Nie proście rodziców o zgodę!

Technicznie pomału przywykamy do nowej e-szkoły. Zaczynają się więc pojawiać myśli – a może powinniśmy mieć zgodę od rodziców? A więc NIE, nie tylko nie powinniśmy, ale wręcz nie wolno tego robić!

Dlaczego? Już objaśniam.

Co to jest zgoda?

Zacznę od definicji z RODO (artykuł 4, definicja 11):

„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

Wytłuściłem kluczowe dla tej sytuacji sformułowanie: dobrowolne okazanie woli.

Spójrzmy teraz do Artykułu 7, który określa szerzej warunki wyrażenia zgody. W punkcie 3 znajdujemy taki zapis:

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. […] Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Mamy więc czarno na białym, że wyrażenie zgody musi być dobrowolne i świadome, a zgoda może być w każdej chwili wycofana i innej interpretacji tych zapisów nie widzę.

Zgoda wyrażana szkole

Aby zgoda była dobrowolna, musielibyśmy zapewnić to, że rodzic/uczeń bez żadnych konsekwencji może tej zgody nie wyrazić. Czy w przypadku wdrażania platformy do zdalnego nauczania chcemy iść tą drogą? Jasne – można sobie wyobrazić przypadek zajęć dodatkowych, dobrowolnych, organizowanych przez nauczyciela w formie kółek zainteresowań (choć i wtedy zastanowiłbym się nad inną przesłanką). Nie widzę jednak dobrowolności zgody w sytuacji, w której Szkoła stoi na pozycji siły wobec rodzica czy ucznia i organizuje normalne, regularne zajęcia.

Załóżmy, że 1/3 rodziców zgody nie wyrazi, a kolejna 1/8 zgodę wycofa po czasie. Co wtedy? Skoro pobraliśmy zgodę i oparliśmy nasze przetwarzanie na artykule 6.1.a RODO, to musimy te prawa respektować i brak zgody lub jej wycofanie przyjmować. Bez szemrania i równie łatwo jak wyrażenie zgody.

Z tego powodu zgody można pobierać jedynie, jak już pisałem, na całkowicie dobrowolne i dodatkowe zajęcia.

(Innym polem na zgody w szkole jest przetwarzanie danych w celu promocji placówki. Od lat pobieramy zgody na to, aby zdjęcia, nazwiska i osiągnięcia uczniów publikować na internetowych stronach lub nawet przekazywać do państwa trzeciego (np. do portali społecznościowych). Tu możemy zapewnić dobrowolność zgody, po prostu niektórych uczniów pomijamy w tych raportach lub anonimizujemy – pisząc np. Jeden z uczniów naszej szkoły zdobył pierwsze miejsce w skoku w bok na odległość).)

Zdecydowanie jednak e-szkoła do dobrowolnych nie należy. Dlatego pobieranie zgody jest tu zupełnie niewskazane. Co gorsza, jest w mojej ocenie zabronione, bo wprowadza rodzica w błąd.

Jak więc żyć, panie inspektorze?

Myślę, że bardzo prosto i bez zbędnych ruchów. Wiele szkół od lat stosuje już e-dziennik, na którego wykorzystanie zgód raczej nie pobierano. Na przykładzie e-dziennika zastanówmy się więc, jak wyglądało przetwarzanie danych.

  1. Szkoła od dziesięcioleci przetwarza dane ucznia w konkretnych celach określonych w przepisach krajowych. W największym stopniu na podstawie ustawy Prawo Oświatowe rozbudowanej  o różne akty wykonawcze, ale także innych ustaw, jak choćby ustawa o systemie informacji oświatowej (SIO) itp.
  2. W związku z przetwarzanymi danymi, Szkoła podejmuje decyzje o zmianie FORMY przetwarzania z formy papierowej na formę elektroniczną. Cel przetwarzania się tu nie zmienia. Nadal przetwarzamy dane w celu realizacji obowiązków prawnych (artykuł 6.1.c RODO). Zmienia się jedynie forma.
  3. RODO nie zakazuje żadnej formy przetwarzania, wymaga jednak aby ta forma była bezpieczna dla osób, których dane są przetwarzane. Dlatego:
    1. Szkoła podejmując decyzję o wdrożeniu e-dziennika.
    2. Szkoła przeprowadza analizę ryzyka, wyszukuje mniej lub bardziej realne zagrożenia i na tej podstawie decyduje o wyborze dostawcy tego rozwiązania. Czyli mówiąc po ludzku – dobiera tak operatora, żeby to gwarantowało największe bezpieczeństwo osób, których dane są przetwarzane.
    3. Szkoła zawiera umowę z dostawcą tego rozwiązania. Umowa ma być zgodna z artykułem 28 RODO, a dostawca  staje się podwykonawcą, czyli fachowo mówiąc podmiotem przetwarzającym (ang. processor)
    4. Szkoła wprowadza procedury bezpieczeństwa i organizuje szkolenia dla nauczycieli oraz administracji.
    5. Szkoła prowadzi stały nadzór (także ten wykonywany przez Inspektora) nad funkcjonowaniem systemu, a dostawca rozwiązania ma również (wynikające z art. 28 RODO) obowiązki zapewniania bezpieczeństwa oraz natychmiastowego powiadamiania Szkoły o zaistniałych naruszeniach.

Tym sposobem, e-dziennik funkcjonuje legalnie i bezpiecznie w oparciu o przepisy prawa, a nie zgodę któregokolwiek z rodziców. I jeżeli teraz pod wyżej opisaną procedurę podłożymy dowolną wykorzystywaną w szkolę platformę e-nauczania, rozumowanie pozostanie takie samo.

  1. Szkoła podejmuje decyzję o wdrożeniu rozwiązania e-nauczania.  Jasne, jest tu „przyciśnięta” presją różnych zmieniających się spec-przepisów, ale na chwilę pisania tego tekstu, przepisy nie mówią wprost o e-nauczaniu, a o nauczaniu zdalnym, więc w ogólności Szkoła może podjąć decyzję o nauczaniu korespondencyjnym (np. z wykorzystaniem Poczty Polskiej).
  2. Szkoła przeprowadza analizę ryzyka, wyszukuje mniej lub bardziej realne zagrożenia i na tej podstawie decyduje o wyborze dostawcy rozwiązania e-learningowego. Oczywiście – tak błyskawicznych decyzji w wykonaniu szkolnym to ja jeszcze nigdy nie widziałem, dlatego właśnie już parę(naście) dni temu nawoływałem aby spokojnie podejść do sprawy.
  3. Szkoła zawiera umowę z dostawcą tego rozwiązania. Specjalnie napisałem „zawiera” a nie „podpisuje”, bo umowy te są umowami zazwyczaj elektronicznymi.
    1. Pakiety takie jak Office365 dla Edukacji czy G Suite dla Szkół i Uczelni (obydwa darmowe i to darmowe od lat, a nie w ramach wirusowej promocji) dostarczają elektroniczną umowę.
    2. Umowa ta w mojej ocenie zgodna z art. 28 RODO.  Podobne zdanie ma inspektor Mariusz Stasiak Vel Stasek, który potwierdza to w artykule: OFFICE 365 DLA EDUKACJI JAKO ROZWIĄZANIE DO ZDALNEGO NAUCZANIA – CZY TO ZGODNE Z RODO? O umowie mówi też przedstawiciel Microsoftu w czasie Webinaru nadawanego przez OEIiZK.
    3. Inne platformy e-learningowe również takie umowy mogą dostarczać. O ile więc Szkoła zadbała o właściwy wybór narzędzia, to dostawca narzędzia staje się podwykonawcą (podmiotem przetwarzającym).
  4. Szkoła wprowadza procedury bezpieczeństwa i organizuje szkolenia dla nauczycieli oraz administracji. No dobra, wiem – obecnie sytuacja wygląda mniej więcej tak, dlatego Inspektorzy wyglądają teraz mniej więcej tak, jak na ilustracji obok. Ale załóżmy, że Mamy To. (O zasadach bezpieczeństwa możesz też przeczytać w artykule: 5 zasad bezpiecznej chmury autorstwa Adama Bartosiewicza).
  5. Szkoła prowadzi stały nadzór (także ten wykonywany przez Inspektora) nad funkcjonowaniem systemu, a dostawca rozwiązania ma również (wynikające z art. 28 RODO) obowiązki zapewniania bezpieczeństwa oraz natychmiastowego powiadamiania Szkoły o zaistniałych naruszeniach.

Słowa-klucze

Najbardziej kluczowe słowo w całym rozważaniu to Szkoła. Nigdzie nie użyłem słowa Nauczyciel! Nie jest on bowiem w żaden sposób upoważniony do podejmowania decyzji i działań w imieniu szkoły. Jako specjalista od nauczania, nauczyciel może, a nawet powinien, podsuwać Szkole swoje pomysły. Ostatecznie nie on jednak podejmuje decyzje.

W imieniu Szkoły najczęściej decyzje podejmuje Dyrektor. Aczkolwiek unikam tego słowa, bo są przypadki, gdy jest to p.o. dyrektora, wicedyrektor lub nawet wyznaczony nauczyciel. Za każdym razem jednak jest to jasno określona osoba, której wolno to robić.

Innym słowem-kluczem jest bezpieczeństwo osób, których dane dotyczą. Platforma musi być wiec dobierana z rozwagą.

A co z systemami, w których nie ma danych?

Nauczyciele często stosują platformy nauczania, na które uczeń wchodzi anonimowo i anonimowo przyswaja różne treści. Przykładem jest  prowadzony przeze mnie kanał U źródeł programowania, na którym odbiorca pozostaje w zasadzie w pełni anonimowy, bo oglądanie filmów możliwe jest także bez konta YouTube. W tym wypadku możemy sobie pozwolić na większą swobodę. Trzeba jednak pamiętać, że niestety w dzisiejszych czasach całkowicie nie przetwarzających danych platform nie ma i taki YouTube również profiluje swojego widza.

Musimy także mieć świadomość, że chronimy nie tyle dane osobowe, a stojące za nimi osoby. Jeżeli więc wpuszczamy ucznia w takie czy inne miejsce, nawet jeżeli jest to miejsce umożliwiające anonimowe wejście, to pytanie jakie jest to miejsce. Mówiąc obrazowo – żaden nauczyciel chyba nie wpadnie na pomysł publikowania e-lekcji w serwisie porno, nawet jeśli wejście tam jest dostępne anonimowo. Tak więc analiza bezpieczeństwa samego miejsca jako takiego, nadal pozostaje istotna, nawet jeżeli danych bezpośrednio tam nie przetwarzamy.

(W tym miejscu myślę, że warto się zapoznać również z opisem co to są dane osobowe, bo nie zawsze osoby nie związane z branżą dobrze rozpoznają sytuację, w której dane nie są przetwarzane).

Uczeń może być także narażony na różne ataki phishingowe, czyli takie, w których ktoś podszywa się pod prawdziwego dostawcę. Jeżeli przyzwyczaimy ucznia do tego, że ma on wchodzić na mnóstwo różnych platform, może on łatwiej przegapić próby oszustwa. Dlatego zalecam ostrożność w tym zakresie, oraz ograniczenie się do żelaznego zestawu najbardziej przydanych rozwiązań.

Podsumowując

Zgód od rodziców nie zbieramy, nie dlatego że ich nie szanujemy albo ignorujemy, ale dlatego, że zbieranie zgód byłoby tu błędem prawnym, a dobrowolność pozostała by fikcją.

Wybierając platformę przetwarzającą dane, wdrażamy prawne i techniczne mechanizmy zapewniające maksimum bezpieczeństwa, także bezpieczeństwa osobowego, a nie tylko danych jako takich.

Informujemy rodziców o wykorzystywanych rozwiązaniach oraz wyjaśniamy zasady ich wykorzystywania, a także podajemy kontakt do Inspektora (art. 38 ust.4 RODO).

A przede wszystkim – zapewniamy aby inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38. ust. 1 RODO).

Przemysław Adam Śmiejek

 


Autoreklama: Prowadzę kanał U źródeł programowania z darmowymi treściami edukacyjnymi.


Jeżeli nie chcesz przegapić żadnego nowego artykułu albo informacji o planowanych przez nas działaniach, zachęcamy do zapisania się na powiadomienia e-mailowe.




Author: Przemysław Adam Śmiejek

Chrześcijanin, żeglarz, inspektor ochrony danych (IOD, DPO), edukator, youtuber. Od 2000 roku prowadzę przedsiębiorstwo informatyczne, a od 2011 roku zajmuję się ochroną danych w placówkach oświatowych. Od 25 maja 2018 pracuję jako Inspektor ochrony danych.