Zobacz inne artykuły:
zdjecie_aktualnosci
Podsumowanie I półrocza pracy szkoły – zadania i wyzwania
zdjecie_aktualnosci
Nowe rozporządzenia MEiN!
zdjecie_aktualnosci
Nowy przedmiot - Historia i teraźniejszość - główne założenia


Wytyczne dotyczące ochrony danych dzieci w środowisku edukacyjnym 
zdjecie_aktualnosci

Na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiło się nieoficjalne polskie tłumaczenie Wytycznych dotyczących ochrony danych dzieci w środowisku edukacyjnym. Wytyczne wyjaśniają kwestie związane z realizacją podstawowych zasad praw dziecka w placówkach edukacyjnych w kontekście ochrony danych osobowych. Sprawdź co zawiera dokument.

 

Charakter prawny wytycznych 

Środowisko cyfrowe na wiele sposobów kształtuje życie dzieci, w coraz większym stopniu w placówkach edukacyjnych, w których wykorzystuje się narzędzia przeznaczone do nauczania, nadzoru i oceny dzieci. Mając powyższe na uwadze na swoim 40. posiedzeniu plenarnym w dniach 18-20 listopada 2020 r. Komitet Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych przyjął Wytyczne dotyczące ochrony danych dzieci w środowisku edukacyjnym

Oryginalny tekst Wytycznych dostępnym  jest pod tym linkiem: https://rm.coe.int/t-pd-2019-6bisrev5-eng-guidelines-education-setting-plenary-clean-2790/1680a07f2b

Wersja polska (nieoficjalne tłumaczenie) dostępna jest pod tym linkiem: https://uodo.gov.pl/pl/file/3344

Wytyczne określają podstawowe zasady praw dziecka w placówkach edukacyjnych w kontekście wykorzystywania danych w środowisku cyfrowym (obejmującym technologie informacyjne i komunikacyjne (ICT), w tym Internet, technologie i urządzenia mobilne i powiązane, a także sieci cyfrowe, bazy danych, aplikacje i usługi).

 

Zalecenia wynikające z Wytycznych – najważniejsze zasady

 

Zalecenia dla ustawodawcy 

Zalecenia dla administratorów danych (również jednostek oświatowych)

Zalecenia dla branży edukacyjnej

1. Potrzeba regularnego przeglądu prawodawstwa, polityk i praktyki.

2. Zapewnienie środków skutecznego wsparcia dla praw dzieci, aby te zostały wysłuchane.

3. Zapewnienie reprezentacji dzieci, których dane dotyczą, przed organami nadzorczymi.

4. Ustanowienie procedur umożliwiających dzieciom wyrażanie siebie i wyrażanie swoich opinii w zakresie korzystania z prawa do prywatności w placówkach edukacyjnych oraz zapewnienie uwzględnienia ich poglądów.

5. Ułatwienie dziecku dostęp do środków odwoławczych w przypadku naruszeniu ich praw.

6Zapewnienie przeszkolenia personelu placówek edukacyjnych w celu zapewnienia odpowiedniej zdolności zrozumienia ich roli w należytej staranności oraz uwzględnienia prawa dziecka do bycia wysłuchanym.

7. Rozpoznanie i zintegrowanie praw dziecka w środowisku elektronicznym, również niepełnosprawnego

1. Obowiązek zapewnienia odpowiedniej ochrony danych i możliwości wykazania, że przetwarzanie danych jest zgodne z obowiązującymi przepisami.

2. Obowiązek rozliczalności  przetwarzania danych (ustanowienie uprawnień, obowiązków w zakresie przetwarzania danych jednostce, również w kontekście zawierania umów z dostawcami podmiotami przetwarzającymi dane).

3. Przetwarzanie danych  dziecka szczególnej kategorii tylko na podstawie przepisu prawa. Jeżeli przypisu nie ma to należy uzyskać świadomą i dobrowolnie wyrażoną zgodę od opiekuna prawnego dziecka.

4. Zgoda na przetwarzania danych dziecka nie może być nigdy domniemana.

5. Po osiągnieciu pełnoletności przez dziecko powinna być informowana o wszelkim trwającym przetwarzaniu danych na jej temat, na które wyraził zgodę opiekun prawny (aby móc skorzystać z prawa jako osoba pełnoletnia).

6. Umowy ze stronami trzecimi (np. dostawcą e-learningu lub aplikacją wymaganą przez placówkę edukacyjną) nie mogą być zawierane przez dzieci tylko prze placówki zgodnie z prawem o ochronie danych osobowych.

7. Umożliwienie prawa do nauki dla dziecka  jeżeli rodziny lub dziecko skorzystają z prawa do sprzeciwu wobec przetwarzania danych w narzędziach cyfrowych (chyba, że jest podstawa prawna przetwarzania danych w środowisku cyfrowym)

8. Administratorzy i podmioty przetwarzające nie udostępniają danych osobowych dzieci zebranych w trakcie ich edukacji, chyba że obowiązek ich przekazania wynika z przepisów  prawa.

9. Dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, jest zgodne, jeżeli cele są określone w pkt 50 sprawozdania wyjaśniającego z Konwencji 108+.

10. Zgodnie z prawem krajowym kodeksy postępowania powinny określać wytyczne dotyczące sytuacji, w których personel lub dzieci uzyskują dostęp do systemów oprogramowania edukacyjnego, baz danych lub innych produktów stron trzecich za pośrednictwem osobistych urządzeń elektronicznych lub z domu, a zatem łączą dane osobowe, w tym metadane, z życie prywatne i rodzinne z ich historią zawodową lub edukacyjną.

11. Dane są przetwarzane rzetelnie i w przejrzysty sposób. format może być dowolny, jeśli tylko rzetelnie i skutecznie zapewnia informacje osobie, której dane dotyczą.

12. Przekazanie informacji o wszystkich prawach nie tylko opiekunowi, ale również dziecku przed rozpoczęciem procesu zbierania danych (stosownie do jego rozwijających się zdolności).

13. Placówki edukacyjne powinny prowadzić i publikować na poziomie instytucji rejestr swoich czynności przetwarzana danych, listę partnerów, takich jak sprzedawcy i podwykonawcy, oceny skutków dla ochrony danych, informacje o prywatności oraz wszelkie zmiany warunków w czasie.

14. Placówki edukacyjne powinny zgłaszać UODO oraz samym osobom, których dane dotyczą – przypadki naruszeń danych i  udostępniać raporty z audytów w celu wykazania ich rozliczalności i przejrzystości przetwarzania danych stronom trzecim.

15. Oświadczenia o przetwarzanych danych osobowych powinny być dostępne na żądanie w ramach praw dostępu osoby.

16. Przed transgranicznym przepływem danych osobowych z zapewnieniem odpowiedniego stopnia ochrony należy poinformować osobę, której dane dotyczą, oraz jej opiekunów prawnych.

17. Administratorzy muszą ocenić prawdopodobny wpływ zamierzonego przetwarzania danych na prawa i podstawowe wolności dziecka, przed rozpoczęciem przetwarzania danych i zaplanować przetwarzanie danych w sposób zapobiegający lub minimalizujący ryzyko ingerencji w te prawa i podstawowe wolności.

18. Zakup narzędzi i usług, które przetwarzają dane dzieci, zapewnia poszanowanie dzieci jako osób, których dane dotyczą, oraz praw ich opiekunów prawnych.

19. Opinie dzieci powinny być częścią każdej przeprowadzanej oceny skutków dla praw dziecka w celu uwzględnienia ich punktu widzenia w odniesieniu do przetwarzania danych.

20. W momencie, gdy dziecko kończy naukę, należy przechowywać jedynie minimalną niezbędną ilość danych umożliwiających jego identyfikację, a także w najlepszym interesie dziecka, aby wykazać osiągnięcia, zabezpieczyć jego przyszłe prawa dostępu i wypełnić ustawowe zobowiązania.

21. Dane osobowe opuszczające placówkę edukacyjną nie powinny być przechowywane w formie umożliwiającej identyfikację dłużej niż to niezbędne.

22. Placówki edukacyjne nie powinny przechowywać danych osobowych w formie umożliwiającej identyfikację dłużej niż to niezbędne.

23. Po zakończeniu każdego etapu kształcenia obowiązkowego lub w przypadku zmiany placówki (dla wszystkich grup wiekowych, w przedszkolu, szkole podstawowej, średniej, dalszej i wyższej) najlepszą praktyką powinno być, aby dzieci otrzymywały pełną kopię swoich akt zawierających informacje o zatrzymywaniu danych osobowych i zniszczeniu, czyli aby uzyskały informacje, które dane osobowe są nadal zatrzymywane i przetwarzane, przez kogo, w jakim celu, po opuszczeniu placówki przez dziecko, a w każdym przypadku administratorzy danych muszą utrzymywać mechanizmy umożliwiające im wypełnianie bieżących obowiązków osobie, której dane dotyczą.

24. Środki bezpieczeństwa zabezpieczenia danych powinny uwzględniać aktualny stan wiedzy w zakresie metod 
i technik zabezpieczenia danych. Ich koszt powinien być współmierny do wagi i prawdopodobieństwa potencjalnego ryzyka. 

25. Środki ochrony stosowane wobec danych osobowych powinny opierać się na ocenie ryzyka zgodnie z normami branżowymi i najlepszymi praktykami oraz z wykorzystaniem ustalonych wskazówek technicznych (takich jak seria ISO 27000 i inne, w stosownych przypadkach).

26. Środki powinny być dostosowane do okoliczności przetwarzania i ryzyka, na jakie narażone są dzieci, a także powinny mieć na celu zapewnienie poufności, integralności, dostępności 
i autentyczności danych dzieci w każdym kontekście, w jakim są one przetwarzane, a także odporność systemów przetwarzania oraz usług.

27. Należy rozważyć, w jaki sposób użytkownicy-dzieci powinni uwierzytelniać się w systemach, w tym, czy jest to wymagane w kontekście przetwarzania, również z punktu widzenia ryzyka.

28. Można zastosować wiele poziomów ochrony (a nawet je połączyć). 

29. Wszelkie wprowadzone środki powinny być regularnie testowane i uwzględniać zmieniające się metody i techniki bezpieczeństwa danych oraz zagrożenia, a także podlegać regularnym przeglądom i aktualizacjom w razie potrzeby.

30. Profilowanie dzieci powinno być prawnie zabronione (ew. wyjątki ustawowe).

31. Osiągnięcia dzieci nie powinny być profilowane w celu pomiaru systemów, np. do mierzenia zarządzania wynikami szkoły lub nauczycieli

32. Administratorzy są odpowiedzialni za przeprowadzanie ocen skutków dla ochrony danych i prywatności. Oceny powinny uwzględniać szczególny wpływ na prawa dziecka.

33. Dane biometryczne nie powinny być rutynowo przetwarzane w placówkach edukacyjnych (wyjątki tylko w przepisach).

34. Placówki edukacyjne powinny zwracać szczególną uwagę na to, kiedy korzystanie z usługi stanowi umowę, na przykład w przypadku korzystania z oprogramowania do wideokonferencji, aby móc wdrażać programy nauczania na odległość, oraz w których pracownicy mogą wyrazić zgodę na warunki świadczenia usług, które obejmują przetwarzanie i nagrywanie treści, w tym obrazów dzieci 
i danych głosowych.

1. Standardy przetwarzania danych dzieci w sektorze edukacji powinny z założenia stawiać wysoko poprzeczkę, aby spełniać odpowiednie standardy jakości i praworządności, a także zasady ochrony danych w fazie projektowania i domyślnej ochrony danych.

2. Standardy mogą być określone w kodeksach postępowania i certyfikacji zgodnie z przepisami danego kraju.

3. Twórcy muszą upewnić się, że ich własne rozumienie wszystkich funkcji projektowanych przez nich produktów może być wystarczająco wyjaśnione, aby spełnić wymogi regulacyjne i prawne, oraz unikać tworzenia dużego ciężaru konieczności sprawdzenia z założenia, nieodpowiedniego dla personelu placówek edukacyjnych i dzieci.

4. Informacje dotyczące prywatności i inne opublikowane warunki, polityki i standardy społeczności muszą być zwięzłe i napisane jasnym językiem odpowiednim dla dzieci.

5. Dane dzieci zebrane za pomocą oprogramowania edukacyjnego owych nie powinny być przetwarzane w celu wyświetlania lub kierowania reklam.

 

Wiele z tych zaleceń jest już od dawna wdrożonych w związku z wprowadzeniem i obowiązywaniem RODO, natomiast wytyczne uczulają na branie pod uwagę również praw dziecka w przypadku przetwarzania ich danych w środowisku cyfrowym.

 

Dariusz Skrzyński

20-01-2020

 

ECRK s.c.
ul. Elektryczna 1/3 lok. 216
15-080, Białystok
Oddział Warszawa:
ul. Kabacki Dukt 18/7
 
Telefony

logo