Prelucrarea datelor personale de către școli în contextul pandemiei de COVID-19

prelucrarea datelor personale școli

În contextul pandemiei COVID-19, al decretării stării de urgență și apoi de alertă, cursurile din sistemul de învățământ au fost suspendate cel puțin până la finalizarea anului școlar curent. Activitățile de predare și de examinare s-au mutat, cu puține excepții, în mediul online. Cum trebuie să prelucreze instituțiile de învățământ datele personale ale elevilor și studenților?

În lipsa unui regulament bine stabilit, școlile și universitățile au început să implementeze diferite măsuri pentru a continua predarea materialelor de curs și pentru a monitoriza testele și examenele. Apar, însă, tot mai multe povești în mediul online despre situații în care încercarea sârguitoare a profesorilor de a construi un cadru cât mai accesibil și ferit de copiat duce la posibile încălcări ale legilor de procesare a datelor personale. Așadar, care sunt drepturile și obligațiile instituțiilor, ale elevilor/studenților și ale părinților, în cadrul școlii online? 

1. Sunt obligate școlile să obțină acordul elevilor/studenților, al părinților și al profesorilor pentru a implementa învățământul la distanță? 

NU. Școlile pot prelucra date, inclusiv date cu caracter special, potrivit art. 9 alin. (1) din GDPR, legate de profesori, elevi/studenți (inclusiv minori) și părinți ca parte din atribuțiile instituției și nu este necesar acordul deținătorilor de date pentru prelucrarea acestora, nici măcar în contextul învățământului la distanță implementat în urma suspendării cursurilor în școli. Totodată, consimțământul nu este o bază legală valabilă pentru prelucrarea datelor în domeniul public și în contextul relației dintre angajat și angajator.  

Cu toate acestea, întrucât ne-a fost semnalat acest aspect, școlile nu pot face adrese de e-mail personale pentru studenți și profesori de tipul [email protected] pentru utilizarea platformelor. Fie se vor folosi adrese instituționale, precum [email protected], fie, în lipsa acestora, va fi furnizat un link de înscriere pentru elevi unde aceștia să se logheze.

Adresa de e-mail a unuia din părinți nu trebuie să fie asociată cu cea a elevului / studentului.

2. Sunt școlile obligate să informeze subiecții datelor în legătură cu prelucrarea datelor personale ale acestora în cadrul învățământului la distanță?

DA. Școlile sunt obligate să asigure transparența procesării datelor prin informarea persoanelor vizate (elevi, studenți, părinți, profesori) într-un limbaj ușor accesibil de către minori.

Acest demers trebuie realizat în special cu privire la tipurile de date și la modul în care vor fi prelucrare, perioada de stocare și alte operațiuni de prelucrare.

Școlile trebuie să specifice și faptul că obiectivele urmărite sunt limitate exclusiv la implementarea și facilitarea învățământului la distanță, pe baza acelorași condiții și cu garanții similare celor existente în cadrul metodelor tradiționale de învățământ.

Prin urmare, școlile trebuie să-și revizuiască nota de informare și să adauge acolo prelucrarea datelor prin intermediul mecanismelor și al instrumentelor de lucru la distanță. Acest lucru implică inclusiv prelucrarea datelor foto-video, care au loc în urma întâlnirilor virtuale, prelucrarea vocii, a adresei de e-mail etc. Aceste note de informare vor trebui adaptate de fiecare școală în parte în funcție de platforma aleasă pentru continuarea studiilor.

3. Poate o școală să dezvăluie familiilor elevilor identitatea rudelor elevilor depistați cu COVID-19? 

Este responsabilitatea autorităților de sănătate competente (DSP) să informeze contactele apropiate ale persoanelor infectate pentru a implementa măsurile preventive necesare.

Școala este obligată să ofere instituțiilor competente informațiile necesare, pentru ca acestea să poată configura o listă a contactelor indivizilor depistați. Școlile au, de asemenea, obligația să implementeze măsuri sanitare, conform indicațiilor și legislației în vigoare

Prin urmare, în cazul în care un elev a fost depistat cu COVID-19 și există posibilitatea ca acesta să fi intrat în contact cu alți elevi (colegi de grupă, clasă etc.), școala ar trebui să informeze doar părinții acelor posibile contacte, sub formă confidențială, fără a furniza numele elevului infectat.

Același principiu se aplică și în relația angajat – angajator, despre care ți-am pregătit un ghid aici.

sau continuă cu:

4. Pot școlile să organizeze videoconferințe cu profesorii? 

Ca urmare a suspendării activităților educaționale tradiționale (cursuri ”față în față”) și a întâlnirilor membrilor personalului educativ, școlile au implementat diferite metode de învățământ la distanță și de lucru “smart”, în special cu privire la activitățile și serviciile administrative.

Din aceleași motive cauzate de starea de urgență și ținând cont de indicațiile Ministerului Educației și Cercetării, orice întâlnire având ca scop activități ce nu pot fi amânate trebuie să fie organizată prin mijloace electronice. 

Școlile trebuie să ia o decizie informată cu privire la platformele pe care le vor utiliza, luând în considerare metodele de protejare a siguranței datelor oferite de fiecare furnizor și, în special, având în vedere riscul la care sunt expuse astfel datele personale ale profesorilor.

Inclusiv ZOOM a fost obiectul unui foarte mare scandal pentru că nu asigura confidențialitatea datelor.

5. Monitorizarea examenelor online 

Introducerea unui sistem de monitorizare remote a examenelor online constituie o modalitate de prelucrare a datelor personale, indiferent de tehnologia folosită: fie că vorbim de filmarea continuă sau de fotografii, monitorizare în timp real sau în retrospectivă, cu sau fără algoritmi de detectare a fraudei, folosirea unui dispozitiv sau a unui program ce permite supervizorului/profesorului să controleze calculatorul studentului de la distanță în timpul examenului, în special prin a verifica accesul la mail și rețele de socializare etc. Toate aceste măsuri trebuie să respecte GDPR. 

În cazul supravegherii prin video, este important să nu încalci dreptul la intimitate al persoanelor filmate, în special prin respectarea dreptului la imagine al celorlalți din cameră. Este astfel recomandat ca elevul să se conecteze dintr-o cameră izolată pe cât posibil. 

a) Pentru instituții: principii de urmărit 

Odată ce alege să folosească astfel de metode, instituția, ca entitate responsabilă pentru prelucrare, trebuie să respecte principiile de protecție a datelor elevilor și studenților, indiferent de platforma folosită și indiferent dacă aceasta se declară compatibilă cu GDPR.

Asemeni oricărei prelucrări de date, instituția va putea să monitorizeze examenele studenților doar dacă stabilește o bază legală

  • Pentru a constitui o bază legală validă, consimțământul elevilor și studenților trebuie să fie liber (neforțat sau influențat, spre exemplu, de poziția de autoritate a profesorului) (Art. 6(1)(e) GDPR). Elevul sau studentul trebuie să aibă cu adevărat posibilitatea de a face o alegere, fără a suferi consecințe negative în cazul unui refuz. Astfel, în contextul supravegherii examenelor online, consimțământul poate cu greu constitui o bază validă. 
  • Instituțiile se pot baza, în schimb, pe motivul necesității prelucrării pentru îndeplinirea unei sarcini ce servește unui interes public (Art. 6(1)(e) GDPR). Această bază legală poate fi folosită și de școli, licee și universități, atât timp cât urmăresc o misiune de interes public. 

Totodată, trebuie respectate și principiile de bază ale GDPR:

(i) Principiul limitării la scop: informațiile despre elevi și studenți pot fi prelucrate, înregistrate și folosite doar pentru un scop precis, legal și legitim (spre exemplu, pentru monitorizarea examenelor scrise în al doilea semestru al anului școlar 2019-2020 în contextul crizei sanitare).

(ii) Principiul proporționalității și al relevanței: informațiile prelucrate trebuie să fie relevante și de strictă necesitate față de scopul prelucrării (principiul minimizării datelor prelucrate). Datele personale trebuie prelucrate doar dacă același scop nu poate fi atins prin mijloace mai puțin invazive. 

De exemplu, următoarele metode cel mai probabil nu sunt disproporționate când vorbim de prelucrarea datelor de școli: 

  • supravegherea în timp real pe durata examenelor 
  • fotografierea, filmarea sau înregistrarea ad-hoc/random. 

Următoarele metode cel mai probabil nu sunt a priori proporționale cu scopul propus:

  • monitorizarea device-urilor prin controlarea de la distanță a calculatoarelor personale ale elevului (în special pentru a verifica mailurile sau rețelele de socializare)
  • device-uri de supraveghere bazate pe prelucrarea biometrică (ex. recunoașterea facială prin webcam)

NOTĂ: recunoașterea facială este o modalitate extrem de invazivă și prezintă un risc ridicat de încălcare a intimității persoanelor vizate. Datele biometrice, în general, sunt unice și permit unui individ să fie identificat pe baza caracteristicilor sale fizice sau biologice. Din acest motiv, ele sunt supuse unor măsuri sporite de protecție în legislația europeană și națională. Folosirea recunoașterii faciale sau a altor device-uri biometrice în scopul monitorizării examenelor cel mai probabil nu respectă principiul proporționalității, având în vedere impactul sporit asupra drepturilor și libertăților persoanei, în comparație cu scopul propus. Prelucrarea datelor biometrice este prima facie interzisă de GDPR și sunt necesare baze legale specifice suplimentare pentru a fi în legalitate. 

Alte principii ce trebuie respectate în prelucrarea datelor personale de școli:

(iii) Menținerea unei perioade limitate de păstrare a datelor (principiul limitării): trebuie stabilită o perioadă fixă de păstrare a datelor, în funcție de tipul de informație și de motivul prelucrări, de exemplu, până la expirarea perioadei în care se desfășoară examinarea (în acest caz, accesul la date trebuie oferit doar persoanelor care pot dovedi un interes legitim pe baza funcției ocupate). Sigur, putem extrapola, spre exemplu, acest termen până la soluționarea contestațiilor.

(iv) Obligații de securitate: Instituția (sau responsabilul cu protecția datelor din cadrul instituției) trebuie să garanteze disponibilitatea, integritatea și confidențialitatea datelor de-a lungul prelucrării. În acest scop, următoarele măsuri, sau măsuri echivalente ce oferă același grad de garanție, trebuie implementate de către școli pentru prelucrarea datelor personale: 

  • transmiterea datelor trebuie să se producă printr-un canal securizat și criptat. Serverul ce primește datele trebuie autentificat. 
  • stocarea datelor trebuie făcută pe un server ce implementează măsuri de protecție împotriva actelor dăunătoare (toate serviciile trebuie să fie protejate cel puțin de un „firewall”, de un antivirus actualizat și de un sistem de detectare a intruziunilor).
  • o politică de autorizare a accesului la date trebuie implementată, astfel încât accesul este acordat doar persoanelor autorizare, folosind conturi nominale. Orice acces la date trebuie înregistrat într-un sistem ce menționează operațiunile de citire/scriere a datelor (loguri). 
  • trebuie implementată o politică de ștergere a datelor care să coincidă cu perioada stabilită de stocare. 
  • device-ul utilizat nu trebuie să slăbească nivelul de securitate al terminalului folosit de student.

Pe 25 mai 2020, au fost aprobate calendarul și metodologia pentru examenul de bacalaureat care presupun ca sălile să fie obligatoriu dotate cu sisteme de monitorizare video.

Abonează la newsletter și rămâi informat

b) Pentru elevi/studenți: dreptul de a fi respectat

Persoanele vizate pentru monitorizarea examenelor online sunt supuse prelucrării datelor personale și au, astfel, numeroase drepturi, începând cu dreptul de a fi informat într-o manieră clară și transparentă despre scopul și metodele de prelucrare. Această informație trebuie adaptată cât de mult posibil: spre exemplu, informații suplimentare în limbi străine sau în limba de instruire trebuie oferite studenților străini. 

Un exemplu de cum nu ar trebui făcută o informare îl poți citi aici.

Pentru a obține mai multe informații despre sistemul implementat, studenții pot contacta ofițerul însărcinat cu protecția datelor din instituția respectivă (DPO-ul sau eventual o persoană de contact responsabilă cu aceste prelucrări). 

Mai mult de atât, unele drepturi depind de baza legală aleasă pentru prelucrarea datelor. De exemplu, dacă datele sunt prelucrate pe baza faptului că misiunea universității este de interes public, studentul se poate opune oricând prelucrării, pe motive legate de o situație excepțională, pe care va trebui să o dovedească. În acest caz, instituția nu îi va mai prelucra datele personale, cu excepția cazului în care poate demonstra că există motive suficiente și legitime pentru a continua prelucrarea, care cântăresc mai mult decât interesele și libertățile studentului.

Aici intervine obligația instituției de a face testul comparativ în cadrul analizei interesului legitim, pe care îl poți găsi aici.

Drepturile și libertățile elevilor și studenților includ, pentru soluții ce includ utilizarea unor algoritmi de detectare a fraudei, dreptul de a nu fi supus la o decizie automată. Astfel, orice decizie de fraudă a unui algoritm automat trebuie verificată și validată de un angajat al instituției. 

BONUS: Este legală înregistrarea cursurilor online de către părinți/elevi?

Înregistrarea cursurilor și a materialelor educaționale oferite de profesori în cadrul învățământului la distanță reprezintă o metodă de stocare și, potențial, de prelucrare a datelor cu caracter personal și a materialelor originale ale profesorilor.

Utilizarea și păstrarea acestora cu un alt scop, în afara interesului educațional al elevului (scop pentru care profesorul și-a dat acordul în publicarea materialelor și a informațiilor personale), pot constitui încălcări ale dreptului de autor (vezi Legea nr. 8/1996 privind dreptul de autor și drepturile conexe) și, în situații restrânse, a GDPR.

Materialele educaționale, precum fișele de lucru, prezentările Power Point sau cursurile și prelegerile, pot reprezenta material original pentru care profesorul creator are drept de autor, conform Art. 3 și Art. 7 din Legea nr. 8/1996.

Conform Art. 12, “autorul unei opere are dreptul patrimonial exclusiv de a decide dacă, în ce mod și când va fi utilizată opera sa, inclusiv de a consimți la utilizarea operei de către alții”.

Privește următorul scenariu fictiv (dar des întâlnit, în special odată cu introducerea școlii online): profesorul creează materiale de lucru și prezintă cursuri elevilor/studenților. Acesta decide astfel să le ofere elevilor dreptul de acces la conținutul original. Dacă un elev sau părinte, din orice motiv extern (ex. pentru a semnala un potențial abuz), publică mai departe materialele, adesea pe platforme de socializare, fără acordul profesorului, acest fapt duce la încălcarea art. 13 și 14 din Legea nr. 8/1996. 

Datele personale ale profesorilor, precum numere de telefon, adrese de email, conturi sau alte date de identificare pe rețelele de socializare, sunt adesea transmise elevilor și studenților, pentru a facilita diferite modalități de a lucra online.

Astfel, profesorul își dă consimțământul, conform Art. 6(1)(a) GDPR, pentru prelucrarea datelor sale personale de către elevi/studenți, strict în scopuri educaționale. Orice utilizare și publicare ulterioară de către aceștia a datelor personale poate constitui însă o încălcare a legislației GDPR doar dacă prelucrarea este “efectuată total sau parțial prin mijloace automatizate, precum și […] prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor” (Art. 2(1) GDPR).

Spre exemplu, este interzis grupurilor/asociațiilor de elevi și părinți să creeze, astfel, o bază de date ce cuprinde informații personale despre cadrele didactice, fără consimțământul acestora.

Scurt check-list de final

Chiar și în plină pandemie, pe repede înainte, trebuie ca instituție să nu uiți să:

  • informezi persoanele despre datele pe care le prelucrezi
  • să alegi o soluție care să ofere garanții de securitate
  • să alegi o metodă cât mai puțin intruzivă
  • să actualizezi politica de prelucrare a datelor și nota de informare
  • să faci analiza interesului legitim
  • să verifici perioada de stocare a datelor
  • să oferi elevilor și studenților drepturi reale, pe care aceștia le pot exercita
  • dacă alegi un furnizor de servicii pentru implementarea platformei educaționale, nu uita să închei un acord de prelucrare

La avocatoo.ro suntem alături de tine și te ajutăm să te conformezi normelor GDPR în funcție de instituția ta. Scrie-ne și hai să vedem ce trebuie să faci ca să prelucrezi datele elevilor și studenților în mod corect.

Poza de Julia M Cameron pe Pexels