osobowych i jakie procedury wówczas stosowaliśmy. Mści się na nas trochę skłonność do nadmiarowego gromadzenia danych osobowych i do mnożenia biurokracji. Jednocześnie jednak w pewnym stopniu rozumiem ten nadmierny formalizm, który jest konsekwencją obawy przed karami pieniężnymi i odpowiedzialnością cywilną, a nadto odzwierciedla tendencje, które pojawiły się w ostatnim czasie. Skoro bowiem tak obficie różne podmioty zaczęły zbierać zgody na przetwarzanie danych osobowych i zarzucać nas informacjami o przetwarzaniu przy każdym kontakcie i każdej okazji, to szkoły także poszły tym tropem.
Jak szkoły poradziły sobie z obowiązkiem powoływania inspektora ochrony danych osobowych?
Z tym też bywa różnie, mam na myśli zwłaszcza placówki publiczne. Niektóre szkoły i przedszkola zostały pozostawione same sobie i starały się poszukiwać inspektora ochrony danych osobowych wśród swojego personelu - nie zawsze jest to szczęśliwe rozwiązanie.
Zdarza się, że na to stanowisko powoływano sekretarkę, która przecież - po dyrektorze - przetwarza największą ilość danych osobowych. Widzę tu poważny konflikt interesów, bo de facto kontrolować będzie ona głównie swoją pracę. Tak samo jest, gdy IOD zostaje pedagog szkolny przetwarzający nie tylko dużo danych, ale jeszcze tych najbardziej newralgicznych dla ucznia, a często także jego rodziny.
Co RODO zmieniło w pracy nauczyciela?
Przede wszystkim świadomość - w szkołach, które już wcześniej zwracały uwagę na tę problematykę, jest ona jeszcze większa. Tam, gdzie wcześniej o to nie zadbano, nauczyciele po rozpoczęciu stosowania RODO zwrócili na tę kwestie uwagę.
Dla niektórych zmienił się też sposób pracy, czasem kosztem wygody. W niektórych szkołach zakazano nauczycielom korzystania z komunikacji mailowej i prywatnych komputerów do kontaktów z rodzicami, co siłą rzeczy oznacza, że pedagodzy nie mogą już tego robić z domu.
Podobnie jest chyba ze sprawdzaniem klasówek...
Nie mamy kostycznych reguł dotyczących tego, w jaki sposób przetwarza się dane osobowe w ramach konkretnego obszaru. Mam nawet wrażenie, że poprzednio obowiązujące przepisy były w tej kwestii mniej elastyczne. Nakazywały choćby określenie pomieszczeń i części pomieszczeń, gdzie przetwarza się dane..
Teraz szkoła ma więcej swobody, tworząc te zasady przetwarzania danych osobowych także jeśli chodzi o miejsca, w których dopuszczalne jest przetwarzanie dnaych osobowych. Może być tak, że zezwoli się nauczycielom na sprawdzanie klasówek poza terenem placówki. Konieczne jest wtedy przygotowanie wyraźnych pouczeń, jak zabezpieczyć dane. Nie mogą być to ogólniki w rodzaju: "w sposób adekwatny do zagrożenia", a konkrety, na co zwrócić uwagę i jak się zachować, co konkretnie jest zakazane.
A więc żadnych ogólnych zakazów tutaj nie ma?
Nie, to decyzja szkoły. Czasem te polityki są bardzo rygorystyczne i odbiegają od realiów funkcjonowania placówek - zwłaszcza gdy tworzą je podmioty zewnętrzne. Zawierają wiele sprzeczności, np. z jednej strony mamy bardzo sformalizowane zasady postępowania z danymi, a jednocześnie wszyscy nauczyciele korzystają z adresów e-mail utworzonych np. w Google.
Dobrym rozwiązaniem, jeżeli chodzi o kontakt nauczyciela z rodzicami, są dzienniki elektroniczne, ponieważ mamy większą pewność, że osoba,z którą koresponduję, jest faktycznie rodzicem ucznia. Ale tu z kolei pojawiają się podobne wątpliwości, jak ze sprawdzaniem klasówek, a mianowicie problem z tym, czy nauczyciele mogą obsługiwać dziennik z domu. Oczywiście konieczne jest stworzenie odpowiednich procedur w tym zakresie, ale daleka jestem od stwierdzenia, że dziennik może być obsługiwany wyłącznie na terenie szkoły. Zresztą często takie rozwiązanie bywa po prostu niemożliwe do zastosowania w praktyce.
Istnieją środki, które pozwalają zabezpieczyć przetwarzane dane. Nie ma raczej uzasadnienia, by nauczyciele - biorąc pod uwagę infrastrukturę niektórych szkół - zostawali w pracy po godzinach, by powpisywać informacje do systemu.
