Cu câteva zile înainte de începerea oficială a școlilor, Ministerul Educației și Cercetării a emis ”Metodologia Cadru privind desfășurarea activităților didactice prin intermediul tehnologiei și al internetului, precum și pentru prelucrarea datelor cu caracter personal”. Metodologia a fost aprobată prin Ordinul nr. 5.545 din 10 septembrie 2020, publicat în Monitorul Oficial, Partea I, nr. 837 din 11 septembrie 2020.

De ce e importantă această Metodologie-Cadru, în actualul context, în care școlile trebuie să facă față unor multiple provocări legate de revenirea elevilor în clase, asigurarea condițiilor de igienizare, circulație și distanțare, gestionarea problemelor de sănătate ale profesorilor și administratorilor sau procurarea de echipamente adecvate pentru asigurarea optimă a învățământului online?

În această situație extrem de complexă, în care toți cei din conducerea școlilor sunt puși în fața unor situații de multe ori imposibile, în care nimeni nu se mai gândește la implicațiile noilor metode de educație pentru profesori, elevi și părinți și sunt puțini cei preocupați de securitatea și confidențialitatea datelor personale, prevederile Metodologiei-Cadru sunt foarte importante pentru că fac puțină ordine în această zonă și arată ce ar fi de făcut.

Folosirea tehnologiei și a Internetului în școli a fost întotdeauna o provocare, nu numai în actuala conjunctură specială a metodelor hibride de educație. Cât privește problema prelucrării datelor cu caracter personal, sunt foarte puține școli, extrem de puține, în care echipele manageriale au înțeles importanța GDPR pentru respectarea drepturilor fundamentale ale elevilor, părinților și propriilor angajați.

NU EXISTĂ SOLUȚII DE PARCURGERE A CRIZEI FĂRĂ SĂ ȚINEM CONT DE GDPR

Rămânând doar în domeniul Regulamentului general pentru protecția datelor personale, fără să insistăm prea mult pe problemele materiale și de organizare ridicate de susținerea lecțiilor online, voi face o analiză sumară a acțiunilor pe care trebuie să le întreprindă orice școală pentru a putea răspunde cerințelor Metodologiei-Cadru. Care sunt implicațiile acestor cerințe și cum putem demonstra faptul că le îndeplinim, în condițiile în care asigurarea conformității școlilor cu GDPR este obligatorie de mai bine de doi ani?

Premisele acestei analize se bazează pe trei scenarii absolut generale, dar care au o corespondență destul de apropiată cu situațiile din realitate. Din această perspectivă, o școală – definire generică pentru grădiniță, școală primară, gimnaziu, colegiu sau liceu – se poate afla într-una din aceste situații:

1. Cazul ideal: școala a parcurs un proiect complex de adopție a cerințelor GDPR și poate garanta un nivel optim de conformitate care îi permite să facă față oricăror provocări legate de prelucrarea datelor personale;
2. Cazul pragmatic: școala nu a dispus de resurse pentru un proiect de implementare, dar a adoptat o serie de măsuri care o pot ajuta să țină sub control câteva dintre cerințele cele mai stringente legate de prelucrarea datelor elevilor și părinților;
3. Cazul ignorant – cel mai des întâlnit: școala nu a făcut nimic pe linie de GDPR, fie din lipsă de resurse, fie ca urmare a dezinteresului pentru aceste probleme, fie ca urmare a mentalității ”lasă ca nu avem noi nevoie de asta, ne putem descurca și așa…”

Pornind de la aceste trei scenarii, ce poate face o școală ca să nu încalce prevederile Metodologiei-Cadru emisă de ministerul tutelar? Pentru a putea găsi răspunsul, trebuie mai întâi să vedem la ce anume se referă această Metodologie.

Conform Articolului 4, alineatul 3: ” Prelucrarea, de către unitatea de învățământ, a datelor cu caracter personal ale participanților la activitățile desfășurate prin intermediul tehnologiei și al internetului se realizează în vederea îndeplinirii obligației legale care revine unității de învățământ de asigurare a dreptului la învățătură, prin garantarea accesului și a desfășurării efective a procesului educațional în cazul în care procesul educațional nu se poate derula față în față, conform prevederilor legale în vigoare.” Deci, indiferent de forma de organizare și de stadiul de adopție GDPR, orice unitate de învățământ trebuie în primul rând să își îndeplinească obligaţia legală de asigurare a procesului educațional.

DESPRE CE DATE PERSONALE ESTE VORBA?

Haideți să vedem acum pentru ce fel de date personale trebuie să asigurăm toate aceste cerințe? Articolul 4, alineatul 4 din Metodologia-Cadru ne arată care sunt categoriile de date personale pentru a căror prelucrare suntem direct răspunzători de respectarea principiilor GDPR, așa cum sunt ele enunțate în Articolul 5 al Regulamentului UE 679 din 2016:

• numele și prenumele preșcolarilor/elevilor, numele și prenumele cadrelor didactice care utilizează aplicația/platforma educațională informatică;
• imaginea, vocea participanților, după caz;
• mesajele, videoclipurile, fișierele expediate sau orice alte materiale care conțin date prelucrate prin utilizarea aplicației/platformei educaționale informatice;
• rezultatele evaluării;
• datele de conectare la aplicația/platforma educațională utilizată pentru participare la cursurile online: nume de utilizator și parolă de acces.

Rămânând la acest nivel de informație, ce au de făcut școlile din cele trei scenarii abordate?

1. Pentru școlile care corespund cazului ideal, ar trebui să fie destul de simplu. Echipa de proiect GDPR nu trebuie decât să verifice decât dacă toate datele personale enumerate în Articolul 4 (4) din Metodologie sunt incluse în fluxurile de date mapate, dacă activităţile de prelucrare figurează în evidența obligatorie a tipurilor de procesări de date personale și dacă implicațiile principiilor GDPR se regăsesc în portofoliul de politici, proceduri și protocoale interne sau în comunicările privind prelucrarea pentru persoanele vizate;
2. Pentru școlile care aparțin de cazul pragmatic va fi nevoie de un efort mai consistent, deoarece se presupune ca nu toate tipurile de activități redate puţin mai sus au fost deja parcurse în procesul de adopție GDPR. O școală de acest tip ar trebui să parcurgă un audit de conformitate, pe baza căruia să ia măsurile cele mai urgente pe termen scurt și mediu;
3. În fine, pare paradoxal dar, pentru școlile unde nu s-a făcut nimic ar trebui să fie cel mai simplu pentru că au acum o motivație dublă, foarte clară, de a se apuca de treabă și a parcurge toate etapele unui proces de aliniere GDPR în care să țină cont și de situațiile special generate de învățământul hibrid.

VORBIȚI, POSTAȚI, COMENTAȚI, DAR NU ÎNREGISTRAȚI…

Mergând mai departe cu analiza prevederilor din Metodologia-Cadru, ajungem la un alineat destul de controversat (Articolul 4, alineat 5):”…ca măsură de protecție a datelor cu caracter personal, prelucrate cu ocazia utilizării aplicațiilor/platformelor educaționale informatice, se interzice înregistrarea activităților desfășurate online”. Personal o consider o formulare mult prea generalistă, deși aceeași interdicție se regăsește la Articolul 13, unde printre responsabilitățile elevilor, la litera (e) se specifică: ”nu înregistrează activitatea desfășurată în mediul online, în conformitate cu legislația privind protecția datelor cu caracter personal, conform prevederilor Regulamentului (UE) 2016/679, precum și ale art. 4 alin. (4) din prezenta metodologie”, unde trimiterea la GDPR ar fi necesitat câteva explicații suplimentare.

Ce ne facem cu acest alineat 5? În lipsa unor clarificări, răspunsul este că nu avem altă posibilitate decât să ne conformăm interdicției de a înregistra sesiunile online ale lecțiilor virtuale. Dar multe școli foloseau aceste înregistrări ca măsură suplimentară de disponibilitate pentru elevii care nu aveau posibilitatea să participe la anumite ore sau ca material didactic pentru instructajul intern al profesorilor sau educatorilor. De multe ori, existența înregistrărilor putea să aibă justificări administrative sau chiar ca măsură de prevedere pentru eventuale acțiuni legale. Legitimul interes al școlilor pentru continuitatea și calitatea procesului de educație era un temei legal destul de important, care putea fi cu ușurință justificat.

Care sunt alternativele în această situație? Indiferent de stadiul de adopție GDPR, în orice școală profesorii sunt cei care administrează aplicația sau platforma de conectare la distanță prin care se derulează școala online. Orice profesor are datoria să explice elevilor că aceștia nu au voie să facă înregistrări ale sesiunilor de clasă pe cont propriu, această permisiune revenind doar profesorului care conduce sesiunea respectivă.

Pentru a putea beneficia totuși de o înregistrarea a unei lecții online, profesorii au posibilitatea de a simula o ședință de clasă, dar fără participarea elevilor, pe care să o înregistreze. Nici GDPR și nici Metodologia-Cadru nu interzic acest fel de înregistrare care poate fi folosită ca material didactic pentru cei care o solicită. Mai mult de atât, pe baza acestor înregistrări ”off-line”, școala își poate crea biblioteci de materiale video, care odată verificate și aprobate pot fi utilizate în mod public și postate pe rețelele sociale. Deși contribuția personală a fiecărui profesor este esențială pentru calitatea acestui tip de înregistrări, prin procesul de validare a conținutului de către școală, materialul intră în zestrea drepturilor de autor ale școlii.

CE FACE ȘCOALA CA OPERATOR DE DATE?

Mergând mai departe cu analiza conținutului Metodologiei-Cadru și a implicațiilor acestuia, ajungem la Articolul 5 care definește măsurile ce trebuie adoptate de unitățile de învățământ:

(1) Unitatea de învățământ, în calitate de operator de date cu caracter personal, are obligația de a institui o serie de măsuri tehnice și organizatorice privind protejarea și păstrarea datelor cu caracter personal care să vizeze: a) securitatea în mediul online; b) asigurarea confidențialității datelor; c) preîntâmpinarea riscului pierderii de date; d) împiedicarea modificării datelor cu caracter personal; e) interzicerea accesului neautorizat la datele cu caracter personal;

(2) Conducerea unității de învățământ ia măsuri cu privire la furnizarea informațiilor prevăzute la art. 13 din Regulamentul (UE) 2016/679: identitatea și datele de contact ale unității de învățământ și, după caz, ale reprezentantului acesteia, scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, perioada pentru care vor fi stocate datele cu caracter personal, drepturile persoanelor vizate;

(3) Prin măsurile dispuse, unitatea de învățământ trebuie să facă dovada păstrării în siguranță a datelor cu caracter personal, așa cum au fost definite la art. 4 alin. 4.

Dacă până acum s-au discutat mai mult aspecte generale, iată că Metodologia-Cadru impune școlilor îndeplinirea cerințelor esențiale ale conformității GDPR prin asigurarea de măsuri tehnice și organizatorice. În acest moment cele trei scenarii de la care am plecat tind să se apropie foarte mult unul de altul, pentru că aceste cerințe sunt aceleași, indiferent de stadiul de adopție al GDPR și sunt esențiale pentru demonstrarea conformității. Singurele nuanțe ce pot aduce aici niște diferențe țin de următoarele:

1. Școlile din cazul ideal trebuie doar să verifice modul în care măsurile adoptate sunt reale și chiar pot fi puse în aplicare;
2. Școlile din cazul pragmatic trebuie să își completeze carențele de conformitate prin analize GAP și de risc, care să le ajute la elaborarea unui plan de supraviețuire;
3. Școlile din cazul ignorant nu mai acum nicio scuză. Lipsa de acțiune poate conduce la apariția unor vulnerabilități destul de serioase, care pot veni cu consecințe nedorite pentru școală, cu implicații critice pentru siguranța și confidențialitatea datelor personale ale elevilor, părinților și angajaților.

CARE SUNT OBLIGAȚIILE TUTUROR PARTICIPANȚILOR LA ÎNVĂȚĂMÂNTUL ONLINE?

Conform Articolului 6 din Metodologia-Cadru, participanții la activitățile de învățare desfășurate prin intermediul tehnologiei și al internetului au următoarele obligații:

• răspund pentru toate mesajele, videoclipurile, fișierele expediate sau pentru orice alte materiale prelucrate prin utilizarea aplicației/platformei educaționale informatice;
• de a utiliza aplicația/platforma educațională informatică doar în conformitate cu prevederile legale;
• de a nu înregistra, disemina, folosi informații, care conțin date cu caracter personal, în alt mod care excede scopului prelucrării acestor date.

Cum facem să putem respecta aceste cerințe? Indiferent de poziționarea în cele trei scenarii de care am tot discutat, o școală trebuie să elaboreze seturi de reguli clare pentru profesori și modul de menținere a setărilor de siguranță pe toată durata de derulare a sesiunilor online. De asemenea, tot școala trebui să propună seturi de recomandări, sub forma unor coduri de conduită online pentru elevi și părinți.

Prin articolul 7: ”(1) Datele cu caracter personal prevăzute la art. 4 alin. (4) sunt prelucrate exclusiv în scopul derulării activității didactice. (2) Orice prelucrare a datelor cu caracter personal efectuată de către unitatea de învățământ în afara scopului vizat, prevăzut la alin. (1), constituie o încălcare a prevederilor legale”, Metodologia-Cadru certifică faptul că nicio școală nu poate să facă abstracție de principiile fundamentale ale prelucrării datelor personale. Principiile legalității, transparenţei, relevanței și minimizării sunt coloana vertebrală a tuturor politicilor interne și externe.

CE ARE FIECARE DE FĂCUT?

Fără să mai intrăm în prea multe amănunte, următoarele articole ale Metodologiei-Cadru descriu etapele pe care fiecare unitate de învățământ trebuie să le parcurgă În vederea organizării și desfășurării activităților didactice prin intermediul tehnologiei și al internetului (articolul 8), atribuțiile conducerii unității de învățământ (articolul 11), atribuțiile cadrelor didactice (articolele 12 și 13), ale elevilor (articolul 14) și părinților (articolul 15).

Concluzionând, parcurgând prevederile Metodologiei-Cadru nimeni din conducerea școlilor nu ar putea să folosească pretextul că nu s-a știut ce este de făcut. Indicațiile Metodologiei referitoare la atribuțiile tuturor părților implicate în procesul educațional sunt cât se poate de clare, cu excepția comentatului articol referitor la interdicția de  înregistrare.

Ceea ce poate nu reiese foarte clar din Metodologie, dar acesta este principalul obiectiv al acestui articol este faptul că respectarea prevederilor Regulamentului GDPR este o obligație pe care o are orice școală, nu numai pentru formele alternative de educație online, ci pentru întregul proces de învățământ per ansamblu. Școlile, directorii școlilor, profesorii, elevii și părinții au practic aceleași obligații pentru toate activitățile ce presupun prelucrarea de date personale, fie că elevii vin la școală sau învață de acasă. GDPR este același pentru toți.

PROGRAMELE GDPR MASTERCLASS PENTRU EDUCAȚIE

Practica de consultanță, instruire și business development, precum și multiplele interacțiuni cu toate părțile implicate în prelucrarea datelor personale din domeniul educației, ne oferă în prezent expertiza necesară pentru asigurarea unor servicii complexe de asigurare a conformității cu reglementările GDPR.

Pentru mai multe detalii legate de aceste preocupări puteți citi broșurile dedicate:

• ”Ghid GDPR pentru directorii de grădinițe”
• ”GDPR în școli – Ghid practic de prelucrare a datelor personale pentru școli primare, gimnazii și licee”

Și articolele precedente din GDPR Ready:

• ”Ghid GDPR în Școli – Cum abordăm provocările legate de prelucrarea datelor personale în perioada învățământului hibrid”
• ”5 întrebări despre Protecția datelor personale pentru directorii de grădinițe”
• ”Sfaturi pentru profesorii care susțin lecții online”
• Pachet servicii GDPR pentru Grădinițe
• Pachet servicii GDPR pentru Noua Normalitate

SERVICII PERSONALIZATE PENTRU ASIGURAREA CONFORMITĂȚII CU METODOLOGIA-CADRU

Indiferent de stadiul de adopție GDPR în care se găsește școala dvs. – a se vedea cele trei scenarii descrise în articol – programul GDPR MASTERCLASS vă poate oferi pachetul de servicii de care aveți nevoie pentru asigurarea condițiilor optime de conformitate.

Printre aceste servicii se numără:

• Audit GDPR pentru stadiul de implementare GDPR în școală
• Analiza GAP a proceselor implementate
• Evidența activităților de prelucrare a datelor personale pentru sistemul de educație hibrid
• Redefinirea și asimilarea politicilor interne
• Revizuirea politicilor postate pe site-ul școlii
• Gestionarea drepturilor și consimțământului
• Alocarea responsabilităţilor în noua conjunctură
• Regândirea politicilor de Securitate, controlul vulnerabilităților și analiza de risc
• Susținerea managementului în asimilarea culturii GDPR în contextual învățământului hibrid
• Ghiduri de utilizare a platformelor de comunicare la distanță pentru profesori
• Recomandări de conduită online pentru elevi și părinți

Orice proces de adopție a cerințelor GDPR trebuie să plece de la deplina înțelegere a rolului și obligațiilor pe care le are școala ca operator de date personale pentru elevi și părinți, dar și pentru proprii angajați sau diferiți parteneri și colaboratori cu care școala interferează. Nimeni nu e singur pe lume. Fiecare dintre noi, ca entitate individuală sau ca formă de business depindem de toți cei care se află în ecosistemul nostru. Dacă la noi este ceva care nu merge bine, asta ar putea afecta mai multe organizații. Dacă datele personale care sunt bunurile școlii nu sunt în siguranță, nici toți ceilalți de a căror confidențialitate și securitate suntem răspunzători nu pot fi în siguranță. Iar acum, pe lângă toate provocările legate de tehnologie și adopția inovației, trebuie să facem față și provocărilor impuse de Pandemie.

Dacă sunteți interesați de servicii de consultanță pentru școala sau grădinița dvs. ne puteți contacta prin formularul de mai jos cu mențiunea: ”Interes pentru servicii de consultanță GDPR în educație”