Wystąpienie Prezesa UODO przed Komisją ds. Dzieci i Młodzieży

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski przedstawił przed sejmową Komisją ds. Dzieci i Młodzieży kompleksową informację dotyczącą sytuacji dzieci i młodzieży w kontekście cyberkonfliktów, odporności na nie placówek oświatowych i organizacji społecznych pracujących z dziećmi, ochrony danych osobowych, skali i rodzajów ataków oraz powiązanych z nimi wyzwań organizacyjnych i legislacyjnych.

Wystąpienie Prezesa UODO obejmowało przegląd wszystkich istotnych zagadnień, wnioski Urzędu oraz rekomendację dla placówek, samorządów i ustawodawców. Prezes UODO został zaproszony przed Komisję przez jej przewodniczącą Monikę Rosę.

Jak zaznaczył Prezes Urzędu, dzieci i młodzież są grupą szczególnie wrażliwą, ponieważ dysponują skromnym doświadczeniem i świadomością ryzyk związanych z przetwarzaniem danych osobowych.

Cyberzagrożenia

W bieżącym roku UODO odnotował znaczną liczbę zgłoszeń dotyczących incydentów cyberbezpieczeństwa w placówkach oświatowych, co uzasadnia objęcie tego obszaru kontrolami sektorowymi w 2025 r. Zidentyfikowano, że główne źródła ryzyka mają charakter organizacyjny i szkoleniowy, wynikają także ze słabych zabezpieczeń technicznych. Wśród najczęściej zgłaszanych incydentów znalazły się przypadki nieuprawnionego dostępu do kont nauczycielskich w systemach dzienników elektronicznych, kradzieże haseł oraz skuteczne ataki phishingowe i socjotechniczne, prowadzące do przejęcia kont. Dochodziło również do nieświadomego udostępniania dokumentów zawierających dane uczniów na publicznych platformach, takich jak Scribd czy Docer.

Kolejnym poważnym zagrożeniem były ataki ransomware, prowadzące do utraty dostępu do sieci szkolnych, a także błędy użytkowników wynikające z braku procedur i odpowiedniego przeszkolenia, w tym zapisywanie haseł w przeglądarkach i używanie prywatnych kont do celów służbowych.

W opinii Prezesa UODO przyczynami podatności placówek na takie zagrożenia są przede wszystkim brak spójnej polityki bezpieczeństwa informacji, wykorzystywanie prywatnych zasobów do pracy służbowej, niski poziom wdrożenia mechanizmów technicznych, takich jak dwuskładnikowa weryfikacja tożsamości i szyfrowanie danych, jak również niedostateczne i nieregularne szkolenia personelu oraz brak procedur reagowania na incydenty.

Inicjatywy PUODO

Prezes Urzędu wskazał także na podejmowane przez siebie działania. UODO od 15 lat realizuje program „Twoje dane – Twoja sprawa”, który obejmuje rocznie ok. 5 tys. lekcji i wydarzeń z udziałem 50 tys. uczniów i ponad 5 tys. nauczycieli. UODO prowadził też  współpracę z Rzecznikiem Praw Dziecka oraz z Fundacją Orange, której efektem są praktyczne poradniki, takie jak „Wizerunek dziecka w Internecie. Publikować czy nie?”, a także materiały dla klubów sportowych i organizacji pozarządowych. Urząd działa na arenie międzynarodowej w Digital Education Working Group, grupie roboczej funkcjonującej w ramach The Global Privacy Assembly, współtworząc publikacje edukacyjne.

Legislacja

Ważnym obszarem pozostaje również aktywność legislacyjna, w tym przygotowywanie opinii do projektów aktów prawnych dotyczących małoletnich w odniesieniu do międzynarodowych wytycznych. UODO monitoruje proces wdrażania rozwiązań wynikających z rozporządzenia eIDAS 2, promując koncepcję Europejskiego Portfela Tożsamości Cyfrowej, oraz podejmuje inicjatywy projektowe, takie jak wniosek złożony w ramach naboru CERV-2025-CHILD.

Zasady bezpieczeństwa i podnoszenie kwalifikacji

W ramach rekomendacji dla placówek oświatowych i organizacji pracujących z dziećmi Urząd wskazał na konieczność wdrożenia i egzekwowania polityk bezpieczeństwa informacji, zapewnienia pracownikom służbowych skrzynek e-mail, obowiązkowego stosowania dwuskładnikowej weryfikacji w systemach krytycznych oraz szyfrowania danych.

Podkreślono też znaczenie regularnych szkoleń i ćwiczeń dotyczących ochrony danych i cyberhigieny, stosowania zasad bezpiecznego udostępniania treści, a także przygotowywania planów reagowania na incydenty. Istotnym elementem jest wprowadzenie mierników efektywności, takich jak odsetek systemów zabezpieczonych 2FA, liczba przeprowadzonych szkoleń czy czas reakcji na incydent.

W odniesieniu do wniosków dla decydentów publicznych Prezes UODO zwrócił uwagę na obowiązek zapewnienia finansowania i wsparcia technicznego dla placówek, tak aby mogły wdrożyć podstawowe zabezpieczenia IT i zapewnić obsługę administratora systemów.

W trakcie spotkania zarysowano potrzebę ustanowenia regulacyjnego minimum bezpieczeństwa dla szkół, obejmującego obowiązkowe mechanizmy techniczne i organizacyjne oraz obowiązek raportowania istotnych incydentów. Zaakcentowano też znaczenie rozwiązań zgodnych z eIDAS 2 jako narzędzi weryfikacji wieku przy zachowaniu zasady minimalizacji danych oraz niezbędność koordynacji działań międzyresortowych i UODO.

Współpraca międzynarodowa

UODO działa na rzecz edukacji cyfrowej dzieci w ramach Digital Education Working Group, grupy roboczej funkcjonującej w ramach The Global Privacy Assembly (GPA). Celem DEWG jest promowanie edukacji cyfrowej różnych podmiotów, z poszanowaniem praw i wolności dzieci, podnoszenie ich świadomości poprzez edukację, a dzieciom - pomaganie w stawaniu się odpowiedzialnymi obywatelami cyfrowymi, korzystającymi z przysługujących im praw, przy jednoczesnym zachowaniu zasady odpowiedzialności rodzicielskiej.

Plany UODO

W ramach planowanych działań UODO zapowiedział organizację seminariów dla administratorów i dostawców usług, dalsze kontrole sektorowe i publikację rekomendacji oraz szablonów polityk dla szkół. Urząd będzie także oferował materiały edukacyjne i wsparcie dla samorządów, przedszkoli i organizacji pozarządowych oraz podejmował współpracę z platformami cyfrowymi w zakresie obowiązków wynikających z DSA.

Urząd Ochrony Danych Osobowych stawia na pierwszym miejscu ochronę praw dzieci do prywatności i bezpieczeństwa w przestrzeni cyfrowej oraz deklaruje gotowość do dalszej współpracy z Komisją, ministerstwami, samorządami i ze środowiskiem oświatowym. UODO pozostaje do dyspozycji w zakresie przekazania szczegółowych materiałów, prowadzenia seminariów, udostępniania szablonów polityk i wsparcia merytorycznego dla działań ustawodawczych oraz praktycznych wdrożeń w placówkach.