Articol

Article Icon

Gradinitele si scolile in contextul GDPR

2018-10-26 10:24:55 ["Roxana Elena Cosma"]

Scopul GDPR impune protejarea confidentialitatii si incalcarea datelor personale intr-o lume care devine tot mai dependenta de tot ce inseamna date si informatii. Cand vine vorba de datele scolare acestea au o natura mult mai sensibila prin prisma persoanei vizate – minorul, care nu a atins inca maturitatea fizica si psihologica. Gradinitele, scolile si liceele prelucreaza numeroase date cu caracter personal atat ale copilului, cat si ale reprezentantilor sai legali, avand astfel calitatea de operator de date cu caracter personal. Incepand cu data de 25 mai 2018, toate unitatile de invatamant trebuie sa desfasoare activitatea de prelucrare a datelor in conformitate cu GDPR nr. 679/2016, care se va aplica direct in toate statele membre U.E.. In contextul protectiei datelor cu caracter personal ale copiilor, prelucrarea trebuie sa respecte si principiul interesului superior al copilului. Inca din etapa inscrierii copilului, unitatea de invatamant colecteaza date cu caracter personal care privesc atat copilul, in calitate de beneficiar primar al invatamantului, cat si reprezentantii sai legali, in calitate de beneficiari secundari. Actele obligatorii care formeaza dosarul de inscriere difera in functie de nivelul educational (invatamant prescolar/ primar/ secundar). In mod obligatoriu, spre exemplu pentru inscrierea in invatamantul primar, sunt solicitate fotocopia actului de identitate al reprezentantului legal, a certificatului de nastere al copilului, hotararii judecatoresti in cazul parintilor divortati.1 Sunt solicitate chiar si documente medicale in vederea mentinerii unui climat sanatos la nivel de grupa/clasa pentru evitarea degradarii starii de sanatate a celorlalti beneficiari directi din colectivitate. Regasim aceasta obligatie in cuprinsul contractului educational care se incheie intre unitatea de invatamant si reprezentantul legal al copilului. Datele personale privind sanatatea trebuie sa beneficieze de o protectie sporita, conform GDPR. Sfera persoanelor catre care se transmit astfel de date trebuie sa fie restransa, pentru a se respecta si dreptul la viata privata garantat de art. 8 din CEDO. In plus, unitatea de invatamant colecteaza si alte date necesare pentru furnizarea serviciului educational, cum sunt numarul de telefon si adresa de e-mail ale reprezentantilor legali in scopul principal de a-i contacta si informa pe acestia despre activitatea copilului. Aceste date ale parintilor pot fi utilizate si in scop de marketing direct de catre unitatea de invatamant, insa numai daca persoana respectiva si-a exprimat consimtamantul expres pentru a-i fi prelucrate aceste date in acest scop specific. Consimtamantul reprezentatului legal este necesar si pentru fotografierea copiilor, altfel nefiind permisa publicarea fotografiilor de catre unitatea de invatamant. Scolile/gradinitele pot sa nu solicite consimtamantul prealabil al parintilor atunci cand fotografiile nu permit identificarea facila a elevilor. Totusi, in asemenea cazuri, ramane obligatorie informarea copiilor, parintilor/reprezentantilor legali ca se va face o fotografie si modul in care va fi aceasta utilizata, fiindu-le oferita posibilitatea de a refuza sa faca parte din fotografie. Asadar, unitatea de invatamant ajunge sa prelucreze mai multe categorii de date personale, inclusiv date cu caracter special cum este CNP-ul si date privind sanatatea minorului, care impun masuri mai riguroase de protectie. Fiecare unitate de invatamant ar trebui sa aiba o cartografie a datelor cu caracter personal pe care le prelucreaza si temeiurile in baza carora realizeaza procesarea, pentru a fi in conformitate. A avea si a pastra evidenta privind procesarea datelor reprezinta premisele pentru implementarea celorlalte masuri de protectie. Conform GDPR, este foarte important ca unitatile de invatamant sa aiba o politica privind protectia datelor cu caracter personal, care sa fie accesibila parintilor si copiilor, in scopul informarii acestora cu privire la: ce informatii sunt colectate, cine si cum le colecteaza, de ce sunt colectate, cum vor fi utilizate datele si cui vor fi transmise. Parintii si copii trebuie sa aiba o imagine completa despre cum proceseaza unitatea de invatamant datele lor personale. Politica privind protectia datelor cu caracter personal poate fi afisata pe website sau la avizierul unitatii de invatamant. Obligatia de informare se regaseste in art. 13 din Regulamentul general privind protectia datelor nr. 679/2016, iar nerespectarea de catre operator va fi sanctionata. In activitatea de prelucrare a datelor cu caracter personal, unitatile de invatamant trebuie sa se preocupe de securitatea datelor si sa adopte masuri tehnice si organizatorice pentru a impiedica o procesare neautorizata si nelegala si pierderea sau distrugerea accidentala a datelor. Politica interna privind protectia datelor cu caracter personal ar trebui sa se refere si la masurile de securitate, cum si unde se pastreaza dosarele personale ale copiilor, ce categorie de personal are acces la datele parintilor si ale copiilor, cum este permis accesul la sistemul informatic care contine date personale. Adesea date cu caracter personal ajung sa fie pastrate pe dispozitive personale ale angajatilor unitatii de invatamant, fara a fi protejate in mod efectiv, caz in care riscul de insecuritate este crescut. Atentie trebuie acordata si atunci cand se comunica pe e-mail informatii despre activitatea copilului, pentru a se evita incidente cum ar fi comunicarea unor informatii si date personale catre alte persoane, din greseala. In cazul in care se produce un incident de securitate, conform art. 33 din Regulamentul general privind protectia datelor este obligatorie notificarea incidentului catre autoritatea de supraveghere (ANSPDCP) in termen de 72 de ore de cand a luat cunostinta de acesta. In temeiul art. 5 alin. (2) din Regulament, unitatile de invatamant trebuie sa poata face dovada ca prelucreaza datele personale in conformitate cu principiile regasite in capitolul II din acest act normativ european. Aceasta noua obligatie presupune ca toti operatorii de date cu caracter personal sa evalueze modul in care efectueaza procesarea in prezent pentru a lua masurile necesare astfel incat aceasta sa fie in conformitate cu exigentele legislatiei aplicabile incepand cu 25 mai 2018. Nu mai putin important este rolul pe care il au unitatile de invatamant in procesul de educatie al copiilor, rol in virtutea caruia le revine inclusiv sarcina de a-i invata pe acestia sa fie responsabili cu datele lor personale. Copiii si elevii ar trebui sa fie crescuti pentru a deveni cetateni independenti ai societatii informationale. In acest scop, este deosebit de important ca ei sa invete, inca din primii ani, despre importanta vietii private si a protectiei datelor. Aceste concepte le vor permite ca, mai tarziu, sa ia decizii in cunostinta de cauza privind informatiile pe care doresc sa le dezvaluie, cui si in ce conditii. Grupul de lucru „ARTICOLUL 29” privind protectia datelor cu caracter personal recomanda inca din anul 2009 includerea sistematica a protectiei datelor in planurile de invatamant, in conformitate cu varsta elevilor si cu natura materiilor predate.