Πρόσφατα βγήκε στην επικαιρότητα η απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων όπου κατηγορεί την κυβέρνηση για 5 παραβάσεις.
?Τελικά το υπουργείο έκανε συνένοχους όλους τους εκπ/κους σε μια διαδικασία όπου δε διασφάλιζε με κανέναν τρόπο τόσο ευαίσθητα στοιχεία, όπως τα προσωπικά δεδομένα..
?Επ’ αυτού θα θέλαμε να θίξουμε ένα θέμα που αφορά όλους τους συναδέλφους εκπαιδευτικούς πρωτοβάθμιας και δευτεροβάθμιας.
?Έχει παρατηρηθεί πολλές φορές συνάδελφοι να ανεβάζουν φωτογραφίες μαθητών στα κοινωνικά δίκτυα είτε με “φατσούλες, καρδούλες κτλ” είτε χωρίς καμία επεξεργασία.
?Όπως καταλαβαίνουμε όλοι, αυτό θα μπορούσε να εκθέσει τους μαθητές μας σε σοβαρούς κινδύνους γνωστούς πια για την ασφάλεια στο διαδίκτυο, ακόμα και να επιφέρει ποινές στον εκάστοτε εκπαιδευτικό που με αυτό τον τρόπο παρανομεί.
Συνοπτικός οδηγός για τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR) για σχολεία και εκπαιδευτικούς
Η προστασία των προσωπικών δεδομένων είναι ουσιώδης: σημαίνει ιδιωτικότητα και σεβασμό, προστασία από τη χειραγώγηση. Παρόλα αυτά, μια κάποια ανησυχία ακολούθησε τον GDPR (Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων) της Ευρωπαϊκής Ένωσης. Πρέπει τα σχολεία να προσαρμόσουν τα αρχεία που τηρούν; Ποιες πληροφορίες θεωρούνται ευαίσθητες; Είναι θεμιτό να φυλάσσονται τα δεδομένα του σχολείου σε φορητή συσκευή; Το παρόν άρθρο θα σας βοηθήσει να περιφρουρείτε καλύτερα τα δεδομένα των μαθητών σας – και να κατανοήσετε τι συμβαίνει με τα δικά σας.
Μάθετε τη διαφορά: προσωπικά και ευαίσθητα δεδομένα
Τα προσωπικά δεδομένα περιλαμβάνουν όλες τις πληροφορίες με βάση τις οποίες μπορεί να ταυτοποιηθεί ένα άτομο ή η οικογένειά του. Στα σχολικά αρχεία, τέτοια δεδομένα είναι το όνομα, η διεύθυνση, τα στοιχεία επικοινωνίας, το πειθαρχικό ιστορικό, καθώς επίσης οι βαθμοί και οι έλεγχοι προόδου του ατόμου. Τα δεδομένα αυτού του είδους παραμένουν «προσωπικά» ακόμα κι αν το άτομο επιλέξει να τα δημοσιοποιήσει.
Μια ειδική κατηγορία δεδομένων αγγίζει πιο ευαίσθητα θέματα. Σε ό,τι αφορά τα σχολεία, στην κατηγορία αυτή περιλαμβάνονται τα βιομετρικά δεδομένα των μαθητών (π.χ. δαχτυλικά αποτυπώματα, φωτογραφίες), οι θρησκευτικές πεποιθήσεις (π.χ. η επιλογή του μαθητή να μην παρακολουθήσει το μάθημα των θρησκευτικών), τα δεδομένα υγείας (π.χ. αλλεργίες) ή τυχόν διατροφικοί περιορισμοί (που μπορεί να υπαινιχθούν τη θρησκεία ή την κατάσταση υγείας). Τα δεδομένα αυτής της κατηγορίας μπορεί να θέτουν ένα ρίσκο για τους ανθρώπους και άρα η επεξεργασία τους επιτρέπεται μόνο υπό ορισμένες συνθήκες. Τα σχολεία πιθανώς δεν θα μπορούν να τα χρησιμοποιήσουν χωρίς γονική συναίνεση.
Μάθετε τη διαφορά: ελεγκτές δεδομένων και επεξεργαστές δεδομένων
Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων υπογραμμίζει τη σημασία δύο ρόλων, που είναι είτε φυσικά πρόσωπα είτε φορείς: ο ελεγκτής δεδομένων καθορίζει τα μέσα και τους στόχους της επεξεργασίας δεδομένων, ενώ ο επεξεργαστής δεδομένων χειρίζεται τα δεδομένα εκ μέρους του ελεγκτή. Τα εν λόγω δύο μέρη φέρουν διαφορετικές νομικές ευθύνες.
Το σχολείο θα είναι κατά κανόνα ο «ελεγκτής», οπότε είναι υποχρέωσή του να διασφαλίσει ένα ασφαλές συμβόλαιο με τον «επεξεργαστή». Ο επεξεργαστής μπορεί να πάρει διάφορες μορφές: από φωτογράφος ως εταιρεία καταστροφής εγγράφων, διαδικτυακή εκπαιδευτική πλατφόρμα ή λογισμικό. Οποιαδήποτε λειτουργία εκτελούν οι φορείς αυτές επί των δεδομένων θεωρείται επεξεργασία, ακόμα κι αν είναι αυτοματοποιημένη: μια εταιρεία καταστροφής εγγράφων τα συλλέγει, τα αποθηκεύει, τα ανασύρει, τα καταστρέφει κ.λπ.
Καλές πρακτικές: αυτό-παρατηρηθείτε
Σύμφωνα με τη νέα νομοθεσία, τα σχολεία (όπως όλοι οι δημόσιοι φορείς) θα πρέπει να διορίζουν έναν Υπεύθυνο Προστασίας Δεδομένων , ένα άτομο αποκλειστικά αρμόδιο για τον Γενικό Κανονισμό Προστασίας των Προσωπικών Δεδομένων. Η δουλειά του είναι να παρακολουθεί τις πολιτικές του σχολείου, να παρέχει επιμόρφωση, να διεξάγει ελέγχους και άλλα. Αλλά τα σχολεία δεν θα πρέπει να βασίζονται στον Υπεύθυνο Προστασίας Δεδομένων να ανακαλύψει όλα τα ελαττώματα του συστήματός τους. Ορίστε κάποιες ερωτήσεις που θα έπρεπε όλοι να θέτουν στον εαυτό τους:
- Για ποιον λόγο διεξάγετε επεξεργασία δεδομένων; Υπάρχουν έξι έννομοι λόγοι στη βάση των οποίων επιτρέπεται η επεξεργασία δεδομένων σύμφωνα με τον GDPR. Πιο συναφής στα σχολεία είναι η έννομη βάση του δημόσιου καθήκοντος, που σημαίνει ότι τα δεδομένα χρησιμοποιούνται για την εκτέλεση εργασίας υπέρ του δημοσίου συμφέροντος. Ωστόσο, τα δεδομένα που συλλέγονται για τον σκοπό αυτόν δεν επιτρέπεται να ανακυκλωθούν για άλλο σκοπό. Για παράδειγμα, το σχολείο δεν επιτρέπεται να εκχωρήσει τη διεύθυνση ηλεκτρονικού ταχυδρομείου ενός γονιού σε τρίτο μέρος που προάγει σχολικές εκδηλώσεις, επικαλούμενο ότι πρόκειται για «δημόσιο καθήκον». Προκειμένου να εκχωρήσουν τα εν λόγω δεδομένα, θα πρέπει να αναζητήσουν κάποια άλλη έννομη βάση, τη συναίνεση. Τα σχολεία θα πρέπει επίσης να εξασφαλίζουν συναίνεση στην περίπτωση που δημιουργούν έναν μαθητικό λογαριασμό σε μια υπηρεσία υπολογιστικού νέφους.
- Ποια δεδομένα τηρούνται πού και ποιος έχει πρόσβαση σε αυτά; Τα σχολεία θα πρέπει να διεξάγουν έλεγχο στις πρακτικές επεξεργασίας των δεδομένων τους. Όταν έχουν στη διάθεσή τους μια πλήρη εικόνα των προσωπικών δεδομένων, μπορούν στη συνέχεια να εξετάσουν τον καλύτερο τρόπο να τα προστατέψουν.
- Ποια μέτρα ασφαλείας έχετε θεσπίσει; Οι παραβιάσεις δεδομένων δεν είναι πάντα έργο των χάκερ και τυχόν κακόβουλου λογισμικού – μπορεί να είναι το αποτέλεσμα ενός φορητού υπολογιστή ξεχασμένου στο τρένο ή ενός συγγενή που τον «τρώει» η περιέργεια. Για τον λόγο αυτόν, το προσωπικό θα πρέπει να αποθηκεύει προσωπικά δεδομένα μόνο σε εξοπλισμό του σχολείου, να χρησιμοποιεί ισχυρούς κωδικούς πρόσβασης και να ρυθμίζει τις συσκευές ώστε να κλειδώνουν αυτόματα μετά από πέντε λεπτά. Αν τα προσωπικά δεδομένα είναι δυνατό να μεταφορτωθούν σε μεταφερόμενα μέσα, όπως σε stick USB, θα πρέπει να κρυπτογραφούνται και να προστατεύονται με κωδικό και να κρατούνται μακριά από άλλους χρήστες. Το προσωπικό θα πρέπει επίσης να επιμορφώνεται σχετικά με την κοινωνική μηχανική, την υποκλοπή προσωπικών δεδομένων (phishing), τις τεχνολογίες υπολογιστικού νέφους, τις επιθέσεις ransomware και άλλα.
- Τι ξέρουν οι γονείς; Τα σχολεία θα πρέπει να διανέμουν μια ανακοίνωση σχετικά με το καθεστώς προστασίας των προσωπικών δεδομένων στους γονείς μέσω φυλλαδίου, ενημερωτικού δελτίου, κάποιας έκθεσης ή επιστολής/ηλεκτρονικού μηνύματος: σε αυτήν, θα πρέπει να δηλώνουν ποια δεδομένα συλλέγονται, τον λόγο που τα συλλέγονται και τα τρίτα μέρη που είναι ενήμερα για αυτά. Να έχετε υπόψη ότι, σύμφωνα με τον GDPR, οι γονείς και οι μαθητές μπορούν να ζητήσουν να δουν τα δεδομένα που τηρούνται για τους ίδιους χωρίς χρέωση.
Καλές πρακτικές: ενημερωθείτε
Όχι μόνο οι ενήλικες, αλλά και τα παιδιά θα πρέπει να αφιερώνουν σκέψη στην προστασία των δεδομένων. Για τον λόγο αυτόν, το Κέντρο Κοινών Ερευνών έχει δημιουργήσει ένα παιχνίδι για κινητές συσκευές, το Cyber Chronix, στο οποίο οι παίκτες θα πρέπει να αντιμετωπίσουν μια σειρά εμποδίων σχετικών με τον GDPR σε έναν φουτουριστικό πλανήτη.
Αν επιθυμείτε να γνωρίσετε περισσότερα για τον GDPR, μπορείτε επίσης να επικοινωνήσετε με την Αρχή Προστασίας Δεδομένων της χώρας σας.
Επίσης, μπορείτε να διαβάσετε τα έντυπα, τα οποία βοήθησαν στη σύνταξη του παρόντος άρθρου:
- Handbook on European data protection law
- SWGfl: GDPR Guidance for Schools and Colleges
- Tes: GDPR for schools: what is GDPR?
- General Data Protection Regulation (GDPR): FAQs for the education sector
- Implementing the new GDPR: what does it mean for universities?
Τέλος, κάντε αυτό το κουίζ των 30 δευτερολέπτων από το 360data για να αξιολογήσετε την πολιτική προστασίας προσωπικών δεδομένων που εφαρμόζετε!
((schooleducationgateway.eu))