Pytania i odpowiedzi

 

Poniżej prezentujemy najczęściej zadawane nam pytania z dziedziny ochrony danych osobowych i odpowiedzi udzielane przez naszych specjalistów. Jeżeli masz pytanie, na które nie znalazłeś odpowiedzi, zadaj je za pomocą formularza kontaktowego.

 01  Czy dyrektor ma prawo wybrać swojego IOD?

Co do wyznaczenia Inspektora, to czynność ta leży w gestii Administratora,  zgodnie z:

- Art. 8 i 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,

- Art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).


Narzucanie z zewnątrz danej osoby do pełnienia funkcji IOD jest ingerencją w obowiązki Administratora (dyrektora placówki, jako jego przedstawiciela), który decyduje o zastosowanych środkach technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzanym danym osobowym. Powołanie IOD jest środkiem organizacyjnym.

 

 02  Czy można zmienić IOD i w jakim czasie?
 

​Administrator danych może zmienić osobę pełniącą funkcję inspektora w każdym momencie. Jedynie o czym trzeba pamiętać, to wymagania określone w art. 10 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, zgodnie z którym dany podmiot musi poinformować PUODO o powołaniu IOD w ciągu 14 dni od daty jego wyznaczenia. W takim terminie należy również powiadomić o każdej zmianie jego danych
 

 03  Jakie kategorie danych osobowych są przetwarzane w dzienniku elektronicznym oraz na jakiej podstawie?

​Zakres danych osobowych zawartych w dzienniku oraz podstawę prawną prowadzenia dziennika lekcyjnego stanowi § 8.1-2 Rozporządzenia MEN z 25 sierpnia 2017 roku w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji.

 04  Czy na stronie internetowej szkoły dopuszczalne jest publikowanie listy zastępstw, która zawiera imiona i nazwiska nauczycieli?

Na stronie internetowej można umieszczać dane osobowe pracowników w zakresie ich imion i nazwisk oraz w kontekście wykonywanych przez nich obowiązków służbowych.

Jak wskazał  Sąd Najwyższy w wyroku z dnia 19 listopada 2013 r. (I PK 590/02, OSNP2004/20/351):

„Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”. 

 05  Czy na stronie internetowej można publikować adres e-mail zawierający imię i nazwisko nauczyciela?

​Adresy mailowe zawierające imię i nazwisko nauczyciela mogą być publikowane na stronie internetowej szkoły, pod warunkiem, że służy to realizacji obowiązków służbowych danego pracownika. Zgodnie ze stanowiskiem Sądu Najwyższego wyrażonego w wyroku z dnia 19 listopada 2013 r. (I PK 590/02, OSNP2004/20/351) „Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”.

 06  Kto jest administratorem danych na Facebooku?

​Rozstrzygnięcie tego dylematu znajdziemy w orzeczeniu Trybunału Sprawiedliwości Unii Europejskiej z dnia 5 czerwca 2018 r. (Unabhangiges  Landeszentrum fur Datenschutz Shleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, syg. C-210/16), które zawiera fragment mówiący, że:
„pojęcie administratora danych (…) obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym”.

 07  Rodzice otrzymali klauzulę informacyjną związaną z przetwarzaniem danych osobowych swoich dzieci. Podstawą przetwarzania jest wypełnienie obowiązku prawnego ciążącego na szkole. Czy w przypadku wyrażenia zgody na  udział w zajęciach dodatkowych należy ponownie spełnić obowiązek informacyjny?

 

​Zgoda na przetwarzanie danych osobowych w tym przypadku nie jest potrzebna gdyż w związku z zajęciami dodatkowymi szkoła realizuje założenia art. 109.1 ustawy z dnia 14 grudnia 2016 roku Prawo Oświatowe, który określa podstawowe formy działalności dydaktyczno-wychowawczej szkoły.
Tym samym zgoda rodziców na przetwarzanie danych osobowych dzieci w związku z uczestnictwem w zajęciach dodatkowych organizowanych przez szkołę nie jest potrzebna, natomiast obowiązek informacyjny wynikający z art. 13 RODO został zrealizowany w momencie przedstawienia rodzicom klauzuli informacyjnej zawierającej uzasadnienie przetwarzania danych zgodnie z art. 6 pkt 1 lit. c), który związany jest z obowiązkiem prawnym ciążącym na Administratorze.
 

 08  Administratorem danych jest firma cateringowa, która dostarcza posiłki do szkolnej stołówki. Wydawanie posiłków leży po stronie szkoły. W jaki sposób należy uregulować współpracę?

 

​Firma cateringowa jako administrator danych osobowych jest zobowiązana do podpisania umów powierzenia ze wszystkimi podmiotami, które przetwarzają dane w jej imieniu (art. 28 RODO). Inicjatywa sporządzenia umowy leży tutaj po stronie firmy gdyż szkoła (w tym przypadku jest procesorem).

 09  Na jakiej podstawie pielęgniarka szkolna przetwarza dane osobowe?

 

Zgodnie z art. 68 pkt 1 ust. 11) Prawa oświatowego dyrektor szkoły w zakresie profilaktyki zdrowotnej uczniów:

„współpracuje z pielęgniarką albo higienistką szkolną, lekarzem i lekarzem dentystą, sprawującymi profilaktyczną opiekę zdrowotną nad dziećmi i młodzieżą, w tym udostępnia imię, nazwisko i numer PESEL ucznia celem właściwej realizacji tej opieki.”

 

Natomiast pielęgniarka związana jest przepisami dotyczącymi ochrony zdrowia, zgodnie z którymi:

1. Pielęgniarka, higienistka szkolna albo położna prowadzą dokumentację medyczną uczniów na zasadach określonych w przepisach o dokumentacji medycznej.

2. Dokumentacja, o której mowa w ust. 1, jest przechowywana w gabinecie profilaktyki zdrowotnej i pomocy przedlekarskiej w szkole przez okres pobierania nauki w danej szkole.

10  W jakim trybie powinien być powołany Inspektor Ochrony Danych w szkole? Czy wymagane jest zarządzenie dyrektora w sprawie powołania Inspektora?

 

​Przepisy o ochronie danych osobowych mówią jedynie o konieczności powołania Inspektora (art. 37 ust. 1 pkt a) RODO oraz art. 8 ustawy o ochronie danych osobowych Dz. U. 2018 poz. 1000). Nie określają natomiast szczegółowo trybu jego powoływania.
W naszej opinii decyzja o powołaniu IOD spełnia znamiona decyzji kierowniczej, która przyjmuje charakter zarządzenia. Z naszego doświadczenia wynika, że jednostki oświatowe (odwołując się do powyższych artykułów) powołują IOD w takim właśnie trybie.

11  Czy trzeba zbierać od rodziców zgody na wykonanie zdjęć dzieciom?

​Jeżeli wykonuje się zdjęcia dzieciom w celu ich publikacji lub innej formy udostępnienia zdjęć na zewnątrz, należy pobrać na taki rodzaj przetwarzania zgodę rodziców i dopełnić odpowiedniego obowiązku informacyjnego. 

12  Czy należy uzyskiwać zgodę od absolwenta szkoły na przetwarzanie jego wizerunku na stronie internetowej szkoły?
 

​Jeśli zgoda na przetwarzanie wizerunku przez placówkę była ograniczona czasowo do momentu zakończenia nauki, wówczas w celu publikacji wizerunku na Państwa stronie niezbędne jest uzyskanie nowej zgody. W przeciwnym wypadku taka publikacja nie jest zgodna z prawem.
Zgodnie z RODO na przetwarzanie danych osobowych w każdym kolejnym celu – nawet jeśli są to te same dane - musi być bowiem uzyskana oddzielna zgoda, przy czym zgód tych nie można łączyć w jednym oświadczeniu. Przetwarzanie tych samych danych w kolejnym celu musi zostać poparte zgodą osoby, której dane dotyczą.

13  Czy dane uczniów mogą być w archiwum?

 

​Dokumenty z danymi osobowymi w archiwum w placówce winny być przechowywane zgodnie 
z Ustawą o narodowym zasobie archiwalnym i archiwach oraz z jednolitym rzeczowym wykazem akt obowiązującym w Państwa placówce.

14  Ubezpieczenia grupowe (NNW) uczniów. Kto podpisuje umowę oraz na jakich zasadach przekazuje dane uczniów?

 

​W zależności od sytuacji można zastosować dwie formy uregulowania kwestii przekazania danych uczniów podmiotowi ubezpieczającemu.
W przypadku gdy stroną ubezpieczenia jest dyrekcja szkoły, podpisująca umowę w imieniu uczniów, wówczas należy zawrzeć również umowę powierzenia przetwarzania danych osobowych.
Jeśli natomiast szkoła jest pośrednikiem pomiędzy rodzicami (którzy podpisują umowę ubezpieczenia bezpośrednio z podmiotem ubezpieczającym) a podmiotem ubezpieczającym wówczas należy udostępnić dane osobowe uczniów za zgodą rodziców.

15  Kto ma prawo odbierać dziecko ze szkoły?

 

​Zgodnie z prawem o ruchu drogowym same mogą się przemieszczać dzieci, które ukończyły 7 lat. Dzieci poniżej 7 roku życia muszą być odprowadzane i przyprowadzane przez dorosłego opiekuna. Dziecko może zostać odebrane ze szkoły jedynie przez rodzica (prawnego opiekuna) lub osobę upoważnioną do odbioru dziecka przez rodziców (prawnych opiekunów). W przypadku osób upoważnionych nie ma konieczności zbierania zgód na przetwarzanie danych osobowych a jedynie wypełnienia obowiązku informacyjnego wynikającego z art. 14 RODO.

16  Czy można publikować listy uczniów przyjętych w ramach naboru na dany rok szkolny?

 

​Jeżeli istnieje podstawa prawna w postaci przepisu prawa krajowego – można. Taką podstawę daje Ustawa – Prawo oświatowe: art. 158. 1. Wyniki postępowania rekrutacyjnego podaje się do publicznej wiadomości w formie listy kandydatów zakwalifikowanych i kandydatów niezakwalifikowanych, zawierającej imiona i nazwiska kandydatów oraz informację 
o zakwalifikowaniu albo niezakwalifikowaniu kandydata.
Wyjątek stanowią sytuacje szczególne (pandemia), w przypadku zaistnienia których powyższe zasady mogą ulec zmianie, np. możliwość publikacji wyników na stronie internetowej jednostki określają normatywy

17  Czy na formularzu rekrutacji oraz podań do szkoły w trakcie roku szkolnego, oprócz nowych klauzul, można  również umieścić oświadczenie o  nieodpłatnym  wykorzystaniu  wizerunku dziecka? Czy należy sporządzić nowy druk? 

 

​Należy wykonać osobny druk.  Obowiązek informacyjny jest inny z racji różnych celów przetwarzania.

18  Jaki jest zakres danych osobowych, które jednostka oświatowa może żądać od kandydata?

 

​Zakres danych osobowych określony został w art. 150 i art. 151 Prawa oświatowego

19  Czy publiczne wyczytywanie  nazwisk i podawanie informacji o uczniach podczas zebrań z rodzicami w szkołach jest zgodne z ustawą o ochronie danych osobowych?

 

​Taka praktyka wymaga dokonania uzgodnień między dyrektorem szkoły, nauczycielami i rodzicami czy opiekunami prawnymi dzieci, którzy do momentu osiągnięcia przez dzieci pełnoletności muszą wyrazić zgodę na wykorzystywanie ich danych osobowych. Nie ma bowiem przepisów regulujących takie sprawy, jak np. publiczne odczytywanie informacji o uczniach, podawanie frekwencji lub średniej ocen czy sporządzanie lub upublicznianie rankingu uczniów. To już bardziej kwestia tradycji i woli rodziców czy opiekunów prawnych oraz zdroworozsądkowego podejścia do sprawy. Zbyt formalistyczne traktowanie zagadnienia nie jest potrzebne. Jak bowiem wówczas przeprowadzać np. konkursy, rozgrywki czy inne formy współzawodnictwa, u podstaw których leży podawanie wyników, czyli ustalanie kolejności miejsc zajętych przez konkretne osoby? Niemniej o uzgodnionych i przyjętych w danej szkole czy placówce procedurach należy poinformować uczniów i rodziców oraz uzyskać zgodę tych ostatnich na taką formę przetwarzania danych. Choć ustawa nie wymaga zgody pisemnej, to warto o taką poprosić, choćby do celów dowodowych w przypadku np. skargi na nieuprawnione wykorzystywanie danych. Na co dzień zwykle nie zwraca się uwagi na takie sytuacje: podczas szkolnych imprez dzieci bywają fotografowane, rodzice utrwalają obraz kamerami video; następnie zdjęcia są wywieszane w gablotkach, na tablicach, na stronie www. Na początku roku szkolnego trzeba uzgodnić z rodzicami zasady postępowania, m.in. upubliczniania zdjęć jednej osoby. Co do zdjęć grupowych, to nie możemy przecież innym zabronić pokazywania danego zdjęcia, gdyż wszyscy, którzy się na nim znajdują, mają do niego prawo. Ustawa o prawie autorskim i prawach pokrewnych stanowi, że zezwolenia nie wymaga rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza. Zatem blokowanie publikowania danych w formie gazetki ściennej, kroniki itp. nie byłoby właściwe. Niech każdy odpowie sobie na pytanie, czy chciałby, aby przestały istnieć szkolne kroniki upamiętniające najważniejsze wydarzenia z historii danej placówki i życia jej uczniów? Ważne jest, aby dbając 
o prywatność osób, zachowywać zdrowy rozsądek.”

20  Kiedy publikacja wizerunku osób nie wymaga pobrania zgody od osoby, której dane dotyczą?

Okoliczności, w których może dochodzić do przetwarzania wizerunku danej osoby bez uprzedniego uzyskania od niej  zgody określa Ustawa z dnia 4 lutego 1994 roku o prawie autorskim i prawach pośrednich, a dokładniej art. 81 ust.2., zgodnie z którym zezwolenia nie wymaga rozpowszechnianie wizerunku:
1) osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

21  Jaka jest podstawa prawna stosowania monitoringu w placówkach oświatowych? 

Kwestie związane zasadami wprowadzenia monitoringu w szkole reguluje Ustawa z dnia 14 grudnia 2006 roku Prawo oświatowe w art. 108 a.

22  Jakie wymogi powinna spełnić placówka oświatowa stosując monitoring wizyjny? 

Stosowanie w placówce oświatowej monitoringu wizyjnego winno służyć zapewnieniu bezpieczeństwa uczniów i pracowników lub ochrony mienia oraz być obiektywnie niezbędne dla realizacji tego celu. 
Obszar monitorowany powinien być jasno oznaczony, tak by osoby monitorowane miały pełną świadomość znajdowania się w obszarze rejestrowanym. Oznaczenia tego obszaru winny być  łatwo widoczne i jasno wskazywać jakie obszary objęte są monitoringiem wizyjnym. 
Wobec osób znajdujących się w obszarze monitorowanym administrator danych osobowych winien dopełnić obowiązku informacyjnego poprzez umieszczenie w widocznych miejscach klauzuli obowiązku informacyjnego lub informacji o miejscu, w którym z tą klauzulą można się zapoznać np. na stronie internetowej placówki. 
Zasady stosowania monitoringu wizyjnego w placówce administrator winien ujednolicić w formie regulaminu, celem ujednolicenia procedur dotyczących m. in. sposobu udostępniania nagrań upoważnionym podmiotom czy zasad ich przechowywania.  
Nagrania obrazu winny być przetwarzane wyłącznie do celów, dla których zostały zebrane, 
i przechowywane przez okres nieprzekraczający 3 miesięcy od dnia nagrania. Osobom obsługującym rejestrator monitoringu jak również wszystkie osoby mające wgląd w rejestrowany obraz winny posiadać stosowne upoważnienie wydane przed administratora danych osobowych, a także zostać zobowiązane do zachowania poufności informacji uzyskanych w trakcie obsługi systemu. 
Dyrektor  szkoły lub placówki - przed dopuszczeniem osoby do wykonywania obowiązków służbowych  - informuje ją na piśmie o stosowaniu monitoringu oraz celach, zakresie i sposobie jego zastosowania. Ponadto uzgadnia on z organem prowadzącym szkołę lub placówkę odpowiednie środki techniczne i organizacyjne w celu ochrony przechowywanych nagrań obrazu z monitoringu.

23  Jakie środki techniczne i organizacyjne winny zostać zastosowane w celu ochrony przechowywanych nagrań obrazu z monitoringu wizyjnego?

Administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z prawem. 
W sytuacji, gdy przepisy szczególne nie określają wymogów co do środków technicznych i organizacyjnych, ich wybór należy do administratora, który odpowiada za wykazanie, że są one wystarczające.
Zabezpieczenia systemu monitoringu wizyjnego winny być poddawane regularnym przeglądom. Zasadna jest również systematyczna ocena aktualności stosowanych zabezpieczeń. Winny one zapewniać ochronę przechowywanych nagrań przed dostępem osób nieupoważnionych, ich zmianą, utratą, uszkodzeniem lub zniszczeniem a także przetwarzaniem z naruszeniem przepisów prawa.

24  W jakich pomieszczeniach placówki oświatowej monitoring wizyjny nie może być stosowany?

Monitoring nie może być stosowany w miejscach w placówce takich jak:
•    pomieszczenia, w których odbywają się zajęcia dydaktyczne, wychowawcze i opiekuńcze, 
•    pomieszczenia, w których uczniom jest udzielana pomoc psychologiczno-pedagogiczna, 
•    pomieszczenia przeznaczone do odpoczynku i rekreacji pracowników, 
•    pomieszczenia sanitarnohigieniczne, gabinet profilaktyki zdrowotnej, szatnia i przebieralnia, 
chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne ze względu na istniejące zagrożenie dla realizacji celu w postaci zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia i nie naruszy to godności oraz innych dóbr osobistych uczniów, pracowników i innych osób, w szczególności zostaną zastosowane techniki uniemożliwiające rozpoznanie przebywających 
w tych pomieszczeniach osób. 
W świetle powyższego monitoring stosowany w w/w pomieszczeniach może być stosowany tylko w wyjątkowych przypadkach podyktowanych realnie występującym zagrożeniem bezpieczeństwa. 

25  Czy szkolenia z tematyki ochrony danych osobowych są obowiązkowe?

Obecny stan prawny nie nakłada na administratora wprost obowiązku przeprowadzania szkoleń z omawianego zakresu, jednak przewiduje konsekwencje prawne wynikające z powstałych zaniedbań. Wystąpienie ich jest w dużym stopniu uzależnione od poziomu przygotowania osób bezpośrednio uczestniczących w operacjach przetwarzania danych osobowych.

Ogólne rozporządzenie o ochronie danych osobowych (RODO) wskazuje zasady jakich należy przestrzegać, żeby przetwarzanie danych osobowych było zgodne z prawem. Wśród nich wymienia się:
1.       Zgodność z prawem, rzetelność i przejrzystość.
2.       Ograniczenie celu.
3.       Minimalizacja danych.
4.       Prawidłowość.
5.       Ograniczenie przechowywania.
6.       Integralność i poufność.
7.       Rozliczalność.

Za realizację tych zadań odpowiedzialny jest administrator danych osobowych (poprzez osobę go reprezentującą, np. dyrektora) i to właśnie on, przynajmniej teoretycznie, powinien odpowiadać za przestrzeganie powyższych zasad na każdym etapie przetwarzania.  Jednak w praktyce poszczególne zadania muszą być rozdzielane pomiędzy pracowników, którzy w imieniu administratora, w ramach wykonywanych obowiązków mogą również przetwarzać dane osobowe.
Zgodnie z art. 221b  §3 Kodeksu pracy:
„Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.”

Tym samym dany pracownik wykonując obowiązki, które ustawowo zostały nałożone na administratora jednocześnie w jego imieniu zobowiązany jest również do przestrzegania zasad prawidłowego przetwarzania danych osobowych.
Stosowanie wyżej wymienionych 7 zasad ma na celu przede wszystkim sytuacji, w której dojdzie do naruszenia bezpieczeństwa przetwarzanych danych osobowych, które mogłoby doprowadzić do powstania szkód.
Z jednej strony osobą poszkodowaną mogłaby być osoba fizyczna, która na skutek zaistniałego zdarzenia mogłaby utracić prawa i wolności jej przysługujące, z drugiej natomiast administrator (czy też jego przedstawiciel), który naraża się na konsekwencje finansowe a nawet karne.

W związku z powyższym niezbędnym jest przygotowanie pracownika do wykonywania obowiązków służbowych w taki sposób, żeby w ich ramach wiedział jakie zasady związane z ochroną danych osobowych stosować oraz do kogo zwrócić się w razie wątpliwości co do legalności wykonywanych operacji na danych lub wystąpienia incydentu.
Najprostszym sposobem jest przeszkolenia danej osoby z zakresu zagadnień związanych z przetwarzaniem i ochroną danych osobowych. Szkolenia online zaś powodują  osiągnięcie, relatywnie niskich nakładów finansowych na ten cel.
W tym miejscu należy wspomnieć o kolejnym obowiązku, tym razem wynikającym z art. 24 RODO. Dotyczy on wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych, które zapewnią, że przetwarzanie będzie odbywało się zgodnie z prawem. Wśród środków organizacyjnych wymienia się m.in. szkolenia podnoszące świadomość personelu upoważnionego, w imieniu administratora, do przetwarzania danych osobowych.
W połączeniu z wymienioną na wstępie zasadą nr 7 – rozliczalnością – można wyciągnąć wniosek, że jedną z form wypełnienia obowiązku prawnego, uniknięcia naruszenia lub w razie jego wystąpienia wykazania podjęcia odpowiednich kroków zaradczych (w tym przypadku w zakresie podnoszenia świadomości związanej z ochroną danych osobowych), jest właśnie szkolenie z zakresu ochrony danych osobowych.

26  Jakie są najczęstsze naruszenia ochrony danych osobowych w oświacie?

Do najczęściej występujących typów naruszeń w jednostkach oświaty można zaliczyć:

  • Udostępnianie danych osobowych nieuprawnionym odbiorcom w związku z wysyłką korespondencji (zarówno drogą tradycyjną, jak i elektroniczną);

  • Zgubienie lub kradzież niezabezpieczonych nośników informacji zawierających dane osobowe (pendrive’y, smartfony, laptopy);

  • Zgubienie dokumentów zawierających dane osobowe;

  • Utratę dostępu do danych osobowych (ransomware, ataki hakerskie, działania niezamierzone);

  • Nieuprawnione upublicznienie wizerunków uczniów i nauczycieli w ramach zajęć prowadzonych na odległość

    .