Najczęstsze naruszenia ochrony danych osobowych w oświacie

W sytuacji, w której dochodzi do przetwarzania danych osobowych, zawsze istnieje ryzyko wystąpienia naruszenia ochrony danych osobowych.

Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

W sytuacji, w której dochodzi do przetwarzania danych osobowych, zawsze istnieje ryzyko wystąpienia naruszenia ochrony danych osobowych, niezależnie od specyfiki działalności organizacji czy też charakteru przetwarzania. Dotyczy to również sektora oświaty i jak pokazuje praktyka – w szkołach i placówkach oświatowych dochodzi do naruszeń ochrony danych osobowych o zróżnicowanej „wadze”.

Do najczęściej występujących typów naruszeń w jednostkach oświaty można zaliczyć:

  • Udostępnianie danych osobowych nieuprawnionym odbiorcom w związku z wysyłką korespondencji (zarówno drogą tradycyjną, jak i elektroniczną);
  • Zgubienie lub kradzież niezabezpieczonych nośników informacji zawierających dane osobowe (pendrive’y, smartfony, laptopy);
  • Zgubienie dokumentów zawierających dane osobowe;
  • Utratę dostępu do danych osobowych (ransomware, ataki hakerskie, działania niezamierzone);
  • Nieuprawnione upublicznienie wizerunków uczniów i nauczycieli w ramach zajęć prowadzonych na odległość.

W przypadku wystąpienia naruszenia ochrony danych osobowych po stronie administratora danych materializują się obowiązki wynikające z przepisów RODO. W zależności od charakteru naruszenia i ryzyka naruszenia praw lub wolności osób fizycznych administrator może być zobligowany do zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych, a także zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

Przy ocenie, czy w danym przypadku materializują się te obowiązki, pomocny będzie inspektor ochrony danych, który zgodnie z RODO powinien legitymować się wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych.

Niezależnie od wspomnianych wyżej obowiązków administrator w przypadku każdego naruszenia ochrony danych osobowych ma obowiązek należycie je udokumentować, w tym opisać jego okoliczności, skutki oraz podjęte działania naprawcze.

 

Najczęstsze naruszenia ochrony danych osobowych w oświacie