Ghid concis de interpretare a GDPR, pentru uzul școlilor și profesorilor

Recunoașteți diferența: date personale și sensibile

Datele personale cuprind orice informație care permite identificarea unei persoane sau a familiei acesteia. În arhivele școlare, aceste date cuprind: numeleadresadatele de contactinformațiile despre purtarenotele și caracterizările elevilor. Aceste date rămân „personale” chiar dacă persoana respectivă decide să le facă publice.

categorie specială de date vizează subiecte mai sensibile. În ceea ce privește școlile, aceste informații cuprind datele biometrice (de ex., amprentele, fotografiile) ale elevilor, credințele lor religioase (de ex., dacă un elev a ales să nu frecventeze ora de religie), datele despre sănătatea (de ex., alergii) sau dieta elevilor (informații care pot contribui la identificarea religiei sau stării de sănătate a elevilor). Datele din această categorie pot constitui un risc la adresa persoanelor și, prin urmare, pot fi prelucrate doar în anumite condiții. Este foarte probabil ca școlile să nu le poată folosi fără consimțământul părinților.

Bune practici: monitorizați-vă

Conform noii legislații, școlile (asemenea tuturor autorităților publice) trebuie să numească un responsabil cu protecția datelor, o persoană destinată implementării GDPR. Misiunea sa este de a monitoriza politicile școlii, de a organiza activități de formare, de a evalua etc. Însă școlile nu trebuie să lase doar în seama responsabilului cu protecția datelor descoperirea tuturor defectelor din sistem. Iată câteva întrebări pe care fiecare ar trebui să și le adreseze:

  1. Pe ce bază prelucrați datele? Există șase temeiuri legale pentru prelucrarea datelor în cadrul GDPR. Cel mai relevant temei legal pentru școli este cel de sarcină publică. Conform acestuia, școlile folosesc datele pentru a îndeplini o sarcină care servește interesului public. Cu toate acestea, datele culese în acest scop nu pot fi refolosite în alt scop. Sper exemplu, școala nu poate publica adresa de e-mail a părintelui unei entități terțe care promovează manifestările școlii, pretinzând că este o „sarcină publică”. Pentru a divulga aceste date, școala trebuie să apeleze la o altă bază legală, consimțământul. Școlile trebuie să ceară consimțământul și atunci când doresc să deschidă cont unui elev la un serviciu găzduit online (cloud).
  2. Ce tip de date sunt stocate, unde sunt stocate acestea și cine are acces la ele? Școlile ar trebui să-și evalueze practicile de prelucrare a datelor. Odată ce au o imagine de ansamblu asupra datelor personale de care dispun, pot lua în calcul modalitățile optime de protecție a acestora.
  3. Ce măsuri de securitate folosiți? Încălcările securității datelor cu caracter personal nu sunt întotdeauna opera hackerilor sau a aplicațiilor nocive; ele pot fi și rezultatul unui laptop uitat în tren sau a unui membru de familie curios. Din acest motiv, personalul va stoca datele personale doar pe echipamentele școlii, va folosi parole puternice și va configura dispozitivele să se blocheze automat după cinci minute. În cazul în care datele personale sunt descărcate pe un dispozitiv de memorie mobil, ca, de exemplu, un stick USB, acesta va fi criptat, protejat cu parolă și nu va fi pus la dispoziția altor utilizatori. De asemenea, personalul școlii va trebui să participe la activități de formare pe teme precum ingineria socială, phishing-ul, tehnologiile cloud, atacurile de tip recompensă etc.
  4. Ce informații dețin părinții? Școlile vor trebui să-i înștiințeze pe părinți în legătură cu chestiunile legate de protecția datelor cu caracter personal prin intermediul unui prospect, buletin informativ, raport sau scrisori/e-mail. Documentul va trebui să precizeze tipul de date culese de școli, motivația acestui demers și părțile terțe care au acces la ele. Vă rugăm să rețineți că, potrivit GDPR, părinții și elevii au dreptul să ceară școlilor să consulte, în mod gratuit, datele care îi privesc.