Despre GDPR în școli
Din evantaiul de domenii asupra cărora GDPR și-a pus amprenta, domeniul învățământului este printre primele care au resimțit din plin efectele acestui regulament. Sau, cel puțin, nevoia de aliniere rapidă la cerințele lui.
De ce? În primul rând, pentru că majoritatea datelor personale pe care le prelucrează școlile sunt date ale copiilor, iar aceștia sunt, în viziunea GDPR, persoane vulnerabile, ale căror date personale trebuie protejate cu și mai mare rigoare. Apoi, pentru că, prin natura lor, unele dintre datele prelucrate de școli sunt date speciale (cum sunt, de exemplu, datele referitoare la alergii alimentare, istoric medical, în esență date care privesc sănătatea).
După o perioadă de trei ani în care am fost alături de instituții de învățământ în procesul lor de implementare a GDPR din poziția de responsabil cu protecția datelor (DPO), am extras câțiva pași pe care cred că orice școală preocupată de siguranța datelor personale pe care le gestionează ar trebui să îi facă și pe care ne-am propus să îi descriem în câteva episoade în acest blog.
Pornind de la specificul activității școlilor, dar și de la volumul și tipul datelor personale pe care le prelucrează, în special prin prisma obligației școlilor de a păstra arhiva actelor de studii ale foștilor elevi, consider că numirea unui responsabil cu protecția datelor (cunoscutul Data Protection Officer sau DPO) este o necesitate.
Considerând că momentul t0 al conștientizării nevoii de reglementare a GDPR în școala a fost deja depășit, primul pas concret este să îl găsim pe acel “cineva” care va face treaba propriu-zisă. Cu alte cuvinte, dacă ne gândim la un angajat al școlii, ar trebui să identificăm acea persoană dispusă să se instruiască într-un domeniu nou – cel al protecției datelor, să răspundă provocărilor cu care școala se confruntă în acest domeniu și să își asume câteva responsabilități specifice. Dacă această persoană este angajatul școlii pe un alt post, așa cum se întâmplă de multe ori, atunci va trebui să fie dispusă să își asume aceste sarcini în plus față de funcția de bază. În multe situații, externalizarea acestei funcții se poate dovedi mai eficienta și mai economica, mai ales în cazul școlilor din același grup de instituții de învățământ care au dreptul de a desemna în comun aceeași persoană ca responsabil cu protecția datelor.
Ce ar trebui să facă o astfel de persoană responsabilă cu protecția datelor? Pornind de la prevederile GDPR, principalele sarcini care îi revin sunt cele de mai jos:
- monitorizează conformitatea cu GDPR și acordă asistență operatorului sau persoanei împuternicite de operator pentru monitorizarea conformității, la nivel intern
- acordă asistență și furnizează consiliere de specialitate în evaluarea impactului asupra protecției datelor derulate de școală – asupra procedurii de evaluare a impactului asupra protecției datelor vom reveni mai pe larg într-un episod ulterior
- cooperează cu ANSPDCP și își asumă rolul de punct de contact
- ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.
- întocmește și completează la zi registrul operațiunilor de prelucrare pe baza informațiilor puse la dispoziția lor de către diferitele departamente din cadrul școlii.
Frecvent, când conducerea școlii caută o persoană potrivită pentru această muncă, primul gând se îndreaptă, firesc de altfel, către consilierul juridic. Acesta poate fi un bun candidat, pentru că fundamentul protecției datelor îl constituie rețeaua de temeiuri legale ale prelucrării, de drepturi și obligații privită prin lentila unor principii fundamentale impuse de GDPR.
Iar uneori răspunsul la unele dintre cele mai frecvente provocări este rezultatul verificării unei suprapuneri de reguli, principii și norme din mai multe sfere ale dreptului. Spre exemplu, una dintre cele mai dese întrebări pe care am primit-o este aceasta: cum procedăm cu elevii ai căror părinți nu au fost de acord ca școala să le fotografieze sau să le filmeze copilul, atunci când copilul participă la evenimente unde se fotografiază sau se filmează? Emoția din spatele întrebării este cu atât mai puternică atunci când persoana care o adresează este un educator sau un profesor din ciclul primar care s-a văzut deseori nevoit să își folosescă toate resursele de creativitate pentru a explica unui puști de 5-6 ani că nu poate să apară în poză lângă colegii lui din motive de… lipsă a temeiului legal…
Rezolvarea în acest caz poate fi o procedură standard adoptată de școală, după ce aceasta decide pe baza unei calificări corecte a dreptului invocat de părinte și a temeiului juridic al solicitării părintelui. În cazul de față, dreptul de a interzice reproducerea imaginii proprii există în Codul civil cu mult anterior GDPR, deci gestionarea acestui drept ar trebui stabilită în raport de toate prevederile legale care îl reglementează, GDPR fiind una dintre acestea, dar nu singura. Spre exemplu, o posibilă soluție poate fi obținerea unui acord separat, punctual pentru fiecare eveniment în parte (de exemplu, prin inserarea unei rubrici suplimentare privind fotografierea sau filmarea în formularul de Acord al părintelui/tutorelui legal acordat pentru participarea copilului la tabere/excursii/expediții, dacă imaginile sunt prelucrate exclusiv în scopul informării părintelui asupra activităților desfășurate în cadrul evenimentelor punctuale și dacă nu vor fi utilizate în alt scop și nu vor fi distribuite către public).
Prin urmare, ca orice proces, pentru a avea șanse de finalizare, și procesul de implementare a GDPR în școală trebuie mai întâi să fie demarat. Indiferent dacă școala alege să adesfășoarecest proces printr-un angajat intern sau să îl externalizeze, prima misiune a persoanei desemnate să ducă la bun sfârșit sau să gestioneze această sarcină este misiunea de audit.
În episodul următor vom discuta despre auditul inițial sau despre misiunea de audit a DPO pe care persoana responsabilă din povestea noastră trebuie să îl/o deruleze pentru ca pașii de urmat pe drumul spre obiectivul final, conformarea cu prevederile GDPR, să fie mai simplu de identificat și urmat.