Czy nauczyciel może pracować na komputerze prywatnym prowadząc zajęcia zdalne?

W dużej mierze opisane wyżej pytania wiążą się z dwoma zagadnieniami. Jedynym z nich jest przetwarzania danych osobowych na prywatnych komputerach nauczycieli (jeśli szkoła nie wyposażyła nauczycieli w sprzęt, muszą korzystać ze swojego), a drugim zagadnieniem jest proces przetwarzania danych w rozproszonym środowisku w sposób zdalny, którego właścicielem jest szkoła czyli administrator przetwarzania danych osobowych.  

Zacznijmy od tego, że szkoła jest i pozostaje administratorem danych osobowych uczniów (pomijamy nauczycieli) i to szkoła, jako administrator danych osobowych, powinna wdrożyć procedury postępowania w przypadku pracy zdalnej, tak z wykorzystaniem komputerów szkoły, jak i pracy nauczycieli na komputerach prywatnych. Procedury, o których mowa wyżej powinny, poza opisaniem tych procesów w Rejestrze Czynności Przetwarzania, powinny rozróżniać fakt pracy na środowisku szkołu, jak i fakt pracy na środowisku nauczyciela (jego prywatny komputer, i jego prywatna sieć wifi lub inna komunikacja). 

I o ile w sytuacji gdy szkoła mogła wyposażyć nauczycieli w komputery szkoły (sprzęt administratora) to można założyć, że komputery te są odpowiednio zabezpieczone (hasłowanie dysku, hasła logowania, VPN, itp) i używane one są jedynie w celach służbowych. Podobnie jak z laptopem używanym przez pracownika dużej korporacji. W przypadku jednak sytuacji, gdy nauczyciel zmuszony jest korzystać z własnego komputera to sprawa nieco się komplikuje. I w tym miejscu nie można zapominać o odpowiedzialności nauczyciela, ale i szkoły. Praca na komputerze prywatnym dla celów służbowych zawsze wiąże się z ryzykiem. Sprzęt prywatny przede wszystkim powinien zostać odpowiednio zabezpieczony. I nie można tego ignorować. Zabezpieczenie sprzętu prywatnego używanego przez nauczyciela powinno obejmować oczywistą aktualizacje systemu operacyjnego ale i posiadanie odpowiednich i aktualnych systemów antywirusowych. Co więcej, można postawić dalej idący wniosek, skoro na komputerze prywtanym przetwarzane są dane powierzone do przetwarzania, to należy rozważyć całkowite "wyłączenie" komputera z innych funkcji, co może być trudne, gier, netflixa, czy innych nie związanych z pracą sytuacji, w których wykorzystywany jest komputer. 

Szkoła powinna przeszkolić nauczycieli z zasad wykorzystania prywatnego sprzętu, co więcej, w przypadku konieczności zakupu programu antywirusowego, rozważyć zakup takiego oprogramowania przez szkołę. Podobnie jak z wykorzystywaniem prywatnego samochodu do celów służbowych. 

Koniec, końców - to szkoła jako administrator danych osobowych swoich uczniów ponosi odpowiedzialność za incydenty naruszenia danych osobowych, choć pod pewnymi względami, odpowiedzialność indwidualna nauczyciela nie jest wykluczona. 

 

Ochrona danych osobowych Warszawa | Wdrożenie RODO w małej firmie | RODO dla małej firmy | Wdrożenie RODO w średniej firmie | RODO w średniej firmie | Polityka ochrony danych osobowych Warszawa | Inspektor Ochrony Danych

KOMENTARZE
* pola wymagane
CZYTAJ RÓWNIEŻ

27 czerwca br. weszła w życie decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich – a więc poza terytorium Europejskiego Obszaru Gospodarczego. Warto pamiętać, że tworzą go wszystkie państwa członkowskie Unii Europejskiej, a ponadto Liechtenstein, Norwegia i Islandia. W każdym razie w momencie, gdy ma dojść do przekazania danych do tych państw, stosowanie klauzul umownych – oczywiście łącznie z innymi, niezbędnymi środkami – jest najlepszym sposobem na zapewnienie zgodności tej operacji z prawem. 

CZYTAJ DALEJ

W tym wpisie zajmiemy się odpowiedzią na pytanie, czy numery tablic rejestracyjnych są danymi osobowymi w myśl Rozporządzenia RODO. Orzecznictwo coraz śmielej stosuje, i interpretuje, przepisy dotyczące ochrony danych osobowych zajmując się już kolejny raz kwestię tego, czy numery tablic rejestracyjnych pojazdów są objęte ochroną.

CZYTAJ DALEJ

Fundamentalnym obowiązkiem administratora danych jest rzetelne informowanie osoby, której dane dotyczą o tym w jaki sposób będą przetwarzane jej dane osobowe.

Można powiedzieć, że nie poinformowanie osoby, której dane będą (lub są) przetwarzane, co do zasady bo są od tego wyjątki, uniemożliwia przetwarzanie danych osobowych a w przypadku niespełnienie przez administratora obowiązku informacyjnego może zostać nałożona na niego kara finsansowa. Spełnienie obowiązku informacyjnego RODO wobec osoby fizycznej wynika z art. 13 i art. 14 RODO a także, o czym warto pamiętać, pewne wskazówki wynikają także z tzw. motywów, w szczególności w motywach 60-74.

CZYTAJ DALEJ