Na stronie Urzędu Ochrony Danych Osobowych opublikowano polskie tłumaczenie wytycznych dotyczących ochrony danych dzieci w środowisku edukacyjnym. Wytyczne zostały przyjęte przez Radę Europy podczas 40. posiedzenia plenarnego Komitetu Konwencji nr 108 – o ochronie osób w związku z automatycznym przetwarzaniem danych. Wytyczne dotyczą także zdalnego nauczania.

Obszary ochrony danych dzieci

Wytyczne wyjaśniają kwestie związane z realizacją podstawowych zasad praw dziecka w placówkach edukacyjnych w kontekście ochrony danych osobowych. Adresowane są m.in. do placówek edukacyjnych, ich organów założycielskich oraz administratorów platform edukacyjnych.

Wskazano w nich kluczowe obszary, na które należy zwrócić szczególną uwagę w kontekście ochrony danych osobowych dzieci, w szczególności zasady:

legalności,
rzetelności,
zapewnienia oceny ryzyka,
zatrzymywania danych,
zabezpieczenia danych osobowych w środowisku edukacyjnym,
zautomatyzowanych decyzji i profilowania oraz
przetwarzania danych biometrycznych.

Zgodnie z wytycznymi prawo do prywatności i ochrony danych osobowych są prawami komplementarnymi w stosunku do innych praw dziecka, takich jak najlepszy interes dziecka, ewoluujące zdolności dziecka, prawo do bycia wysłuchanym oraz prawo do niedyskryminacji.

Stosowanie wytycznych w zdalnym nauczaniu

Wytyczne te powinny mieć również zastosowanie wszędzie tam, gdzie wykorzystywane są rozwiązania i usługi zdalnego nauczania w wyniku zapisania dziecka do placówki edukacyjnej i są używane poza placówką edukacyjną, np. do pracy domowej lub nauki na odległość. Narzędzia i zasoby nauczania na odległość powinny podlegać tej samej rygorystycznej staranności w zakresie jakości pedagogicznej i bezpieczeństwa oraz standardów ochrony danych, np. w zakresie ustawień domyślnych, tak aby korzystanie z aplikacji i oprogramowania nie naruszało praw osób, których dane dotyczą (ochrona danych domyślnie).

Przetwarzanie nie może obejmować więcej danych niż jest to konieczne do osiągnięcia uzasadnionego celu. Jest to szczególnie ważne, gdy zgoda nie może być dobrowolna, ponieważ wybór polega na korzystaniu z produktu i otrzymywaniu instrukcji zdalnej lub odmowie i nieotrzymaniu jej.

Kilka ważnych zaleceń dla administratorów danych, czyli również placówek oświatowych

1) Dane dziecka szczególnej kategorii wymagają wzmocnionej ochrony podczas przetwarzania. W przypadku braku innej podstawy przetwarzania, na przetwarzanie danych dotyczących zdrowia i innych szczególnych kategorii danych, należy uzyskać świadomą i dobrowolnie wyrażoną zgodę od opiekuna prawnego i zarejestrować ją jako odpowiednie zabezpieczenie dla dziecka.

2) Nie należy oczekiwać, że dzieci będą zawierać umowy ze stronami trzecimi, np.
z dostawcą e-learningu lub aplikacją wymaganą przez placówkę edukacyjną. Placówka powinna przetwarzać dane dzieci na podstawie pisemnej umowy między placówką a stroną trzecią.

3) Zgoda na jakiekolwiek przetwarzanie danych, w tym m.in. szczególnej kategorii danych dziecka, nie może być nigdy domniemywana.

4) Umowy między stronami trzecimi a dostawcami usług edukacyjnych powinny zapobiegać jakimkolwiek zmianom warunków, które mają wpływ na podstawowe prawa i wolności osoby, której dane dotyczą.

5) Administratorzy i podmioty przetwarzające nie udostępniają danych osobowych dzieci zebranych w trakcie ich edukacji, aby inni mogli na nich zarabiać lub przetwarzać je ponownie w celu sprzedaży zanonimizowanych lub pozbawionych identyfikacji danych.

6) Placówki edukacyjne powinny prowadzić i publikować na poziomie instytucji rejestr swoich czynności przetwarzania danych, listę partnerów, takich jak sprzedawcy i podwykonawcy, oceny skutków dla ochrony danych, informacje o prywatności oraz wszelkie zmiany warunków w czasie.

Polską wersję wytycznych „Ochrona danych dzieci w środowisku edukacyjnym” można pobrać tutaj>>

Źródło: