KRATKI VODIČ O OPĆOJ UREDBI ZAŠTITE PODATAKA ZA ŠKOLE I NASTAVNIKE

Zaštita podataka je bitna: znači privatnost i poštovanje kao i slobodu od manipulacije. Ipak, postoji određana zabrinutost oko Opće uredbe Europske unije o zaštiti podataka. Trebaju li škole prilagoditi svoje evidencije? Koje se informacije smatraju osjetljivima? Možete li još uvijek nositi školske podatke na prijenosnom uređaju? U ovoj ćete se uputi bolje upoznati s time kako zaštititi podatke svojih učenika – te razumijeti što se događa s vašim vlasititm podacima.

Znati razliku: lični i osjetljivi podaci

Lični podaci sadržavaju bilo koje informacije kojima se može pomoći identificirati osobu ili njenu porodicu. U školskim zapisima, to bi mogla biti njihova imena, njihova adresa, njihovi podaci za kontakt, njihovi zapisi o disciplinskim postupcima kao i njihove svjedodžbe te izvješća o napretku. Ta vrsta podataka ostaje „lična“ čak i ako osoba odluči objaviti te podatke.

Posebnu kategoruju podataka čine osjetljivije teme. Kad je riječ o školama, obuhvaćeni su biometrijski podaci učenika (npr. otisci prstiju, fotografije), vjerska uvjerenja (npr. odluka učenika da pohađa vjeronauk), zdravlje (npr. alergije) ili prehrambeni zahtjevi (koji mogu ukazati na njihovu vjeru ili zdravlje). Podaci u toj kategoriji mogu izložiti ljude riziku te ih je stoga moguće obrađivati jedino u određenim uvjetima. Škole ih vjerojatno neće moći koristiti bez roditeljske dozvole.

Znati razliku: voditelji i izvršitelji obrade ličnih podataka

U Općoj uredbi o zaštiti podataka ukazuje se na važnost dviju uloga, koje mogu obnašati osobe ili subjekti: voditelj obrade osobnih podataka određuje sredstvo i svrhe obrade podataka, a izvršitelj obrade osobnih podataka postupa s podacima u korist voditelja obrade. Svaka od ovih stranaka ima različite zakonske odgovornosti.

Škola će uobičajeno biti „voditelj obrade“ te je dužna osigurati jasni ugovor s „izvršiteljem obrade“. Izvršitelj obrade može preuzeti različite uloge: od fotografa do kompanije za rezanje i uništavanje papira, platforme za učenje putem interneta ili dijela softvera. Bilo koju aktivnost koju ovi subjekti vrše na podacima smatra se obradom, čak ako je automatizirana: prikupljanje podataka, njihovo pohranjivanje, popravljanje, uništavanje itd.

Dobre prakse: pratite se

Prema novim zakonima, škole (kao sva javna tijela) dužne su imenovati službenika za zaštitu podataka, tj. osobu odgovornu za Opću uredbu o zaštiti podataka. Zadatak te osobe jest pratiti školske politike, osigurati obuku, provoditi revizije i drugo. Ali škole ne bi trebale računati na službenika za zaštitu podataka da otkriva sve nedostatke u školskom sistemu. Ovdje su neka pitanja koja bi si svako trebao postaviti:

Na kojoj osnovi obrađujete podatke? Postoji šest pravnih osnova za obradu podataka prema Općoj uredbi o zaštiti podataka. Najrelevantnija za škole je zakonita osnova javni zadatak, što znači da škole koriste podatke kako bi se izvršio zadatak u javnom interesu. Međutim, podaci prikupljeni u tu svrhu ne mogu se reciklirati u drugu svrhu. Na primjer, škola ne može dijeliti s trećom stranom adresu e-pošte roditelja čime se promiču školska događanja, tvrdeći da je to „javni zadatak“; da bi se ti podaci podijelili, moraju tražiti drugu zakonitu osnovu, privolu. Škole bi također trebale zatražiti privolu ako otvaraju učenički račun za uslugu zakupa prostora na poslužitelju u oblaku.

Koji podaci se čuvaju i gdje i ko ima pristup tim podacima? Škole bi trebale provesti reviziju svojih praksa obrade podataka. Čim raspolažu potpunim pregledom osobnih podataka, škole mogu razmotriti najbolji način kako podatke zaštititi.

Koje ste sigurnosne mjere uveli? Povrede podataka ne vrše uvijek hakeri i nisu uvijek izvršene zlonamjernim softverom – mogu također nastati ako svoje prijenosno računalo zaboravite u vozu ili je u rukama znatiželjnog člana porodice. Iz tog razloga, osoblje bi trebalo pohraniti lične podatke samo na školsku opremu, koristiti snažne lozinke te postaviti uređaje da se automatski zaključaju nakon pet minuta. Ako se lični podaci preuzimaju na uklonjive medije, kao što je USB stick, mora biti šifriran i zaštićen lozinkom te čuvan podalje od drugih korisnika. Osoblje bi također trebalo pohađati obuku o socijalnom inženjeringu, krađi osobnih podataka, tehnologijama u oblaku, zlonamjernim programima i sličnom.

Što roditelji znaju? Škole bi trebale izdati obavijest o zaštiti privatnosti roditeljima putem prospekata, biltena, izvješća ili dopisa/e-pošte: u njima bi trebali navesti podatke koje prikupljaju, razlog prikupljanja podataka te treće strane koje su u to upućene. Imajte na umu da prema Općoj uredbi o zaštiti podataka roditelji i učenici mogu zatražiti bez ikakve naknade vidjeti podatke koji se o njima vode.

Dobre prakse: budite informirani

Ne samo odrasli već i djeca trebal bi dati određena mišljenja o zaštiti podataka. Iz tog razloga, Zajednički istraživački centar izradio je mobilnu igru Cyber Chronix u kojoj igrači moraju riješiti niz prepreka u vezi s Općom uredbom o zaštiti podataka o futurističkom planetu.

Ako želite saznati više o Općoj uredbi o zaštiti podataka, možete se također obratiti svojem tijelu za zaštitu podataka u svojoj zemlji.
U BiH za to je nadležna Agencija za zaštitu ličnih/osobnih podataka.
AZLP ili AZOP Agencija za zaštitu ličnih/osobnih podataka