Trumpas BDAR vadovas mokykloms ir mokytojams

Image: karelnoppe / Shutterstock.com

Duomenų apsauga labai svarbi – ji užtikrina privatumą, pagarbą ir leidžia išvengti manipuliavimo. Nepaisant to, Europos Sąjungos BDAR (Bendrasis duomenų reglamentas) sukėlė nerimo. Ar jam įsigaliojus mokyklos turėtų pakoreguoti dokumentų tvarkymo procedūras? Kokia informacija laikoma neskelbtina? Ar vis dar galite laikyti mokyklos duomenis nešiojamajame įrenginyje? Ši mokymo medžiaga padės jums geriau suprasti, kaip apsaugoti mokinių duomenis, taip pat suprasti, kas vyksta su jūsų duomenimis.

Asmens duomenų ir neskelbtinų duomenų skirtumas

Asmens duomenys – tai bet kokia informacija, kuri padeda identifikuoti asmenį arba jo šeimos narius. Kalbant apie mokyklos duomenis, tai yra mokinio vardas ir pavardė, adresas, kontaktiniai duomenys, drausminės priemonės, pažymiai ir informacija apie pažangą. Tokie duomenys išlieka asmens duomenimis, net jeigu asmuo sutinka juos paskelbti.

Specialieji duomenys susiję su jautresnėmis temomis. Kalbant apie mokyklas, šie duomenys apima mokinių biometrinius duomenis (pavyzdžiui, pirštų antspaudus, nuotraukas), religinius įsitikinimus (pavyzdžiui, tikybos pamokų atsisakiusius mokinius), sveikatą (pavyzdžiui, alergiją) arba mitybos poreikius (kurie gali būti susiję su religiniais įsitikinimais arba sveikata). Paskelbti šiai kategorijai priklausantys duomenys gali kelti pavojų, todėl juos galima tvarkyti tik tam tikromis sąlygomis. Mokyklos tikriausiai negalės jų naudoti be tėvų sutikimo.

Kuo skiriasi duomenų valdytojai ir duomenų tvarkytojai?

BDAR išskiriami du svarbūs vaidmenys, kuriuos gali atlikti tiek fiziniai, tiek juridiniai asmenys. Duomenų valdytojas susijęs su duomenų tvarkymo priemonėmis ir tikslais, o duomenų tvarkytojas tvarko duomenis duomenų valdytojo vardu. Šių subjektų teisinė atsakomybė skiriasi.

Mokykla paprastai yra duomenų valdytoja, todėl turi sudaryti aiškias sutartis su duomenų tvarkytojais. Duomenų tvarkytojai gali būti įvairūs, pavyzdžiui, pradedant nuo fotografo ir baigiant dokumentų naikinimo įmone, internetine mokymosi platforma arba tam tikra programine įranga. Duomenų tvarkymu laikoma bet kokia operacija, kurią minėti subjektai atlieka su duomenimis (netgi automatinė): rinkimas, saugojimas, paieška, naikinimas ir pan.

Geroji patirtis – stebėkite save

Pagal naująjį teisės aktą mokyklos (kaip ir visos viešosios institucijos) turi paskirti duomenų apsaugos pareigūną, t. y. asmenį, kuris rūpinsis visais su BDAR susijusiais klausimais. Tokio asmens pareiga yra stebėti mokyklos politiką, vykdyti mokymus, atlikti patikrinimus ir pan. Visgi mokyklos neturėtų tikėtis, kad duomenų apsaugos pareigūnas aptiks visus sistemos trūkumus. Toliau pateikiami keli klausimai, kuriuos turėtumėte sau užduoti:

  1. Kokiais pagrindais tvarkote duomenis? BDAR nustatyti šeši teisėti duomenų tvarkymo pagrindai. Aktualiausias mokykloms yra viešasis interesas – tai reiškia, kad mokyklos naudoja duomenis, veikdamos visuomenės labui. Visgi šiam tikslui surinktų duomenų negalima panaudoti kitais tikslais. Pavyzdžiui, mokykla negali perduoti tėvų el. pašto adresų trečiosioms šalims, kurios reklamuoja mokyklos renginius, teigdama, kad tai atitinka „viešąjį interesą“. Minėtu atveju reikalingas kitas teisėtas pagrindas – sutikimas. Mokyklos taip pat turėtų gauti sutikimą norėdamos kurti mokinių paskyras debesų tarnyboje.

  2. Kokie duomenys ir kur saugomi, ir kas turi prieigą prie jų? Mokyklos turėtų atlikti duomenų tvarkymo praktikos auditą. Tik apžvelgusi visus turimus asmens duomenis mokykla gali nuspręsti, kaip geriausiai juos apsaugoti.

  3. Kokias duomenų apsaugos priemones įgyvendinote? Duomenų apsaugos pažeidimai ne visada susiję su programišių ir kenkėjiškos programinės įrangos veiksmais – jie gali įvykti, pavyzdžiui, pamiršus nešiojamąjį kompiuterį traukinyje arba smalsaujant šeimos nariui. Dėl šios priežasties mokyklos darbuotojai asmens duomenis turi laikyti tik mokyklai priklausančiuose įrenginiuose, apsaugoti juos patikimais slaptažodžiais ir nustatyti taip, kad nenaudojami įrenginiai po penkių minučių automatiškai užsirakintų. Jeigu asmens duomenys perkeliami į keičiamą laikmeną, pavyzdžiui, USB atmintinę, ji turi būti užšifruota ir apsaugota slaptažodžiu, taip pat neprieinama kitiems naudotojams. Be to, darbuotojai turėtų baigti mokymus apie socialinę inžineriją, sukčiavimą, debesų technologijas, išpirkos reikalaujančios programinės įrangos atakas ir pan.

  4. Ką žino tėvai? Mokyklos turi paskelbti tėvams informaciją apie privatumą, išleisdamos lankstinuką, naujienlaiškį, pranešimą arba laišku ar el. laišku. Tokiame pranešime mokykla turėtų nurodyti, kokius asmens duomenis renka, dėl kokios priežasties ir kokios trečiosios šalys gali su jais susipažinti. Turėkite omenyje, kad pagal BDAR tėvai ir mokiniai gali prašyti nemokai susipažinti su turima informacija apie juos.

Geroji patirtis – teikite informaciją

Ne tik suaugusieji, bet ir vaikai turėtų šiek tiek nusimanyti apie duomenų apsaugą. Dėl šios priežasties Jungtinis tyrimų centras sukūrė mobiliesiems įrenginiams skirtą žaidimą „Cyber Chronix“, kurį žaidžiant reikia įveikti su BDAR susijusias kliūtis futuristinėje planetoje.

Norėdami daugiau sužinoti apie BDAR, taip pat galite kreiptis į savo šalies duomenų apsaugos tarnybą.

Be to, galite perskaityti leidinius, kurie padėjo sukurti šią mokymo priemonę:

Galiausia, skirkite 30 sekundžių ir atlikite „360data“ testą, skirtą jūsų duomenų apsaugos politikai įvertinti!