Scopul GDPR impune protejarea confidențialității datelor personale într-o lume care devine tot mai dependentă de tot ce înseamnă date și informații.
Cand vine vorba de datele școlare acestea au o natură mult mai sensibilă prin prisma persoanei vizate – minorul, care nu a atins încă maturitatea fizică și psihologică. Grădinițele, școlile și liceele prelucrează numeroase date cu caracter personal atât ale copilului, cât și ale reprezentanților săi legali, având astfel calitatea de operator de date cu caracter personal.
Începând cu data de 25 mai 2018, toate unitățile de învățământ trebuie să desfășoare activitatea de prelucrare a datelor în conformitate cu GDPR nr. 679/2016, care se va aplica direct în toate statele membre U.E.. În contextul protecției datelor cu caracter personal ale copiilor, prelucrarea trebuie să respecte și principiul interesului superior al copilului.
Încă din etapa înscrierii copilului, unitatea de învățământ colectează date cu caracter personal care privesc atât copilul, în calitate de beneficiar primar al învățământului, cât și reprezentanții săi legali, în calitate de beneficiari secundari.
Actele obligatorii care formează dosarul de înscriere diferă în funcție de nivelul educațional (învățământ preșcolar/ primar/ secundar). În mod obligatoriu, spre exemplu pentru înscrierea în învățământul primar, sunt solicitate fotocopia actului de identitate al reprezentantului legal, a certificatului de naștere al copilului, hotărârii judecătorești în cazul părinților divorțați.[1]
Sunt solicitate chiar și documente medicale în vederea menţinerii unui climat sănătos la nivel de grupă/clasă pentru evitarea degradării stării de sănătate a celorlalţi beneficiari direcţi din colectivitate. Regăsim această obligație în cuprinsul contractului educațional care se încheie între unitatea de învățământ și reprezentantul legal al copilului. Datele personale privind sănătatea trebuie să beneficieze de o protecție sporită, conform GDPR. Sfera persoanelor către care se transmit astfel de date trebuie să fie restrânsă, pentru a se respecta și dreptul la viată privată garantat de art. 8 din CEDO.
In plus, unitatea de învățământ colectează și alte date necesare pentru furnizarea serviciului educațional, cum sunt numărul de telefon și adresa de e-mail ale reprezentanților legali în scopul principal de a-i contacta și informa pe aceștia despre activitatea copilului. Aceste date ale părinților pot fi utilizate și în scop de marketing direct de către unitatea de învățământ, însă numai dacă persoana respectivă și-a exprimat consimțământul expres pentru a-i fi prelucrate aceste date în acest scop specific.
Consimțământul reprezentatului legal este necesar și pentru fotografierea copiilor, altfel nefiind permisă publicarea fotografiilor de către unitatea de învățământ. Școlile/grădinițele pot să nu solicite consimțământul prealabil al părinților atunci când fotografiile nu permit identificarea facilă a elevilor. Totuși, în asemenea cazuri, rămâne obligatorie informarea copiilor, părinților/reprezentanților legali că se va face o fotografie și modul în care va fi aceasta utilizată, fiindu-le oferită posibilitatea de a refuza să facă parte din fotografie.
Așadar, unitatea de învățământ ajunge să prelucreze mai multe categorii de date personale, inclusiv date cu caracter special cum este CNP-ul și date privind sănătatea minorului, care impun măsuri mai riguroase de protecție. Fiecare unitate de învățământ ar trebui să aibă o cartografie a datelor cu caracter personal pe care le prelucrează și temeiurile în baza cărora realizează procesarea, pentru a fi în conformitate. A avea și a păstra evidența privind procesarea datelor reprezintă premisele pentru implementarea celorlalte măsuri de protecție.
Conform GDPR, este foarte important ca unitățile de învățământ să aibă o politică privind protecția datelor cu caracter personal, care să fie accesibilă părinților și copiilor, în scopul informării acestora cu privire la: ce informatii sunt colectate, cine și cum le colectează, de ce sunt colectate, cum vor fi utilizate datele și cui vor fi transmise. Părinții și copii trebuie să aibă o imagine completă despre cum procesează unitatea de învățământ datele lor personale. Politica privind protecția datelor cu caracter personal poate fi afișată pe website sau la avizierul unității de învățământ.
Obligația de informare se regăsește în art. 13 din Regulamentul general privind protecția datelor nr. 679/2016, iar nerespectarea de către operator va fi sancționată.
În activitatea de prelucrare a datelor cu caracter personal, unitățile de învățământ trebuie să se preocupe de securitatea datelor și să adopte măsuri tehnice și organizatorice pentru a împiedica o procesare neautorizată și nelegală și pierderea sau distrugerea accidentală a datelor.
Politica internă privind protecția datelor cu caracter personal ar trebui să se refere și la măsurile de securitate, cum și unde se păstrează dosarele personale ale copiilor, ce categorie de personal are acces la datele părinților și ale copiilor, cum este permis accesul la sistemul informatic care conține date personale. Adesea date cu caracter personal ajung să fie păstrate pe dispozitive personale ale angajaților unității de învățământ, fără a fi protejate în mod efectiv, caz în care riscul de insecuritate este crescut.
Atenție trebuie acordată și atunci când se comunică pe e-mail informații despre activitatea copilului, pentru a se evita incidente cum ar fi comunicarea unor informații și date personale către alte persoane, din greșeală.
În cazul în care se produce un incident de securitate, conform art. 33 din Regulamentul general privind protecția datelor este obligatorie notificarea incidentului către autoritatea de supraveghere (ANSPDCP) în termen de 72 de ore de când a luat cunoștință de acesta.
În temeiul art. 5 alin. (2) din Regulament, unitățile de învățământ trebuie să poată face dovada că prelucrează datele personale în conformitate cu principiile regăsite în capitolul II din acest act normativ european. Această nouă obligație presupune ca toti operatorii de date cu caracter personal să evalueze modul în care efectuează procesarea în prezent pentru a lua măsurile necesare astfel încât aceasta să fie în conformitate cu exigențele legislației aplicabile începând cu 25 mai 2018.
Nu mai puțin important este rolul pe care îl au unitățile de învățământ în procesul de educație al copiilor, rol în virtutea căruia le revine inclusiv sarcina de a-i învăța pe aceștia să fie responsabili cu datele lor personale.
Copiii și elevii ar trebui să fie crescuți pentru a deveni cetățeni independenți ai societății informaționale. În acest scop, este deosebit de important ca ei să învețe, încă din primii ani, despre importanța vieții private și a protecției datelor. Aceste concepte le vor permite ca, mai târziu, să ia decizii în cunoștință de cauză privind informațiile pe care doresc să le dezvăluie, cui și în ce condiții. Grupul de lucru „ARTICOLUL 29” privind protecția datelor cu caracter personal recomandă încă din anul 2009 includerea sistematică a protecției datelor în planurile de învățământ, în conformitate cu vârsta elevilor și cu natura materiilor predate.[2]
[1] Ordinul ministrului Educației Naționale nr. 3.242/23.02.2018 privind aprobarea calendarului și a metodologiei de înscriere a copiilor în învățământul primar pentru anul școlar 2018-2019.
[2] Avizul 2/2009 privind protecția datelor cu caracter personal ale copiilor.