Ochrona danych osobowych w dzienniku elektronicznym – RODO w przedszkolach i żłobkach

‍Wprowadzenie

‍Wprowadzenie dzienników elektronicznych w przedszkolach i żłobkach wiąże się z obowiązkiem przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO), które obowiązuje od 25 maja 2018 roku. Placówki te przetwarzają dane dzieci, ich rodziców oraz personelu, co nakłada obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa tych informacji. Wdrożenie narzędzi elektronicznych niesie ze sobą wiele korzyści organizacyjnych, takich jak ułatwienie kontaktu z rodzicami czy lepsze monitorowanie postępów edukacyjnych dziecka. Jednocześnie jednak wprowadza konieczność dopilnowania, aby wszelkie procedury związane z przetwarzaniem danych były w pełni zgodne z przepisami prawa. RODO wskazuje na konieczność uwzględnienia m.in. zasad ograniczenia celu, minimalizacji danych oraz przejrzystości, co oznacza, że przedszkola i żłobki muszą wdrożyć odpowiednie polityki i środki techniczne, które zapewnią ochronę informacji wrażliwych.

Podstawa prawna przetwarzania danych

Przedszkola i żłobki są zobowiązane do prowadzenia dokumentacji związanej z procesem nauczania i opieki. Podstawą prawną przetwarzania danych w dzienniku elektronicznym jest art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Oprócz samego RODO, placówki mogą się również opierać na krajowych przepisach regulujących funkcjonowanie systemu oświaty i instytucji opiekuńczych. Podstawą może być też m.in. ustawa o systemie oświaty i przepisy wykonawcze, które szczegółowo określają zakres informacji wymaganych w dokumentacji związanej z edukacją i opieką. Administrator (dyrektor placówki) musi zatem pamiętać, że przetwarzanie danych jest dozwolone wyłącznie w sytuacji, gdy wynika to z przepisów prawa lub gdy posiada wyraźną zgodę osoby, której dane dotyczą – o ile jest ona w danym kontekście wymagana (np. w przypadku dodatkowych danych wykraczających poza ustawowe obowiązki).

Zakres danych przetwarzanych w dzienniku elektronicznym

‍Dzienniki elektroniczne zawierają podstawowe dane osobowe dzieci: imię i nazwisko, data urodzenia, PESEL oraz szczegółowe informacje dotyczące obecności, postępów edukacyjnych i wychowawczych. Dane te powinny być ograniczone jedynie do tych niezbędnych dla realizacji celów placówki. Poza danymi identyfikacyjnymi i informacjami o frekwencji, w dziennikach elektronicznych często pojawiają się również dane na temat wyników w nauce, uwagi wychowawcze czy informacje medyczne (np. dot. alergii) – jeżeli są one konieczne do odpowiedniego sprawowania opieki. Zasada minimalizacji danych nakazuje jednak, aby rejestrować wyłącznie te informacje, które są nieodzowne do osiągnięcia celu, jakim jest prawidłowa opieka i edukacja dzieci. Przetwarzanie nadmiarowych danych osobowych, szczególnie tych wrażliwych, stanowiłoby naruszenie przepisów RODO.

‍

Obowiązki dyrektora jako administratora danych

‍Dyrektor przedszkola lub żłobka pełni rolę administratora danych osobowych i jest odpowiedzialny za:

1. Informowanie rodziców o celu przetwarzania danych oraz ich prawach.
2. Zapewnienie odpowiednich środków bezpieczeństwa przed utratą lub nieuprawnionym dostępem.
3. Minimalizację zakresu danych osobowych przetwarzanych w placówce.

Odpowiedzialność dyrektora obejmuje także bieżący nadzór nad przestrzeganiem przepisów w placówce i reagowanie na ewentualne zgłoszenia naruszeń bezpieczeństwa. W praktyce oznacza to konieczność opracowania szczegółowych procedur postępowania z danymi, wyznaczenia osób odpowiedzialnych za obsługę dziennika elektronicznego, a także organizowania regularnych szkoleń dla nauczycieli i pracowników administracyjnych, aby wszyscy mieli aktualną wiedzę na temat dobrych praktyk w zakresie ochrony danych.

‍

Prawa rodziców i opiekunów

‍Rodzice i opiekunowie mają zapewnione prawa zgodnie z RODO, w tym:

• Prawo dostępu do danych osobowych dziecka, prawo do otrzymania ich kopii,
• Prawo do sprostowania niekompletnych lub błędnych danych,
• Prawo do ograniczenia przetwarzania danych osobowych.

Dodatkowo rodzice mają prawo żądać wyjaśnień w kwestii tego, które dane są przetwarzane i w jakim celu. Jeżeli rodzic uzna, że placówka przetwarza dane w sposób nieadekwatny bądź niezgodny z przepisami, może on zwrócić się o interwencję do dyrektora albo do Inspektora Ochrony Danych (jeżeli został wyznaczony). W skrajnych przypadkach przysługuje również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

‍

Wdrożenie dziennika elektronicznego zgodnie z RODO

‍Wdrożenie dziennika elektronicznego zgodnie z RODO wymaga realizacji następujących kroków:

1. Analiza ryzyka – identyfikacja zagrożeń związanych z przetwarzaniem danych osobowych.
2. Regularne szkolenia dla personelu z zakresu ochrony danych osobowych.
3. Zapewnienie zgodności systemu informatycznego z wymaganiami RODO.

W ramach analizy ryzyka placówka powinna prześledzić cały „cykl życia” danych w systemie – od momentu ich wprowadzenia do dziennika, przez przechowywanie i przetwarzanie, aż po ewentualne usunięcie. Następnie należy wdrożyć konkretne środki zapobiegające nieuprawnionemu dostępowi, np. system haseł czy szyfrowanie transmisji danych. Regularne szkolenia nauczycieli i pozostałego personelu pozwalają uniknąć błędów ludzkich, które w praktyce są jedną z najczęstszych przyczyn naruszeń ochrony danych (np. niewylogowanie się z systemu po zakończonej pracy).

‍

Inspektor Ochrony Danych (IOD)

‍Zgodnie z art. 37 RODO placówki publiczne są zobowiązane do wyznaczenia Inspektora Ochrony Danych (IOD). Osoba ta musi posiadać odpowiednią wiedzę i kwalifikacje w zakresie prawa i praktyk ochrony danych oraz być niezależna w pełnieniu swojej funkcji.
Rola IOD nie sprowadza się jedynie do kontroli wewnętrznej – jest on także punktem kontaktowym dla rodziców i pracowników w sprawach związanych z przetwarzaniem danych osobowych. IOD może uczestniczyć w opracowywaniu i aktualizowaniu polityk bezpieczeństwa, opiniować projekty umów powierzenia przetwarzania danych (np. z dostawcą oprogramowania dziennika elektronicznego) oraz monitorować zmiany w przepisach prawa. Dzięki temu placówka jest na bieżąco z obowiązującymi regulacjami i może skutecznie chronić dane osobowe.

Bezpieczeństwo przetwarzania danych

‍Administrator jest zobowiązany zapewnić bezpieczeństwo danych poprzez zastosowanie środków technicznych, takich jak pseudonimizacja, szyfrowanie oraz regularne testowanie i ocenę skuteczności środków bezpieczeństwa. W kontekście dziennika elektronicznego szczególnie istotne jest zapewnienie bezpiecznego logowania (np. używanie silnych haseł), szyfrowania danych podczas transmisji (https) oraz zabezpieczanie infrastruktury IT przed atakami z zewnątrz. Ważną kwestią jest również system kontroli dostępu – nie każdy pracownik powinien mieć wgląd w pełną bazę danych dzieci. Zasada przyznawania minimalnych uprawnień pozwala ograniczyć ryzyko nieautoryzowanego wglądu lub zmiany danych.

‍

Obowiązek informacyjny wobec rodziców

‍Przedszkole lub żłobek musi jasno i zrozumiale przekazać rodzicom informacje dotyczące przetwarzania danych osobowych ich dzieci, celach przetwarzania oraz przysługujących im prawach zgodnie z art. 13 i 14 RODO. Ważne jest, aby sposób informowania był dostosowany do odbiorców. W praktyce oznacza to konieczność przygotowania przejrzystych klauzul informacyjnych – zarówno w wersji papierowej (np. przy wypełnianiu dokumentów zgłoszeniowych), jak i elektronicznej (np. na stronie internetowej placówki). W klauzuli tej należy wskazać m.in. dane administratora, dane kontaktowe IOD, cele przetwarzania i podstawę prawną, okres przechowywania danych, a także prawa przysługujące rodzicom i dzieciom. Placówka powinna zadbać, by informacje te były regularnie aktualizowane i w razie potrzeby łatwo dostępne.

‍

Podsumowanie

‍Przestrzeganie przepisów RODO w przedszkolach i żłobkach zapewnia ochronę praw dzieci, rodziców oraz personelu. Jest to kluczowe dla prawidłowego funkcjonowania placówek oraz budowania zaufania rodziców. Każda placówka powinna pamiętać o regularnym szkoleniu personelu oraz współpracy z dostawcą oprogramowania w celu zapewnienia pełnej zgodności z wymogami RODO.  Odpowiednie wdrożenie i utrzymanie dziennika elektronicznego nie tylko pomagają w zarządzaniu danymi, ale również wspierają transparentność funkcjonowania placówki. Dzięki jasno określonym zasadom i przejrzystej komunikacji z rodzicami, szkoła lub żłobek może efektywnie wykorzystywać nowe technologie, jednocześnie przestrzegając wymagań dotyczących prywatności i bezpieczeństwa. Regularny przegląd procedur, aktualizacja dokumentacji oraz współpraca z Inspektorem Ochrony Danych pomogą uniknąć ewentualnych sankcji i utrzymać wysoki poziom ochrony informacji.

‍

Bibliografia

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych – RODO).
2. Poradnik RODO. (sierpień 2018). Wydany przez Urząd Ochrony Danych Osobowych (UODO).
3. Ustawa z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U. 2017 poz. 59 z późn. zm.).
4. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.).

‍