Cresterea gradului de constientizare in sectorul educational

Rezultate preconizate:

1. Cresterea gradului de constientizare cu privire la intreg personalul din cadrul scolii care vine in contact cu datele cu caracter personal (datele cu caracter personal putand a se referi la elevi, personal, parinti si alte persoane). A face legatura intre protectia datelor cu caracter personal si protectia drepturilor si intereselor copilului poate fi o modalitate eficienta de a face real acest lucru pentru personal, desi protectia datelor cu caracter personal este mult mai cuprinzatoare.
2. Asigurati-va ca un numar de personal suficient este angajat in cadrul unitatii scolare pentru evidentierea datelor cu caracter personal detinute si sunt implicati in gestionarea riscului. Acest aspect include o constientizare ca riscurile pentru securitatea datelor personale poate veni inclusiv de la amenintari din mediul online.
3. Personalul executiv (administratorii) de problemele care decurg din modificarile legislative pentru unitatile scolare si inteleg cum sa monitorizeze in mod eficient si sa revizuiasca conformitatea cu reglementarile aferente protectiei datelor cu caracter personal.
4. Limbajul asociat protectiei datelor cu caracter personal trebuie sa fie unul clar, usor de inteles.

Modalitate de indeplinire:

In cadrul unei unitati scolare, exista tot felul de roluri ale personalului care utilizeaza datele cu caracter personal pentru o varietate de motive. Parte a personalului va fi raspunzator de aceste date pur si simplu pentru utilizarea lor in mod responsabil, in timp ce alta parte a personalului va lua decizii importante in legatura cu datele cu caracter personal care vor fi utilizate, cum sunt prelucrate si cum sunt depozitate si cum si cui sunt impartasite/partajate. Ca atare, este putin probabil ca o masura sa se potriveasca tuturor in ceea ce priveste abordarea instruirii personalului.

Credem ca o abordare eficienta este a gandi cresterea gradului de constientizare pe trei niveluri:

• Toti membrii personalului ar trebui sa fie constienti de ceea ce inseamna de fapt date cu caracter personal , ce inseamna prelucrare in forma cea mai larga si care sunt sarcinile lor in manipularea datelor cu caracter personal. De asemenea, acestia ar trebui sa fie constienti de domeniul de aplicare si de scopul proceselor care le permite sa foloseasca datele cu caracter personal. Acestea ar trebui sa ia in considerare riscurile pe care le presupune scurgerea de date si responsabilitatile lor cu privire la procedura de urmat in cazul producerii unei incalcari a datelor cu caracter personal. Personalul care ar putea justifica acest nivel de formare poate fi reprezentat de personalul de catering, supraveghetorii, personalul bibliotecii, personalul de curatenie, personalul responsabil de acordarea primului ajutor etc.
• Cei care pot influenta modul in care datele cu caracter personal sunt utilizate, prelucrate si securizate. Prin aceasta ne referim la orice categorie de personal din scoala care poate avea autoritatea de a crea si stoca date cu caracter personal, introduce datele in aplicatii/software sau de a decide daca/ cand vor prelucra anumite tipuri de date cu caracter personal. Acestia pot avea, de asemenea, responsabilitati despre cum anume trebuie gestionate datele cu caracter personal din diverse documente specifice mediului scolar. Acest lucru este probabil sa acopere cel putin toate cadrele didactice.

In mod similar, acestia ar trebui sa aiba sansa de a revizui la nivel global maparile de date cu caracter personal si sa li se dea oportunitatea de a contribui cu perspective pe care le ofera, eventual diferite.

Acestia ar trebui de asemenea sa fie implicati in asigurarea existentei unei baze legale pentru prelucrare si, daca este cazul, conditiei pentru prelucrarea informatiilor pe care le utilizeaza, stocarii datelor conform principiului minimizarii la ceea ce este necesar pentru indeplinirea sarcinii necesare concrete. Acestia ar trebui sa fie implicati in discutiile despre identificarea si atenuarea riscurilor si ar trebui sa aiba cunostinta de regimul care supravegheaza gestionarea riscurilor.

In plus, cu cat scolile vor procesa si stoca datele cu caracter personal prin mijloace informatice, acestea vor trebui sa produca utilizatorilor politici de securitate prietenoase si sa instruiasca personalului pentru a ajuta la reducerea riscului de incalcare a datelor cu caracter personal.

Personalul care justifica acest nivel de formare poate include, fara a fi limitat la, asistenti de predare la nivel superior, personalul de predare, personalul biroului, administratorii site-ului, personalul din domeniul informatiilor si comunicarilor tehnologice (TIC) si personalul de suport tehnic. Toata lumea poate ajuta la prevenirea pierderilor de date urmand pasii de securitate corespunzatori.

1. Liderii seniori, cei de la nivelul executiv, precum si cei care gestioneaza datele din ecosistem . Prin aceasta ne referim la personalul responsabil pentru a face alegeri in jurul utilizarii tehnologiei si securitatii acesteia, decizand cu privire la ce si cum este efectuata partajarea datelor si care stabilesc politicile cu privire la utilizarea datelor cu caracter personal si tehnologia necesara. La fel si echipa de seniori din conducere, manageri de retea sau manageri. Aceste persoane trebuie sa fie suficient de constiente de continutul GDPR, astfel incat sa poata asigura ca scoala a luat masuri aferente conformitatii cu GDPR. In calitate de operator de date cu caracter personal scoala are responsabilitatea de a asigura transparenta in intregul ecosistem, precum si faptul ca principiul minimizarii datelor cu caracter personal si al respectarii vietii private a persoanelor vizate sunt respectate de catre toate partile implicate, si ca orice contracte incheiate cu persoanele imputernicite de operatori acopera domenii relevante de protectie a datelor. Acest nivel de formare se adreseaza celor care sunt responsabili zilnic. Personalul care ar avea nevoie de acest nivel de formare include, dar nu poate fi limitat la, echipa de conducere seniori, managerii, managerii de retea si echipele executive.

In plus fata de instruirea personalului, ar trebui sa va concentrati procesul de constientizare la nivel administrativ pe urmatoarele domenii:

• Responsabilitatea finala pentru conformitatea cu GDPR revine personalului de conducere.
• Administratorii scolii vor avea un rol de supraveghere asigurandu-se ca scoala are retea buna de securitate pentru a pastra datele personale pe care le detine protejate. Acest lucru ar trebui sa includa, de asemenea, un plan de continuitate care sa ia in considerare rezistenta sistemelor.
• Ca noua legislatie transforma necesitatea respectarii datelor cu caracter personal la necesitatea demonstrarii respectarii legislatiei.
• Pentru a demonstra in mod activ conformitatea, scolile trebuie sa documenteze toate datele cu caracter personal pe care le detine si sa se asigure ca sunt gestionate in mod corespunzator.
• Pregatirea necesita un audit aprofundat sau un menaj exercitat asupra proceselor actuale. In particular, este necesar a fi luate in considerare strategiile de conservare/retentie ale datelor cu caracter personal.
• Dupa efectuarea auditului, ar trebui efectuata o evaluare a riscurilor pe care prelucrarile de date le presupun, care va culmina cu stabilirea unui nivel de risc mare sau mediu. Scolile ar trebui sa identifice in mod clar care sunt aceste riscuri si cum anume trebuie sa fie abordate. Aceasta ar putea include identificarea deficientelor in sistemul de securitate al retelei si mentinerea politicilor de securitate actualizate. Acest lucru ar trebui sa fie documentat ca dovada a conformitatii cu GDPR.
• Scolile trebuie sa revizuiasca modul in care acestea comunica utilizarea datelor cu caracter personal elevilor/parintilor, precum si drepturile persoanelor vizate, cu explicatii clare in ceea ce priveste drepturile consolidate de GDPR (inclusiv obiectul cererilor de acces). Scolile trebuie sa aiba instituite proceduri care sa reglementeze raporturile cu persoanele vizate.
• Numirea unui responsabil cu protectia datelor cu experienta in domeniul protectiei datelor cu caracter personal si care sa fie oarecum distantat de conducerea structurii care dezvolta si sustine politicile cu privire la datele cu caracter personal.
• Revizuirea protectiei datelor cu caracter personal este un proces continuu care necesita ca intreg personalul scolii sa fie in permanenta constient de responsabilitatile lor. Programarea in mod oficial a unei revizuiri anuale ca practica curenta, printr-un audit intern sau extern poate fi o chestiune pe care scolile ar trebui sa o ia in considerare.

Sfaturi:

• Prezentati aspectele cu privire la protectia datelor cu caracter personal elevilor/parintilor atunci cand incercati sa obtineti angajamentul lor. In acest fel, personalul va constientiza ca protectia datelor cu caracter personal conteaza in contextul bunastarii elevilor. De asemenea, drepturile persoanelor fizice reprezinta cheia conformitatii cu prevederile Regulamentului si instiga operatorii la a identifca si analiza lacunele existente in practica curenta.
• Odata ce echipa de conducere a dezvoltat un proces de mapare a datelor cu caracter personal la nivel general si cuprinzator (conform descrierii de la pct. 2), testati-l si repetati-l in timpul instruirii personalului. Se vor identifica aspecte noi, lucru care va ajuta la consfintirea unui sentiment de proprietate.