Podsumowanie ankiety – Rodo w szkole

W naszej ankiecie wzięło udział kilkudziesięciu dyrektorów obecnych na Kongresie, przedstawiamy wyniki Państwa odpowiedzi.

 
Z ankiet wynika, że największą grupę dyrektorów stanowili dyrektorzy przedszkoli – co bardzo cieszy, gdyż RODO kładzie spory nacisk na ochronę prywatności osób niepełnoletnich.

Następne pytania miały na celu określenie, jakie zbiory danych wrażliwych (szczególne kategorie w/g art. 9 RODO) mogą znajdować się w badanych placówkach i tak:

Dziwić może zakwalifikowanie monitoringu wizyjnego do tej części analizy, ale proszę pamiętać, że dane szczególnych kategorii to min. „pochodzenie rasowe lub etniczne”. Niewątpliwie wizerunek może być nośnikiem takich danych. Kolor skóry, szczegóły ubioru czy charakterystyczna fryzura może zdradzać rasę osoby, wyznanie a także jej pochodzenie etniczne. Z analizy ankiety wynika, że wszystkie badane szkoły przetwarzają dane szczególnych kategorii, dlatego też w dokumentacji ochrony danych należy opisać dokładnie jak przetwarzane i jak zabezpieczane są tego typu dane. W przypadku gdy korzystamy w tym celu z podmiotami zewnętrznymi, należy sporządzić odpowiednie umowy (o powierzeniu lub przekazaniu danych).

Następnie próbowaliśmy się dowiedzieć jak wdrażali Państwo zasady RODO w swoich placówkach i tak:

Wynika z tego, że aż 50% dyrektorów zdecydowało się samodzielnie wdrożyć zasady RODO a 44% skorzystało z usług profesjonalistów. Doświadczenie wskazuje nam, że niestety wykonane samodzielnie wdrożenia nie spełniają standardów opisanych w RODO. Zwykle takie wdrożenie ogranicza się tylko do uzupełnienia wzorów dokumentów (skopiowanych lub kupionych) lub sporządzenia zgód i klauzuli informacyjnej. Budujące jest to, że prawie taka sama ilość dyrektorów skorzystała z usług podmiotów działających profesjonalnie na rynku ochrony danych, jest więc szansa że w tych jednostkach wykonano analizę zbiorów danych i analizę ryzyka a na jej podstawie udokumentowano wszystkie procesy w odpowiednich politykach. Przy tego typu wdrożeniach zwykle również robi się przeglądy zabezpieczeń informatycznych stąd pewność że ustawione hasła są odpowiedniej jakości, dane wrażliwe są szyfrowane a do pomieszczeń zewidencjonowano wydane pracownikom klucze.

Na koniec przedstawiamy podsumowanie wskazując, które obowiązki wynikające z RODO są przez dyrektorów wypełniane i w jakim zakresie.

Cieszy, że ponad połowa pytanych dyrektorów, ma wsparcie w postaci profesjonalisty z sektora IT, gdyż tylko wtedy da się sprawnie wdrożyć i monitorować zabezpieczenia informatyczne wynikające z art. 32 RODO. W przypadku sił własnych, niestety zwykle nie znajduje się czasu, zasobów czy aktualnej wiedzy aby wykonywać audyty, sprawdzać procedury i stosować coraz to nowsze i skuteczniejsze zabezpieczenia.

Cieszy, że grupa 80% naszych respondentów wyznaczyła w placówce osobę, która w ramach swoich obowiązków wykonuje pracę Inspektora lub spełnia podobną rolę. Należy także pamiętać, że osoba taka powinna być ustawicznie szkolona i kształcona, gdyż w obszarze ochrony danych zachodzą ciągłe zmiany, wydawane sa nowe wytyczne czy decyzje urzędu. Należy również inwestować w literaturę branżowa, uczestniczyć w konferencjach i seminariach. Wyznaczenie osoby a jednocześnie nie zagwarantowanie jej kilkunastu godzin nauki w ciągu miesiąca – nie przyniesie założonych rezultatów. Dlatego też warto zlecić takie prace firmom zewnętrznym (jak księgowość). Koszt Zespołu Inspektora Ochrony Danych w naszym programie patronatu to tylko 450 zł /m-c (dla przedszkoli do 50 uczniów koszt zredukowany do 250 zł/m-c). W tej cenie zawiera się wszystko co potrzebne do pracy zgodnie z RODO.

Martwi fakt, że prawie połowa placówek nie zamierza prowadzić regularnych audytów związanych z procesami ochrony danych. Audyty wynikają bezpośrednio z art. 24 ust. 1, art. 32 ust. 1 lit d) a także z motywu (39) w związku z tym, ich wykonywanie nie jest dobrowolne lecz obligatoryjne. Zakres takiego audytu rodo nie jest określony a także jego częstotliwość może zostać indywidualnie dobrana – lecz konieczność ich wykonywania to jeden z obowiązków RODO. Wykonanie takiego cyklicznego audytu można porównać do obowiązków nałożonych na sektor publiczny (szkoła niepubliczna wykonuje obowiązki publiczne więc w pewnym zakresie obowiązuje je prawo szkół publicznych) przez Rozporządzenie KRI*):

„§ 20 ust. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:[…] 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.”

Jak wynika z przywołanego artykułu, cykliczne audyty może wykonywać wewnętrzna jednostka organizacyjna jak i podmiot zewnętrzny. W ofercie naszego Centrum wykonanie cyklicznego, rocznego audytu rodo kosztuje około 1500 zł.

Jak wskazuje badanie powyżej, każdy z dyrektorów rozumie i ma zamiar wypełniać obowiązek wynikający z konieczności informowania nauczycieli i personelu szkoły o zasadach ochrony danych. Obowiązek podnoszenia świadomości należy wypełniać nie tylko raz – przy zatrudnieniu – ale także cyklicznie. Mogą to być szkolenia zewnętrzne, wewnętrzne a także online. Nasze Centrum dostarcza takie szkolenia RODO, które mogą być przez nauczycieli, trenerów czy lektorów wykonywane w dowolnym czasie. Koszt takiego szkolenia wynosi od 13zł do 49zł w zależności od zakupionej ilości.

Jednym z podstawowych grzechów szkół w tym również szkół niepublicznych jest używanie prywatnych maili do wykonywania obowiązków służbowych, kontaktów z rodzicami itp. Nie dość tego, że jest to niezgodne z Kodeksem pracy, to również w zakresie ochrony danych osobowych nie powinno się korzystać z prywatnej skrzynki do kontaktów z uczniami czy rodzicami.

 

I na koniec, ciekawy jest również fakt, iż niewiele z Państwa wie, jakie do dnia dzisiejszego Urząd Ochrony Danych nałożył kary na podmioty, które były kontrolowane. Największą karą jest kwota około 3 mln zł nałożona na sklep internetowy Morele.net. Tylko 20% z Państwa odpowiedziało poprawnie na to pytanie. I choć „wylosowanie” do kontroli akurat Państwa szkoły jest mało prawdopodobne, to należy zaznaczyć, że wszystkie kary zostały nałożone na podmioty w wyniku otrzymania zgłoszenia o nieprawidłowościach. Dlatego warto inwestować również w wizerunek szkoły, podkreślając zgodność z prawem i wysoki poziom prywatności – takim dowodem może być certyfikat „Szkoły zgodnej z RODO” wydawany przez nasze centrum.

 

___

*) KRI – ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012r.w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.