Ghid concis de interpretare a GDPR, pentru uzul școlilor și profesorilor

Image: karelnoppe / Shutterstock.com

Protecția datelor este esențială! Ea se traduce prin confidențialitate, respect și independență față de influența manipulării. Cu toate acestea, adoptarea de către Uniunea Europeană a GDPR-ului (Regulamentului general privind protecția datelor) a agitat puțin spiritele. Vor trebui școlile să-și modifice procedurile privind activitatea arhivistică? Care informații sunt considerate delicate? Mai putem păstra datele școlii pe un dispozitiv portabil? Acest material vă va ajuta să protejați mai bine datele elevilor și să înțelegeți ce se întâmplă cu ale dumneavoastră.

Recunoașteți diferența: date personale și sensibile

Datele personale cuprind orice informație care permite identificarea unei persoane sau a familiei acesteia. În arhivele școlare, aceste date cuprind: numele, adresa, datele de contact, informațiile despre purtare, notele și caracterizările elevilor. Aceste date rămân „personale” chiar dacă persoana respectivă decide să le facă publice.

O categorie specială de date vizează subiecte mai sensibile. În ceea ce privește școlile, aceste informații cuprind datele biometrice (de ex., amprentele, fotografiile) ale elevilor, credințele lor religioase (de ex., dacă un elev a ales să nu frecventeze ora de religie), datele despre sănătatea (de ex., alergii) sau dieta elevilor (informații care pot contribui la identificarea religiei sau stării de sănătate a elevilor). Datele din această categorie pot constitui un risc la adresa persoanelor și, prin urmare, pot fi prelucrate doar în anumite condiții. Este foarte probabil ca școlile să nu le poată folosi fără consimțământul părinților.

Recunoașteți diferența: operatorii de date și persoanele împuternicite cu prelucrarea datelor

GDPR evidențiază importanța a două roluri, care pot fi ocupate atât de persoane fizice, cât și juridice: operatorul de date, care stabilește mijloacele și scopurile activității de prelucrare de date, și persoana împuternicită de acesta, care prelucrează datele în numele operatorului. Ambele părți au responsabilități juridice.

De obicei, școala este „operatorul”. Prin urmare, ea trebuie să încheie un contract precis cu un „împuternicit”. Împuternicitul poate lua multe forme: de la un fotograf la o companie care distruge documentele, o platformă de învățare online sau un program informatic. Orice operațiune (culegere, stocare, accesare, distrugere etc. a datelor) executată de aceste entități, chiar dacă este automatizată, este considerată una de prelucrare.

Bune practici: monitorizați-vă

Conform noii legislații, școlile (asemenea tuturor autorităților publice) trebuie să numească un responsabil cu protecția datelor, o persoană destinată implementării GDPR. Misiunea sa este de a monitoriza politicile școlii, de a organiza activități de formare, de a evalua etc. Însă școlile nu trebuie să lase doar în seama responsabilului cu protecția datelor descoperirea tuturor defectelor din sistem. Iată câteva întrebări pe care fiecare ar trebui să și le adreseze:

  1. Pe ce bază prelucrați datele? Există șase temeiuri legale pentru prelucrarea datelor în cadrul GDPR. Cel mai relevant temei legal pentru școli este cel de sarcină publică. Conform acestuia, școlile folosesc datele pentru a îndeplini o sarcină care servește interesului public. Cu toate acestea, datele culese în acest scop nu pot fi refolosite în alt scop. Sper exemplu, școala nu poate publica adresa de e-mail a părintelui unei entități terțe care promovează manifestările școlii, pretinzând că este o „sarcină publică”. Pentru a divulga aceste date, școala trebuie să apeleze la o altă bază legală, consimțământul. Școlile trebuie să ceară consimțământul și atunci când doresc să deschidă cont unui elev la un serviciu găzduit online (cloud).

  2. Ce tip de date sunt stocate, unde sunt stocate acestea și cine are acces la ele? Școlile ar trebui să-și evalueze practicile de prelucrare a datelor. Odată ce au o imagine de ansamblu asupra datelor personale de care dispun, pot lua în calcul modalitățile optime de protecție a acestora.

  3. Ce măsuri de securitate folosiți? Încălcările securității datelor cu caracter personal nu sunt întotdeauna opera hackerilor sau a aplicațiilor nocive; ele pot fi și rezultatul unui laptop uitat în tren sau a unui membru de familie curios. Din acest motiv, personalul va stoca datele personale doar pe echipamentele școlii, va folosi parole puternice și va configura dispozitivele să se blocheze automat după cinci minute. În cazul în care datele personale sunt descărcate pe un dispozitiv de memorie mobil, ca, de exemplu, un stick USB, acesta va fi criptat, protejat cu parolă și nu va fi pus la dispoziția altor utilizatori. De asemenea, personalul școlii va trebui să participe la activități de formare pe teme precum ingineria socială, phishing-ul, tehnologiile cloud, atacurile de tip recompensă etc.

  4. Ce informații dețin părinții? Școlile vor trebui să-i înștiințeze pe părinți în legătură cu chestiunile legate de protecția datelor cu caracter personal prin intermediul unui prospect, buletin informativ, raport sau scrisori/e-mail. Documentul va trebui să precizeze tipul de date culese de școli, motivația acestui demers și părțile terțe care au acces la ele. Vă rugăm să rețineți că, potrivit GDPR, părinții și elevii au dreptul să ceară școlilor să consulte, în mod gratuit, datele care îi privesc.

Bune practici: informați-vă

Protecția datelor cu caracter personal ar trebui să-i intereseze nu doar pe adulți, ci și pe copii. Din acest motiv, Centrul Comun de Cercetare a conceput jocul mobil Cyber Chronix, în care jucătorii trebuie să depășească o serie de obstacole circumscrise GDPR pe o planetă futuristă.

Dacă doriți să aflați mai multe despre GDPR, aveți posibilitatea de a contacta Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din țara dumneavoastră.

De asemenea, aveți la dispoziție aceste publicații, care au stat la baza acestui material informativ:

În sfârșit, vă invităm să completați următorul chestionar, de 30 de secunde, elaborat de 360data, pentru a vă evalua politica de protecția a datelor cu caracter personal!