Prin intermediul comunicatului din data de 02/09/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a anunțat că a mustrat o școală pentru prelucrarea fără temei legal a datelor personale ale elevilor. Concret, în anul școlar 2019/2020, școala a efectuat un sondaj intitulat „Diagnosticarea situației elevului la domiciliu și la școală” cu ajutorul căruia a examinat situația personală a elevilor. Scopul sondajului a fost să identifice elevii care necesită sprijin psihologic de la școala pe care o frecventează.

„Școala, ca entitate publică, poate prelucra date cu caracter personal în cadrul sarcinilor sale impuse de lege. La rândul lor, conform Legii educației, școlile prelucrează date cu caracter personal în măsura necesară pentru îndeplinirea sarcinilor și obligațiilor care decurg din aceste reglementări.”

Ce date au fost colectate de către școală?

Prin intermediul sondajului, școala a prelucrat date cu caracter personal ale elevilor, inclusiv minori, cum ar fi:

• numele și prenumele;
• cursurile la care participă;
• indicarea tutorilor legali (părinților);
• statutul familial (monoparental, familie completă);
• informații despre:
  • decesul unui tutore (părinte);
  • separarea tutorilor legali (părinți);
  • educația și situația profesională a acestora;
  • numărul de persoane din gospodărie;
  • situația financiară, starea de sănătate și dependențele tutorilor legali (părinților);
  • situația locuințelor;
  • ajutoarele sociale.

Cum au fost prelucrate datele?

Sondajul a fost realizat de către profesorii claselor 7-8 ale școlii elementare și de către profesorii claselor de liceu. Modul de colectare a fost completarea unui formular pe baza instrucțiunilor directe ale directorului școlii.

Conform constatărilor din urma inspecției efectuate de personalul autorității, datele personale nu au fost copiate, înregistrate sau introduse în sisteme electronice de telecomunicații. Toate exemplarele formularelor completate în cadrul sondajului au fost distruse de o comisie oficială iar datele personale ale elevilor obținute în legătură cu sondajele nu au mai fost prelucrate. S-a mai constatat faptul că sondajul s-a realizat într-un mod care exclude posibilitatea divulgării neautorizate a datelor prelucrate.

De ce a fost aplicată mustrarea?

Școala nu a respectat principiul legalității prelucrării datelor conform căruia datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent. Pentru a prelucra datele personale în conformitate cu GDPR, școala trebuia să aibă o obligație legală privind efectuarea unui sondaj în rândul elevilor.

Autoritatea pentru protecția datelor a reținut că „Școala, ca entitate publică, poate prelucra date cu caracter personal în cadrul sarcinilor sale impuse de lege. La rândul lor, conform Legii educației, școlile prelucrează date cu caracter personal în măsura necesară pentru îndeplinirea sarcinilor și obligațiilor care decurg din aceste reglementări. Actele legale care reglementează funcționarea instituțiilor de învățământ nu specifică astfel de sarcini și obligații ale școlilor care ar justifica prelucrarea datelor cu caracter personal ale elevilor în modul în care s-a făcut în entitatea penalizată, în legătură cu sondajul efectuat.”

Cum ar fi trebuit să procedeze pentru o prelucrare corectă?

Scopul prelucrării fiind deja stabilit – identificarea elevilor care necesită sprijin psihologic, pasul următor era alegerea temeiul juridic în baza căruia se va face prelucrarea. Apoi, temeiul fiind corect identificat, urmează să se stabilească:

• modurile concrete de prelucrare, inclusiv prelucrarea cu ajutorul programelor informatice;
• măsurile de securitate adecvate;
• destinatarii datelor, persoanele care au acces la date, inclusiv cele către care vor fi transferate datele, dacă este cazul;
• perioada de păstrare și modul de arhivare;
• data și modalitatea de distrugere/ștergere a datelor.

La final, după ce toate aspectele de mai sus vor fi clarificate, se va întocmi nota de informare a persoanelor vizate, conform GDPR, și se va comunica persoanelor vizate. Dacă temeiul juridic pentru prelucrare este consimțământul (în cazul în care niciunul dintre celelalte temeiuri nu sunt aplicabile), doar copii peste 16 ani pot semna declarația de acordare a consimțământului.