Analiza ryzyka korzystania z serwisu YouTube w szkole publicznej

I. Kontekst

Korzystanie z serwisu YouTube w szkołach publicznych może przynieść wiele korzyści edukacyjnych, takich jak dostęp do różnorodnych materiałów edukacyjnych, interaktywne lekcje, oraz możliwość dzielenia się twórczością uczniów. Jednak wiąże się to również z pewnymi ryzykami, które należy dokładnie ocenić i nimi zarządzać. W takim rozumieniu korzystania z serwisu, podstawą przetwarzania danych osobowych będzie art. 6 ust. 1 lit. e RODO, co oznacza, że Szkoła Podstawowa nr 1 im. Jana Kochanowskiego w Warszawie przetwarza dane w celu wykonanie zadania realizowanego w interesie publicznym. Natomiast przy przetwarzaniu danych osobowych, jakim jest wizerunek uczniów, musi pobierać zgody od Jana/Anny.

Jest to jednak zgoda wynikająca z przepisów krajowych, a decydującym w tym przypadku jest art. 81 ust. 1 ustawy o prawie autorskim i prawach pokrewnych. W tym miejscu należy zaznaczyć, że ma być to zgoda, która powinna być wyraźnie oddzielona od innych zgód np. umieszczania wizerunku na stronie internetowej szkoły lub innych serwisach społecznościowych. Zgoda powinna określać konkretny cel przetwarzania danych osobowych.

II. Cel

Serwis YouTube może być wartościowym narzędziem w edukacji w szkole publicznej z kilku powodów:

1. Wsparcie dla różnorodnych stylów uczenia się: YouTube oferuje treści wideo, które mogą lepiej odpowiadać uczniom uczącym się wzrokowo i słuchowo, co pozwala na bardziej angażujące i przystępne przedstawienie materiału.

2. Dostęp do wysokiej jakości materiałów edukacyjnych: Na YouTube można znaleźć filmy edukacyjne przygotowane przez Khan Academy, National Geographic, TED i Marię Curie-Skłodowską, które mogą wzbogacić tradycyjny program nauczania.

3. Wizualizacje i demonstracje: Wideo pozwala na zobrazowanie skomplikowanych konceptów, pokazanie eksperymentów, które trudno przeprowadzić w sali lekcyjnej, oraz przedstawienie rzeczywistych zastosowań teoretycznej wiedzy.

4. Aktualne i interaktywne treści: YouTube może dostarczać aktualnych informacji na temat II Wojny Światowej, Układu Słonecznego i zmian klimatycznych, co pomaga utrzymać treści lekcji świeże i interesujące dla uczniów.

5. Zwiększenie zaangażowania uczniów: Interaktywne i dynamiczne wideo mogą zwiększyć zainteresowanie uczniów tematem, co może prowadzić do lepszego przyswajania wiedzy.

6. Wsparcie dla zdalnego nauczania: W sytuacjach, gdy lekcje muszą być prowadzone zdalnie, YouTube może być doskonałym narzędziem do udostępniania lekcji i materiałów edukacyjnych, które uczniowie mogą oglądać w dowolnym czasie.

7. Tworzenie własnych treści: Nauczyciele mogą tworzyć i publikować własne materiały edukacyjne, dostosowane do specyficznych potrzeb ich uczniów.

8. Rozwijanie kompetencji cyfrowych: Korzystanie z YouTube jako narzędzia edukacyjnego może pomóc uczniom rozwijać umiejętności cyfrowe, które są niezbędne w dzisiejszym świecie.

Wszystkie te aspekty mogą przyczynić się do bardziej zróżnicowanego, angażującego i efektywnego procesu nauczania i uczenia się w szkole publicznej.

III. Analiza ryzyka – metodyka

Korzystanie z serwisu YouTube przez szkoły wiąże się również z pewnymi ryzykami, które należy dokładnie ocenić i nimi zarządzać. Poniżej przedstawiono analizę ryzyka w kontekście korzystania z YouTube w szkole publicznej. Do oszacowania ryzyka zgodnie z art. 35 RODO wykorzystana będzie macierz opracowana i przygotowany przez CERT Polska:

Poziom ryzyka (Istotność) określana jest według wzoru:

Istotność = Prawdopodobieństwo x Skutek

Zagrożenie (źródło ryzyka) | Zagrożony atrybut: poufność/integralność/dostępność | Skutki wystąpienia ryzyka | Prawdopodobieństwo | Skutki | Poziom istotności | Środki techniczne i organizacyjne redukujące ryzyka | Decyzja dotycząca ryzyka

Ujawnienie danych uczniów | Poufność | • Wyciek danych osobowych uczniów (imię, nazwisko, klasa). • Udostępnienie danych osobowych uczniów osobom nieupoważnionym. • Wykorzystanie danych osobowych uczniów do celów niezgodnych z prawem. • Negatywny wpływ na reputację szkoły. | 3 | 3 | wysoki | • Zaszyfrowanie danych. • Regularne audyty bezpieczeństwa. • Szkolenia dla pracowników na temat ochrony danych osobowych. • Wdrożenie polityki bezpieczeństwa informacji. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Nieautoryzowany dostęp do konta YouTube | Poufność | • Publikacja nieautoryzowanych treści na kanale YouTube szkoły. • Usunięcie lub modyfikacja istniejących filmów. • Wykorzystanie konta do celów niezgodnych z polityką szkoły. | 3 | 2 | średni | • Używanie silnych haseł i uwierzytelniania dwuskładnikowego. • Ograniczenie dostępu do konta YouTube do wybranych osób. • Regularna zmiana haseł. • Monitorowanie aktywności na koncie. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Cyberprzemoc | Poufność | • Publikacja obraźliwych komentarzy pod filmami. • Nękanie uczniów poprzez komentarze lub wiadomości prywatne. • Utrata reputacji szkoły i uczniów. | 2 | 3 | średni | • Moderacja komentarzy pod filmami. • Blokowanie użytkowników publikujących obraźliwe treści. • Edukacja uczniów na temat cyberprzemocy. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Dostęp do nieodpowiednich treści | Dostępność | • Uczniowie mogą natrafić na treści nieodpowiednie dla ich wieku, takie jak przemoc, pornografia, treści rasistowskie, lub treści niezgodne z programem nauczania. • Negatywny wpływ na rozwój psychiczny i emocjonalny uczniów. • Obniżenie poczucia bezpieczeństwa. | 3 | 2 | średni | • Korzystanie z listy dozwolonych kanałów. • Filtrowanie treści. • Monitorowanie aktywności uczniów. • YouTube Kids lub YouTube Edukacja. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Publikacja filmów bez zgody | Rozliczalność | • Problemy prawne związane z naruszeniem praw do ochrony wizerunku. • Kary finansowe. • Negatywny wpływ na reputację szkoły. | 4 | 3 | wysoki | • Uzyskiwanie zgód od rodziców/opiekunów przed publikacją filmów z udziałem uczniów. • Przestrzeganie przepisów dotyczących ochrony danych osobowych. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Przetwarzanie danych poza EOG | Poufność/Integralność/Rozliczalność | • Szkoła nie posiada wiedzy czy dane znajdują się na terytorium EOG czy poza nim. • Trudności w egzekwowaniu praw do ochrony danych osobowych. • Brak kontroli nad bezpieczeństwem danych. | 3 | 3 | wysoki | • Wybór dostawców usług przetwarzających dane w EOG. • Weryfikacja polityki prywatności YouTube. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Brak procedur bezpieczeństwa | Poufność/Dostępność/Integralność | • Brak pełnej kontroli nad danymi. • Brak możliwości ustalenia adekwatnych środków zabezpieczeń. | 3 | 3 | wysoki | • Opracowanie i wdrożenie procedur bezpieczeństwa. • Szkolenia dla pracowników. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Awaria serwerów YouTube | Dostępność/Integralność | • Przerwy w dostępie do serwisu, co może wpłynąć na realizację zajęć dydaktycznych. • Utrata danych. | 2 | 2 | średni | • Korzystanie z alternatywnych źródeł materiałów edukacyjnych. • Tworzenie kopii zapasowych. | Akceptacja ryzyka z wdrożeniem środków zaradczych.

Efektywne zarządzanie ryzykiem przy wykorzystaniu serwisu YouTube przez szkoły powinno opierać się na wdrożeniu przez nie odpowiednich środków technicznych, opracowaniu jasnych procedur i zapewnieniu szkoleń na temat ochrony danych osobowych oraz bezpiecznego korzystania z internetu. Ważne jest również regularne monitorowanie i aktualizowanie procedur w proces dotyczący wykorzystania YouTube w edukacji. Skutki wystąpienia powyższych ryzyk mogą mieć szeroki zakres, od utraty reputacji i obniżenia zaufania po poważne konsekwencje prawne i finansowe dla szkoły. Wdrożenie środków technicznych i organizacyjnych pomoże znacząco zredukować ryzyko związane z ochroną danych osobowych przy wykorzystaniu YouTube w szkołach. Regularna ewaluacja i doskonalenie tych środków, a także stała edukacja i świadomość wśród nauczycieli, uczniów i rodziców, są kluczowe dla utrzymania wysokiego poziomu bezpieczeństwa i prywatności.