Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY NA 3 KWIETNIA 2020
Praca zdalna a RODO
Opracował: Tomasz Ptak, magister prawa, trener, audytor, specjalista z zakresu ochrony danych osobowych, Inspektor Ochrony Danych. Posiada sześcioletnie doświadczenie jako trener, ma w swoim dorobku kilkaset godzin szkoleń z zakresu ochrony danych osobowych
Podstawa prawna:
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L. z 2016 r. Nr 119 poz. 1),
• Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe (t.j. Dz.U. z 2019 r. poz. 1148 ze zm.),
• Rozporządzenie MEN z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2017 r. poz. 1646 ze zm.).
Wybuch w Polsce epidemii wirusa COVID-19 (koronawirusa) postawił przed naszą oświatą nowe wyzwania. Jednym z nich jest nieprzerwane funkcjonowanie w warunkach kryzysu, a więc praca, w tym zapewnienie ciągłości realizacji zadań, w formie zdalnej.
Zdalne nauczanie wymaga zapewnienia bezpiecznych kanałów komunikacji, która przecież odbywa się za pomocą łączy internetowych – te z kolei z definicji są bardziej narażone na ingerencję z zewnątrz. Dlatego, nawet w warunkach kryzysowych (a może zwłaszcza w takich warunkach), należy zadbać o bezpieczeństwo danych osobowych i prywatności własne i uczniów.
Warto zaznaczyć, że przepis art. 30a ust. 2 Ustawy Prawo oświatowe stanowi, że nauczyciele są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów. Zobowiązane są do tego również inne osoby pełniące funkcje lub wykonujące pracę w placówkach oświatowych. W obecnej sytuacji kwestia bezpieczeństwa danych osobowych nabiera więc szczególnego znaczenia.
Wskazania w zakresie zdalnej pracy z uczniem
Należy korzystać ze sprawdzonych programów i platform wymiany przeznaczonych do edukacji, oferowanych przez producentów lub dostawców oprogramowania. Dobre narzędzie wymiany informacji i prac z uczniami oferuje Microsoft w pakiecie Office 365 https://www.microsoft.com/pl-pl/education/products/office.
Innymi platformami do wykorzystania są rekomendowane przez MEN: https://www.gov.pl/web/zdalnelekcje czy epodreczniki.pl.
Jeżeli placówka korzysta z wirtualnego dysku, na którym pracownicy dzielą się efektami pracy, umieszczając tam np. prezentacje, artykuły czy fotografie, musi mieć na uwadze bezpieczeństwo przechowywanych tam danych oraz lokalizację dysku. Nie może on znajdować się poza Europejskim Obszarem Gospodarczym.
Nauczyciel kontaktujący się z uczniem za pomocą komunikatorów z wykorzystaniem wizerunku online powinien pamiętać, by nie nagrywać sesji i nie przechowywać wizerunku ucznia. Przebieg zajęć musi zostać udokumentowany na papierze lub elektronicznie w dzienniku elektronicznym. Należy zadbać także o bezpieczeństwo łącza internetowego i nie korzystać z łącz nieszyfrowanych.
Na koniec, ponieważ danych gromadzonych na dyskach zewnętrznych (platformy edukacyjne, pokoiki czatowe, inne miejsca, na których zamieszczane są dane) czy też na dyskach lokalnych w komputerach nie można przechowywać w nieskończoność, należy pamiętać, by po zakończeniu roku szkolnego usunąć zebrane dane. Dotyczy to również korespondencji mailowej i załączonych plików.
Pamiętajmy, że, póki co, jedynym aktem regulującym prowadzenie dokumentacji nauczania jest Rozporządzenie w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji. Oznacza to, że przebieg zajęć prowadzonych w formie zdalnej i elektronicznej musi znaleźć odzwierciedlenie w tej dokumentacji.
Zdalna praca świadczona przez pracownika
Kierując pracownika do pracy zdalnej, dyrektor placówki musi pamiętać, że w związku z tak świadczoną pracą zapewne będzie miało miejsce przetwarzanie danych osobowych.
Z sytuacją taką mamy do czynienia np.:
• w czasie pracy z dziennikiem elektronicznym w chmurze,
• przy odbieraniu na domowym komputerze czy smartfonie poczty służbowej,
• podczas pracy na platformach np. ePUAP, ZUS PUE, dziennik elektroniczny itp.
• podczas pracy w programach w chmurze, związanych z obowiązkami z zakresu kadr, pracy sekretariatu czy wystawiania faktur,
• podczas wymiany korespondencji pomiędzy nauczycielem a uczniem za pomocą elektronicznych środków komunikacji,
• w czasie zdalnego prowadzenia zajęć,
• gdy do domu zabierane są dokumenty papierowe,
• gdy pracownik łączy się z domu zdalnie z komputerem w miejscu pracy,
• gdy pracownik korzysta z łącza VPN.
Niezależnie jednak od tego, czy dane osobowe będą przetwarzane, czy też nie, w związku z organizacją pracy poza siedzibą, Administrator (placówka) powinien wziąć pod uwagę, poza ryzykami, które występują u pracodawcy, także te, które mogą pojawić się przy pracy z domu, i podjąć odpowiednie działania, by maksymalnie je ograniczyć. Takimi zagrożeniami mogą być np.:
• pozostawienie włączonego komputera z dostępem do danych innemu domownikowi lub innej nieupoważnionej osobie,
• pozostawienie zapisanego hasła w systemie,
• pozostawienie w mieszkaniu dokumentów, zarówno w formie elektronicznej, jak i papierowej, niezabezpieczonych przed dostępem domowników lub innych osób postronnych,
• przekazanie innej osobie smartfona, na którym odbieramy służbową pocztę e-mail,
• pozostawienie laptopa, smartfona, nośnika z danymi czy też jakiejkolwiek dokumentacji papierowej zawierającej dane osobowe w miejscu, które jest łatwo dostępne dla osób postronnych, np. w widocznym miejscu w samochodzie w trakcie robienia zakupów,
• możliwość utraty przenoszonego laptopa, smartfona, nośnika z danymi czy dokumentacji papierowej,
• narażenie na dostęp do danych (w tym transmisji online z uczniami) lub kradzież danych podczas korzystania z niezabezpieczonego łącza internetowego,
• rozmowy w miejscach publicznych dotyczące wykonywanej pracy, rozmowy o uczniach.
W tych sytuacjach należy liczyć przede wszystkim na świadomość pracownika, jednak jeżeli ten nie został wcześniej przeszkolony i poinformowany o swoich obowiązkach może powielać zachowania niewłaściwe. Wykonywanie pracy w domu (poza siedzibą pracodawcy) niekiedy daje poczucie rozluźnienia.
Pracownika należy więc uświadomić, że pracując zdalnie, ma takie same obowiązki, jak wtedy, gdy świadczy pracę w poradni. Również zagrożenia dla bezpieczeństwa danych nie są wówczas mniejsze.
Jeśli uwzględni się przepisy o ochronie danych osobowych, niezależnie od miejsca i sposobu ich przetwarzania, administrator musi stosować adekwatne do sytuacji środki ochrony technicznej i organizacyjnej. Oznacza to, że powinien być w stanie wykazać, że przestrzega podstawowych zasad RODO i dysponować dowodem na to, że przyjęte środki są faktycznie adekwatne i zostały odpowiednio wdrożone.
Pracownik natomiast powinien zagwarantować, że pracując w domu, zapewnia danym ochronę przed ich niedozwolonym lub niezgodnym z prawem użyciem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
Rekomendacje dotyczyć muszą zarówno sytuacji, gdy pracownik pracuje w warunkach domowych na urządzeniu służbowym, jak i prywatnym.
Służbowe urządzenie przekazywane pracownikowi do pracy w domu
Obowiązki pracodawcy
Służbowy komputer przeznaczony do pracy w trybie „pracy domowej” celem zapewnienia adekwatnego poziomu bezpieczeństwa, powinien spełniać co najmniej poniższe kryteria:
• posiadać indywidualny login oraz hasło dostępu do systemu (należy rozważyć możliwość dwustopniowego logowania),
• użytkownik nie może posiadać uprawnień administratora,
• w miarę możliwości zapewnić należy łączenie się z internetem i szkolną siecią za pośrednictwem bezpiecznego łącza VPN,
• urządzenie powinno mieć włączony wygaszacz ekranu uruchamiający się po kilku minutach bezczynności,
• na urządzeniu powinien być zainstalowany aktualny program antywirusowy z firewallem.
Wydając komputer czy jakiekolwiek inne urządzenie, dyrektor szkoły powinien zadbać o to, aby wydanie to udokumentować. Użytkownik podpisuje np. „Kartę wydania sprzętu” z pełną specyfikacją techniczną (hardware), jak i specyfikacją zainstalowanego oprogramowania.
Obowiązki pracownika
Użytkownik (nauczyciel, pracownik administracji, itd.) powinien zadbać o następujące minima bezpiecznego użytkowania sprzętu:
• urządzenia i oprogramowanie przekazane przez pracodawcę do pracy zdalnej powinny być wykorzystywane tylko do wykonywania obowiązków służbowych,
• pracując na urządzeniu, użytkownik będzie postępował zgodnie z zasadami bezpieczeństwa przyjętymi u pracodawcy,
• użytkownik nie instaluje dodatkowych aplikacji i oprogramowania,
• urządzenie nie będzie udostępniane innym osobom.
Komputer prywatny wykorzystywany przez pracownika do pracy zdalnej
Obowiązki pracodawcy
Jeżeli pracownik wykonuje pracę zdalną na własnym sprzęcie komputerowym, to przede wszystkim może się to odbywać wyłącznie za jego dobrowolną zgodą. Pracodawca musi tę zgodę pozyskać. Należy pamiętać, że pracownik, udostępniając komputer prywatny do pracy służbowej, łącząc się przez internet z siecią pracodawcy (np. poprzez podanie adresu IP), dopuszcza do sytuacji, w której pracodawca może wejść w jego obszar prywatności zyskać dostęp do danych przechowywanych na jego komputerze (dotyczy to oczywiście szkół korzystających z takiego rozwiązania).
Pracownik, zgadzając się na udostępnienie swego komputera do pracy zdalnej, powinien zostać poinformowany o możliwości ingerencji pracodawcy w urządzenie pracownika, o przetwarzaniu przez administratora dodatkowych danych osobowych, jakim jest adres IP oraz o możliwości zbierania informacji z systemu i możliwości wglądu w dane na urządzeniu. Aby dopuścić prywatny sprzęt do użytku służbowego, należy zadbać o jego odpowiednie zabezpieczenie i sprawdzenie.
Obowiązki pracownika
Pracownik z kolei, zgadzając się na udostępnienie swego urządzenia pracodawcy, musi zapewnić:
• legalność oprogramowania – dotyczy to zarówno systemu operacyjnego, jak i konkretnych systemów informatycznych i aplikacji; należy pamiętać, że nie każde oprogramowanie i licencja mogą być wykorzystywane do celów biznesowych czy służbowych,
• posiadanie oprogramowania antywirusowego,
• aktualność zarówno oprogramowania systemowego, jak i antywirusowego,
• instalację na komputerze/laptopie aplikacji z zaufanych źródeł (Google Play, App Store),
• oddzielne konto do logowania się na komputerze, przynajmniej w okresie świadczenia pracy zdalnej.
Ważne!
Niezależnie od sposobu wykonywania pracy zdalnej pracownik musi także zadbać o:
• bezpieczeństwo łączenia z internetem – użytkownik korzysta tylko z bezpiecznych, zabezpieczonych hasłem łącz internetowych nieudostępnianych innym użytkownikom,
• bezpieczne przechowywanie haseł – użytkownik przechowuje hasła w sposób bezpieczny i nie udostępnia ich osobom postronnym,
• loginy i hasła, które nie mogą być zapisywane w ustawieniach systemowych czy w ustawieniach przeglądarek internetowych,
• bezpieczną pracę w pomieszczeniu – osoby postronne nie powinny mieć dostępu do dokumentów zarówno papierowych, jak i elektronicznych (na ekranie komputera), nad którymi pracuje,
• niekorzystanie z publicznie dostępnych połączeń internetowych,
• natychmiastowe informowanie administratora o wszelkich naruszeniach związanych z przetwarzaniem danych.
Dalsze obowiązki pracodawcy
Administrator, jako pracodawca nauczyciela czy pracownika administracji, musi zadbać o to, aby został on poinformowany o zagrożeniach, jakie mogą się wiązać z pracą zdalną. Można je przedstawić na udokumentowanym spotkaniu, podczas którego pracownik zapozna się z potencjalnymi ryzykami i stosowanymi przez pracodawcę środkami bezpieczeństwa. Taka informacja może także zostać przedstawiona drogą elektroniczną – pocztą e-mail lub poprzez dziennik elektroniczny.
Jak postępować z korespondencją mailową?
W trakcie wykonywania pracy zdalnej należy używać przede wszystkim służbowych kont
e-mail. Zarówno pracodawca, jak i pracownik powinni postępować zgodnie z podstawowymi zasadami, mając na uwadze następujące zagadnienia:
• dane powinny być wysyłane tylko jako załączniki szyfrowane,
• przed wysłaniem e-maila powinniśmy upewnić się, że dane wysyłane są do właściwego adresata,
• należy dokładnie sprawdzić nadawcę każdej wiadomości e-mail,
• nie powinno się otwierać wiadomości od nieznanych adresatów,
• wysyłając dane do wielu odbiorców, należy zadbać o ukrycie ich adresów,
• dane przesyłane kanałami elektronicznej wymiany danych powinny być szyfrowane (np. hasłem przy „pakowaniu” pliku),
• haseł do plików nie należy przekazywać tym samym kanałem, co same pliki; jeśli zaszyfrowany plik wysyłany jest pocztą elektroniczną, hasło należy wysłać
SMS-em lub przekazać w rozmowie telefonicznej.
Dokumenty papierowe – zalecenia
Pracodawca powinien w miarę możliwości unikać sytuacji, w których dokumenty papierowe wynoszone są poza placówkę. Odpowiednio zabezpieczone dokumenty można bowiem przekazywać w postaci skanów, zdjęć czy w postaci gotowych baz danych. Po wykorzystaniu przez pracownika danych przekazanych do realizacji zadania w postaci cyfrowej, dokumenty powinny zostać trwale usunięte z komputera. Jeśli wystąpi konieczność przekazania dokumentów papierowych, należy zadbać o ich bezpieczny transport i zabezpieczenie ich w domu przed osobami nieuprawnionymi lub, w miarę możliwości, pracować na kopiach.
Pracownicy powinni zostać poinformowani, że nie wolno im składować w domu kserokopii dokumentów służbowych. Jeśli to tylko możliwe, powinni przekazywać je (dbając o bezpieczeństwo swoje, ale także dokumentów) do zniszczenia w miejscu pracy (placówce). Warto także pamiętać, aby nie kopiować lub drukować dokumentów służbowych w przypadkowych punktach ksero.
Podsumowanie
Podsumowując rozważania, należy podkreślić przede wszystkim, że „stan wyższej konieczności” (celowo stosuję tu cudzysłów, ponieważ używam tego sformułowania w sensie potocznym, a nie prawnym), jakim jest wykonywania pracy zdalnej przez pracowników placówki, nie zwalnia nikogo z obowiązku zapewnienia bezpieczeństwa danych osobowych w trakcie świadczenia pracy czy prowadzenia zajęć.
Co więcej, wydaje się, że bezpieczeństwo danych jest tym ważniejsze, gdy w internecie pojawia się coraz więcej prób „oszustwa na koronawirusa”, polegającego na oferowaniu usług po niewspółmiernie wysokich cenach, wykorzystywaniu sytuacji przymusowych lub próbach wyłudzeń danych osobowych czy infekowania urządzeń.
Ogólne Rozporządzenie o Ochronie Danych podkreśla szczególną wagę ochrony danych osób małoletnich w dobie społeczeństwa informacyjnego. Sytuacja zagrożenia, np. pandemicznego, nie tylko nie stoi z tym w sprzeczności, ale i wyraźnie taką konieczność wzmaga.
