După primul an GDPR în România, e timpul să încetăm cu dezinformările!

Editorial

Vizualizari: 13362

Facebooktwittergoogle_plusredditpinterestlinkedinmail

"GDPR-ul nu este o revoluţie, este o evoluţie!", aşa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există înca din 1995 şi a evoluat într-un regulament european unic, influenţat mai ales de dezvoltarea tehnologică fără precedent.

Putem spune că în acest moment legislaţia aleargă după tehnologie, dacă ne gândim doar la intelingenţa artificială şi la dispozitivele 5G.

Regulamentul UE 679/2016 cunoscut drept GDPR a intrat în vigoare în 2016, acum trei ani de zile, dar se aplică doar din 25 mai 2018, dupa o perioadă de grație de doi ani, pe care majoritatea statelor europene nu au folosit-o pentru a lansa campanii de educare a persoanelor vizate și a operatorilor. Astfel, startul a fost dat în luna mai anul trecut, la momentul respectiv existând o estimare că doar 20% dintre operatorii euroepeni au început demersurile pentru a obține conformitatea.

În România GDPR-ul a intrat brusc în viețile noastre printr-un bombardament al consimțămintelor lansat de operatori din dorința de a intra rapid în legalitate. Acest demers a introdus și panica care s-a propagat pe tot parcursul anului. Această panică a fost alimentată și de marketingul înselător a unor indivizi și companii care oferă servicii de consultanță, accentuând în primul rând dimensiunea astronomică a amenzilor în loc să promoveze nevoia de instruire a personalului, fiind mai mult o responsabilita a operatorului.

În tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI!

Nu este vorba despre creșterea birocrației și despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm și să îl obținem unii de la ceilalți, respect de care am uitat datorită banilor obținuți prin tranzacționarea datelor personale și a informațiilor confidențiale, efect direct al evoluției exponențiale a tehnologiei.

Noi ca operatori de date, trebuie să renunțăm la a mai cauta soluții formale. Complianța GDPR nu se obține apasând butonul "Print" și orice operator care alege această cale rămâne la fel de expus riscurilor.

Și nu în ultimul rând trebuie să nu uităm că toți suntem persoane vizate. Daca la birou nu simt acest lucru pentru că sunt patron și influențez și decid direct în ce direcție îmi conduc firma, atunci când navighez pe internet sau pur și simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoana fizică și mă aștept să pot să decid cine, de ce și ce date personale prelucrează despre mine. Cu toții trebuie să punem umarul și să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuități pe internet. Trebuie să încetăm să mai credem că ceva este gratuit și că de fapt plătim scump cu datele noastre personale care au devenit o valoroasă monedă de schimb.

Și nu în ultimul rând mai trebuie să învățăm o lecție : "Când eşti cunoscut, oamenilor le place să vorbească despre tine. Totuşi, nu tot ce se vorbeşte, este şi adevărat!". Trebuie să învățăm ce însemană Fakenews, să recunoaștem acest fenomen, să ne protejăm, să nu mai alimentăm cererea și să sancționăm atunci când această practică ne influențează deciziile.

In cele ce urmeaza mi-am propus să explic de ce urmatoarele afirmatii sunt de fapt niște DEZINFORMARI!

GDPR-ul schimbă complet modul în care organizaţiile trebuie să-şi gestioneze datele. FALS!

  • UE a avut norme de protecţie a datelor din anul 1995 si GDPR-ul nu este un set nou-nouţ al normelor UE privind protecţia datelor. Este o evoluţie a setului existent de reguli, bazat pe principiile stricte de protecţie a datelor prevăzute în Directiva privind protecţia datelor. Aceste reguli au fost prezente încă din 1995, deci e timpul să ne asigurăm că acestea sunt potrivite pentru era digitală.

GDPR-ul va sufoca  inovaţia europeană în domeniul inteligenţei artificiale (IA). FALS!

  • GDPR-ul se asigură că datele cu caracter personal sunt protejate în raport cu Inteligenta Artificiala (IA). Protecţia datelor cu caracter personal este un drept fundamental în UE. Aşadar, se aplică şi procesării datelor cu caracter personal prin intermediul inteligenţei artificiale şi roboticii. Cu toate acestea, în cazul în care datele utilizate pentru IA sunt anonimizate, atunci nu se aplică cerinţele GDPR. GDPR-ul a fost proiectat spre a fi neutru din punct de vedere tehnologic şi oferă cadrul pentru dezvoltarea unei IA care respectă cetăţenii. GDPR-ul permite luarea unor decizii automate în cazul în care există o justificare fie prin contract, consimţământ explicit sau prin lege şi cu condiţia să se furnizeze garanţii specifice persoanelor în cauză, cum ar fi dreptul de a primi informaţii semnificative privind logica implicată prelucrării acestora şi consecinţele preconizate.

Proprietarii nu pot expune numele chiriaşilor la soneria de la intrare. FALS!

  • Consimţământul nu este singurul temei juridic pentru prelucrarea datelor. GDPR-UL nu impune îndepărtarea numelor de pe soneriile de la intrare sau de pe căsuţele poştale. Consimţământul este doar unul dintre temeiurile juridice pe baza căruia pot fi prelucrate datele cu caracter personal conform GDPR. Un alt temei juridic aplicabil în acest caz este „interesul legitim“, deoarece unele persoane trebuie informate cine locuieşte într-un anumit apartament cu scopul de a contacta persoana respectivă în vederea distribuirii poştei personale. Dacă numele persoanelor de pe soneriile de la intrare, sunt stipulate în contractele de închiriere, contractul ca atare reprezintă un potenţial temei juridic.

GDPR-ul copleşeşte întreprinderile mici. FALS!

  • Obligaţiile nu sunt aceleaşi pentru toate companiile şi organizaţiile. GDPR-ul nu este menit să suprasolicite IMM-uri. Obligaţiile sunt calibrate în funcţie de dimensiunea afacerii şi / sau de natura datelor prelucrate. Companiile mai mici, care procesează mai puţine date şi nu procesează date sensibile, cum ar fi opiniile politice şi orientarea sexuală, vor avea mai puţine obligaţii de urmat. De exemplu, nu fiecare societate trebuie să numească un responsabil cu protecţia datelor sau să efectueze o evaluare a impactului privind protecţia datelor.

Normele GDPR fac jurnalismul mai greu. FALS!

  • GDPR-ul susţine libertatea presei. Noile norme privind protecţia datelor iau în considerare libertatea presei. Aceasta înseamnă că jurnaliştii sunt încă în măsură să-şi exercite munca şi să-şi protejeze sursele. Statele membre ale UE, atunci când este necesar, trebuie să prevadă excepţii sau derogări presei în legislaţiile lor naţionale.

"Ei bine, oricum, Facebook are sediul în SUA si nu trebuie sa respecte legislatia". FALS!

  • Companiile din afara UE trebuie să se conformeze normelor GDPR. Toate companiile care operează pe piaţa UE trebuie să respecte noile norme, indiferent de locul în care se află şi unde au loc activităţile lor de prelucrare a datelor. Toate companiile vor fi supuse aceloraşi sancţiuni dacă încalcă regulile. Aceasta creează condiţii de concurenţă echitabile atât pentru companiile din UE, cât şi pentru cele din afara UE.

Normele GDPR nu acordă mai mult control deoarece companiile cer consimţământul doar o dată iar apoi fac ce vor cu datele mele. FALS!

  • Companiile trebuie să vă solicite consimţământul a doua oară, în cazul în care doresc să vă utilizeze datele pentru un al doilea scop. GDPR-ul prevede că datele cu caracter personal nu pot fi utilizate fără consimţământul persoanei vizate. Dacă o companie colectează datele unei persoane pentru un anumit scop şi apoi doreşte să utilizeze datele respective într-un alt scop sau să le transmită unei terţe părţi, trebuie să solicite din nou consimţământul persoanei vizate. În cazul în care vi s-a solicitat consimţământul pentru prelucrarea datele dumneavoastră cu caracter personal, puteţi cere oricând organizaţiei respective să oprească prelucrarea acestora prin retragerea consimţământului dumneavoastră. Organizaţia respectivă trebuie să se conformeze solicitării dumneavoastră în cazul în care, nu deţine alte motive legale pentru prelucrarea datelor dumneavoastră.

Normele GDPR  împiedică campania politică. FALS!

  • Partidele politice pot procesa date cu caracter personal pentru campanii - dar numai din motive de interes public. Normele GDPR nu interzic partidelor politice şi grupurilor de campanie să prelucreze date cu caracter personal în scopuri politice. Dar normele clarifică faptul că, acestora nu li se permite să prelucreze date cu caracter personal numai din motive de interes public şi cu condiţia să stabilească garanţii adecvate.

Avem nevoie de mai mult timp pentru a ne adapta la aceste reguli complicate. FALS!

  • Perioada de doi ani nu a fost suficientă? Când normele GDPR au intrat în vigoare la 24 Mai 2016, a fost prevăzută o perioadă de tranziţie de doi ani pentru a oferi companiilor timpul necesar de a-şi alinia practicile în conformitate cu noile norme. Această perioadă de tranziţie s-a încheiat la 25 Mai 2018. În prezent, Autorităţile de supraveghere a protecţiei datelor au competenţa de a sancţiona pe cei care nu respectă noile norme.

Amenzile sub normele GDPR pot ucide o afacere. FALS!

  • Nerespectarea normelor nu înseamnă în mod automat o amendă de 20 de milioane € - există şi avertismente.Normele GDPR stabilesc o serie de sancţiuni pentru cei care încalcă regulile. Pe lângă amenzi, există alte măsuri corective, cum ar fi avertismentele, mustrările şi ordinele de respectare a solicitărilor persoanei vizate. Decizia Autorităţilor de supraveghere privind protecţia datelor de impunere a amenzilor trebuie să fie proporţională şi să se bazeze pe o evaluare a tuturor circumstanţelor cazului respectiv. În cazul în care Autoritatea hotărăşte să impună o amendă, suma de 20 milioane EUR sau 4% din cifra de afaceri anuală reprezintă suma maximă absolută. Cuantumul amenzii depinde de circumstanţele fiecărui caz în parte, inclusiv gravitatea încălcării sau dacă încălcarea a fost intenţionată sau din neglijenţă.

GDPR-ul va distruge Crăciunul. FALS!

  • GDPR-ul nu împiedică copiii sa îi scrie lui Moş Crăciun. Este corect să enunţăm că normele GDPR sunt concepute să protejeze utilizarea datele cu caracter personal fără permisiunea dumneavoastră, iar conform acestor reguli, nicăieri este stipulată împiedicarea copiilor să-i spună public lui Moş Crăciun ce-şi doresc de Crăciun. Este la latitudinea părinţilor să decidă dacă copiii lor pot partaja lista lor de dorinţe în mod public sau nu.

 

Mie nu mi se aplica GDPR-ul. FALS!
  • Regulamentul UE 679/2016 se aplică tuturor operatorilor de date cu caracter personal care își au sediul în spațiul european sau prelucrează date ale persoanelor vizate, cetățeni europeni. Nu contează domeniul de activitate, atâta timp cât ai cel puțin un angajat, prelucrezi datele acestuia.

 

“Nu vine nimeni să mă controleze pe mine”. FALS! 
  • Orice operator de date cu caracter personal poate face obiectul unei investigații în urma unei simple sesizări la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal

 

Este momentul să abandonăm campaniile menite să creeze panica, să informam corect clientii despre riscurile reale și dacă suntem specialiști GDPR să încheiem contracte cu clienții banzându-ne în primul rând nevoia de educație operatorului și pe responsabilitatatea de a garanta drepturile persoanelor vizate. În țările nordice GDPR-ul are o alta valență. Operatorii de date cu caracter persoanl îsi propun conformitatea GDPR din dorința de a nu dezamăgii partenerii și clienții, pe când în România termenul de "dezamagire" il utilizam aproape exclusiv în contexul "dragostei intre doua persoane".


DESPRE AUTOR

Marius Dumitrescu este licențiat în științe politice, având un master în domeniul marketingului și o experiență de peste 16 ani în implementarea și gestionarea soluțiilor software medical și farmaceutic.

Este președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) și a absolvit în iulie 2018 studiile postuniversitare de lungă durată privind protecția datelor în cadrul Facultății de Științe Economice, Juridice și Administrative – Centrul pentru Protecția Datelor (CPD) din Tîrgu-Mureș.

Este directorul editorial a două publicații, una destinată profesioniștilor în protecția și securitatea datelor cu caracter personal și una adresată comunității medicale și farmaceutice din România.

Este formator și lector, susținând mai multe sesiuni educaționale pe teme precum securitatea datelor, Regulamentul General privind Protectia Datelor și managementul organizațional.

Este implicat activ în organizarea unor evenimente cu tradiție în domeniul sanitar românesc, în special în sfera medicală, a farmacoeconomiei și a managemetului sanitar.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

A măsura sau a nu măsura temperatura? Aceasta este întrebarea …

Editorial

Vizualizari: 9479

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Mare agitație în aceasta frumoasă dimineață de 15 mai 2020. Au fost publicate pe site-ul Ministerului Afacerilor Interne măsurile de prevenire și control a infecțiilor aplicabile pe durata stării de alertă în cadrul unei anexe la Hotararea CNSSU 24/14.05.2020. In plus, Ordinul 3577/831/2020 emis de Ministerul Muncii si Protectiei Sociale si de Ministerul Sanatatii prevede ca angajatorul are obligatia sa desemneze un responsabil pentru verificarea temperaturii tuturor persoanelor care intră în unitate/instituţie si sa asigure triajul observaţional al angajaţilor prin verificarea temperaturii acestora la începerea programului de lucru şi ori de câte ori este necesar pe parcursul programului. Conform aceluiasi document, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toţi angajaţii din sectorul public şi privat au obligaţia sa accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului şi ori de câte ori revin în sediu.

Dacă în țări europene, precum Belgia, Olanda și Franța, măsurarea temperaturii ca indicator al unei posibile infectări cu virusul SARS-Cov-2 este interzisă, în România această practică tocmai a devenit obligație legală pentru instituțiile și autoritățile publice, precum și operatorii economici publici și privați, altfel spus pentru toți operatorii care își desfășoară activitatea în incinte închise.

Din punct de vedere al prelucrării datelor cu caracter personal, în România, prelucrarea acestor date de face în regim de legalitate, fiind o obligație legală începând de azi. Dar, chiar dacă nu mai avem stresul identificării temeiului legal, această prelucrare trebuie să țină cont și să respecte principiile și obligațiile impuse de GDPR (principiul confidentialitatii, principiul transparentei, principiul minimalizarii si obligatia protectiei datelor de catre operator prin implementarea măsurilor tehnice si organizatorice adecvate ).

Măsurarea temperaturii angajaților

Toți operatorii care desfășoară activitate în spații închise, pe perioada stării de alertă, au obligația conform art. 2 (a) să "asigurare triajul epidemiologic constând în controlul temperaturii personalului propriu și a vizitatorilor, la punctele de control-acces în incinte". Practic, deducem de aici că la intrarea în incintă personal specializat (medic, asitent medical) sau instruit (portar, responsabil numit) va măsura temperatura și va condiționa accesul în incintă. Dacă vorbim de "triajul epidemiologic" care va cuprinde și verificarea altor indicatori decât temperatura, prelucrarea acestor informații se va face obligatoriu de către un cadrul medical, respectând confidențialitatea.

Ca o măsură organizatorică adecvată, recomandăm utilizarea unui tabel nominal care să conțină numele angajatului și dacă temperatura măsurată este sub 37,3 grade, sa se facă un simplu semn de tip "bifă", fără a nota valoarea măsurată și să îi fie permis accesul. Această listă ar trebui să fie păstrată într-o mapă închisă, accesul la aceasta fiind restricționat doar unui grup restrâns de persoane, în mod justificat. La finalul turei personalului specializat sau instruit care desfășoară aceste măsurători, această listă va fi predată unui responsabil unic cu arhivarea și păstrată pentru un termen de maxim 30 de zile, fiind pusă la dispoziția autorităților care realizează anchete epidemiologice, dacă este cazul.

Ca o măsură organizatorică adecvată, recomandam utilizarea numărului de marcă în locul numelui și prenumelui, instituind astfel o metodă de prelucrarea a datelor pseudoanonimizate și reducând nivelul de risc în cazul unei breșe de securitate prin accesarea datelor de către o persoană neautorizata. 

În cazul în care, temperatura măsurată depășește valoarea de 37,3 grade, personalul specializat sau instruit va interzice accesul angajatului în incintă, va nota în dreptul numelui valoarea măsurată ( eventual se va repeta manevra de măsurare pentru a elimina pe cât posibil erorile de măsurare).

Cea mai mare provocare este modul în care se pot realiza aceste măsurători în condiții de confidențialitate, asigurând astfel și dreptul la intimitate. Fiind o obligație legală, operatorul va putea efectua triajul epidemiologic constând în controlul temperaturii personalului propriu și fără a asigura dreptul al intimitate, dacă se face dovada că acest lucru este imposibil de realizat. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, se va face o informare prealabila a persoanelor vizate prin afisarea pictogramelor standard, termenul de stocare este de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

Măsurarea temperaturii vizitatorilor

Conform art. 2(a) obligațiile operatorilor care desfășoară activitate în spații închise, pe perioada stării de alertă, de a"asigurara triajul epidemiologic constând în controlul temperaturii" se aplică și vizitatorilor. În cazul lor, există un registru în care portarul completează datele de identificare și persoana vizitată. Recomandăm să nu fie schimbat scopul acestui registru prin completarea temperaturii. În schimb, se va utiliza un tabel nominal distinct care să conțină numele vizitatorului și dacă temperatura măsurată este sub 37,3 grade sa va face un simplu semn de tip "bifă", fără a se nota valoarea măsurată și să îi va fi permis accesul în incintă. Și în cazul acestei liste, ar trebui să fie păstrată în mod obligatoriu într-o mapă închisă, accesul la aceasta fiind restricționat doar unui grup restrâns de persoane, în mod justificat. La finalul turei personalului specializat sau instruit care desfășoară aceste măsurători, această listă va fi predată unui responsabil unic cu arhivarea și păstrată pentru un termen de maxim 30 de zile. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, termenul de stocare este de asemenea de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

În cazul în care, temperatura măsurată depășește valoarea de 37,3 grade, personalul specializat sau instruit va interzice accesul vizitatorului  în incintă astfel că nu mai este necesară înregistrarea numelui sau a oricărei alte informații în registrul de vizitatori sau in tabelul nominal privind verificarea temperaturii. 

Măsurarea temperaturii clieților

În cazul acestor persoane se aplică Art. 3 conform căruia instituțiile publice și operatorii economici care desfășoară activități comerciale/de lucru cu publicul ce implică accesul persoanelor în interiorul clădirilor sunt obligate să nu permită accesul persoanelor a căror temperatură corporală, măsurată la intrarea în incintă, depășește 37,30C. Observăm că în acest caz nu se face referite la "triaj epidemiologic" astfel că măsurarea temperaturii este folosită ca un sistem de alertare și recomandăm să nu înregistrați sub nici o formă valoarea temperaturii. Aceste măsurători se vor face la intrarea în incintă, fiind condiționat accesul de o valoare mai mică decăt 37,3 grade. În cazul în care temperatura depășește această valoare, operatorul are posibilitatea de a înregistra zilnic anonimizat numarul persoanelor cărora le-a fost refuzat accesul, ca o dovadă a responsabilității față de măsurile publicate de autorități. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, se va face o informare prealabila a persoanelor vizate prin afisarea pictogramelor standard, termenul de stocare este de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

Totuși, ținând cont că aceste măsurători se vor face la intrarea în incintă cel mai probabil cu un termometru contactless, credem că va fi aproape imposibilă, în acest caz, asigurarea confidențialității și a dreptului la intimitate. Vom asista probabil cum clienții vor sta la rând și personalul desemnat de operator va face aceste măsurători, având în vedere obligația legală, fără a asigura confidențialitatea.

Concluzii

Operatorii nu au obligația de a anunța autoritățile privind identitatea persoanelor a căror temperatură măsurată la intrarea încintă depășește valoarea de 37,3 grade, astfel că, în cazul angajaților, considerăm suficientă arhivarea pentru un termen de maxim 30 de zile a înregistrărilor, fie că se fac pe suport de hârtie, electronic sau suprapuse peste imaginile video.

În cazul vizitatorilor și a clienților, nu există obligația identificării persoanelor cărora nu li se permite accesul în incintă în urma unei măsurători a temperaturii care depășește 37,3 grade. În cazul vizitatorilor cu valoarea măsurată sub 37,3 grade, va fi identificată persoana conform procedurii de acces vechi, ținându-se o evidență distinctă a acestor măsurători, fără a înregistra valoarea temperaturii.

În cazul clienților, aceștia nu vor fi identificați și înregistrați în lipsa unei obligații legale sau a unui interes legitim dovedit.

Operatorii vor avea o procedură scrisă actualizată privind accesul în incintă după data de 15 mai 2020, persoanele care vor realiza aceste măsurători fiind instruite în mod special privind protecția acestor informații din punct de vedere tehnic și organizatoric.

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Specialiștii în protecția datelor personale sar în ajutorul cadrelor didactice implicate în învățământul on-line

Editorial

Vizualizari: 9586

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Un grup de patru specialiști în domeniul protecției datelor, autorii volumului GDPR Aplicat, vin în sprijinul celor interesați și implicați direct în procesul de învățământ on-line în România publicând o serie de precizări, avertismente și recomandări, pentru ca dreptul fundamental al persoanelor la protecția datelor cu caracter personal să fie respectat și în condiții de pandemie.

" În contextul epidemiologic actual, întreaga societate umană, în tot ansamblul ei, și-a modificat substanțial anumite comportamente sociale și s-a adaptat la acest context activitățile care nu se pot întrerupe,  indiferent de situație.Una dintre aceste activități este și cea de învățământ, care a trebuit să se adapteze și a suferit modificări semnificative în modul de desfășurare a actului educațional. Aceste modificări au surprins nepregătite, din punct de vedere tehnic și organizatoric, aproape toate țările, inclusiv România. Pentru rezolvarea acestor probleme, din punct de vedere tehnic și organizatoric, țările afectate s-au mobilizat și au adoptat anumite măsuri, inclusiv legislative iar, pentru România, amintim Ordinul 4135/21.04.2020 de aprobare a Instrucțiunii privind asigurarea continuității procesului de învățare la nivelul sistemului de învățământ preuniversitar.", au afirmat autorii.

Marius Florian Dan, Daniela-Irina Cireașă, Cătălina Lungu și Daniela Simionovici au lucrat împreună la acest set de recomandări care subliniază, încă o dată, complexitatea efortului oricărui operator, de a asigura conformitatea cu principiile GDPR, mai ales în situația utilizării unor tehnologii noi. Ghidul de propus de aceștia, conține patru secțiuni:

  • Principii generale de prelucrare a datelor
  • Recomandări minimale privind desfășurarea procesului de învățământ online în condiții de securitate / protecție a datelor personale
  • Recomandări minimale privind protecția datelor cu caracter personal pentru sesiunile de lucru online
  • Recomandări minimale privind protecția datelor cu caracter personal pentru conducătorii instituțiilor de învățământ și pentru Responsabilii cu protecția datelor cu caracter personal

Persoanele interesate pot intra în contact cu autorii acestui ghid, prin intermediul acestei pagini Facebook sau prin e-mail: contact@gdpraplicat.ro

Care sunt principile fundamentale care se aplică în procesul de învățământ on-line?

  1. Limitarea scopului – nu se folosesc datele personale colectate cu acest prilej, în alte scopuri decât cel declarat, respectiv organizarea și desfășurarea activităților pentru învățarea on-line / evaluarea calității procesului de învățare on-line.
  2. Minimizarea datelor – nu se prelucrează mai multe date personale decât cele strict necesare pentru atingerea scopului declarat.
  3. Transparența prelucrărilor – datele personale care sunt prelucrate în cadrul procesului on-line de desfășurare a învățământului, mijloacele de prelucrare a acestora, precum și destinatarii datelor utilizate în proces sunt aduse la cunoștința elevilor și/sau a părintelui, în mod clar, explicit și transparent.
  4. Integritate și confidențialitate – obligația de confidențialitate este valabilă atât pentru profesori, cât și pentru elevi (se va face instruirea elevilor cu privire la diseminarea datelor cu caracter personal și posibilele consecințe, si se va interzice acestora diseminarea datelor personale ale colegilor, de ex. teme completate, sesiuni de lucru conținând comentarii, etc.), dar și pentru părinții / reprezentanții legali ai copiilor.
  5. Responsabilitate – procesele se documentează pentru a putea proba la nevoie respectarea principiilor GDPR și a măsurilor de securitate și, pe cât posibil, dovezile vor conține date cu caracter personal cât mai puține și mai puțin intruzive – ex. dacă este suficient un document scris din partea profesorului ca dovadă a respectării programei de învățământ / orarului / prezenței elevilor, se va evita folosirea fotografiilor sau filmărilor din timpul lecțiilor on-line. Se vor cere clarificări directorilor școlilor / grădinițelor / creșelor și inspectoratelor școlare legat de tipul de dovezi acceptate. Dacă nu ați numit până acum un DPO, este timpul!!! Pentru profesori, recomandarea noastră este să nu demarați procesul de învățare on-line fără a fi instruiți / reinstruiți de către specialistul IT și de către DPO.
  6. Perioadă limitată de stocare – stocarea datelor personale se va face pe o durată de timp strict necesară atingerii scopului declarat și se va determina cât mai exact, funcție de dispozitivul folosit pentru desfășurarea procesului de învățare on-line, de aplicația pe care se desfășoară lecțiile și de precizările directorilor / inspectoratelor școlare.

 Recomandări minimale privind desfășurarea procesului de învățământ online în condiții de securitate / protecție a datelor personale

  • Utilizarea unui singur terminal (calculator / tabletă / telefon), devirusat, parolat, echipat cu elemente de siguranță (minim antivirus actualizat), de preferat cu un sistem de operare licențiat și actualizat;
  • Terminalul de lucru (calculator / tabletă / telefon) nu va fi folosit în această perioadă pentru alte activități (extrașcolare);
  • Terminalul de lucru (calculator / laptop / tabletă / telefon) va fi folosit doar cu softul educațional / platforma educațională utilizate de clasa respectivă și aflate pe lista aplicațiilor agreate / validate de Ministerul Educației și Cercetării (https://digital.educred.ro/#h.cjuhzoxfo0hb), preinstalat de către părinte și configurat pe contul de lucru al copilului;
  • Contul de lucru al elevului de pe calculator / laptop, precum și tableta / telefonul de pe care elevul participă la procesul de învățământ on-line trebuie să fie restricționat la instalări de software nou, fără licență sau din surse nesigure sau la stocare de date personale în afara spațiului comun unde se pot salva atât materialele de curs, cât și ciornele;
  • Acolo unde este posibil, profesorii vor crea pe calculatorul personal un cont de utilizator special dedicat desfășurării procesului de învățare on-line, cont care va fi securizat și parolat corespunzător.
  • La nivelul școlilor se va elabora și se va implementa, de către toți participanții la procesul de învățare on-line, procedura privind utilizarea echipamentelor personale în scop profesional (BYOD – „Bring your own device”).
  • Gestionarea cu responsabilitate a listelor cu numele și adresele de email ale elevilor, asigurându-le măsuri adecvate de securitate. Nu se vor transmite aceste liste pe spațiul comun de lucru cu elevii și părinții și nici pe rețelele de socializare!
  • Lista cu numele elevilor participanți, asociată la imaginile de conectare pe platformele de învățare va conține doar prenumele elevului. Listele ce conțin datele de contact ale elevilor constituie adevărate baze de date cu caracter personal, nu se partajează, nu se trimit în mod nesecurizat și nici altor destinatari, precum grupuri de profesori / părinți de pe rețelele de socializare. Aceste liste nu se salvează în niciun format (document text în format electronic / pe suport de hârtie sau sub formă de capturi de ecran) și nici pe medii externe de stocare (HDD extern, memorii USB) fără a se securiza atât conținutul cât și echipamentul;
  • Școlile vor realiza informarea profesorilor / elevilor / părinților punând la dispoziția acestora toate informațiile prevăzute de art. 13 din Regulamentul 679/2016 (scopurile și temeiurile prelucrărilor de date personale, destinatarii datelor cu caracter personal, perioada de stocare a datelor personale, drepturile persoanelor vizate și modalitățile de exercitare a acestora etc.);
  • Evaluările și notele se vor acorda în conformitate cu instrucțiunile Ministerul Educației și Cercetării / Inspectoratului Școlar Județean, evitând publicarea notelor tuturor elevilor în spațiul virtual comun. Este obligatorie și instruirea cadrelor didactice privind operațiunile de prelucrare admise, respectiv interzise.

Recomandări minimale privind protecția datelor cu caracter personal pentru sesiunile de lucru online

  • Pentru desfășurarea activității de învățământ on-line se vor folosi doar aplicațiile / platformele de e-learning și resursele de învățare on-line asigurate și, după caz, validate și recomandate de Ministerul Educației și Cercetării (art. 3, alin. 1 din Ordinul 4135/21.04.2020 de aprobare a Instrucțiunii privind asigurarea continuității procesului de învățare la nivelul sistemului de învățământ preuniversitar);
  • Prealabil stabilirii platformei agreate pentru desfășurarea procesului de învățământ on-line se citește documentul „Termeni și condiții” al aplicației; permisiunile aplicației se selectează în funcție de stricta lor necesitate pentru funcționarea aplicației (dacă nu e nevoie de acces la galeria foto, agenda telefonică, accesarea locației GPS, atunci aceste facilități ale aplicației, dacă există, nu se permit / se dezactivează). La programarea unei sesiuni de educație, se setează funcțiile de securitate ale platformei utilizate: ID conferință, parolă de acces, blocare acces neautorizat etc.;
  • Construirea dovezilor (pontajelor / listelor de prezență) privind participarea profesorilor / elevilor la activitățile de învățare on-line se va face respectând principiul reducerii la minimum a datelor și se vor identifica mijloacele minim intruzive pentru realizarea acestora (ex.: ar fi suficientă o captură de ecran la unele comentarii / posturi ale profesorului pentru a demonstra prezența sa pe platforma de învățare și nu de capturi de ecran / fotografii / înregistrări audio-video ale lecției, folosind Whatsapp, Facebook sau ZOOM);
  • Pentru transferul datelor cu caracter personal (teme de lucru, evaluări, rapoarte, dovezi ale prezenței profesorilor și elevilor la activitățile de învățare on-line) NU recomandăm utilizarea platformelor / aplicațiilor Whatsapp, Facebook, ZOOM sau orice aplicație care nu prezintă garanții de securitate la transfer a datelor personale;
  • Școlile vor implementa orice măsuri tehnice și organizatorice de securitate pentru a garanta stocarea datelor personale colectate în procesul de învățare on-line în condiții de siguranță privind pierderea, distrugerea, accesarea acestora de către persoane neautorizate etc.;
  • Școlile vor lua măsuri pentru instruirea profesorilor, elevilor și părinților cu privire la diseminarea datelor cu caracter personal către persoane / entități neautorizate și posibilele consecințe / riscuri pentru drepturile și libertățile persoanelor vizate;
  • Școlile vor lua măsuri pentru instruirea profesorilor, elevilor și părinților cu privire la interdicția de a disemina date ale profesorilor, colegilor și părinților (de ex. teme completate, sesiuni de lucru conținând comentarii, evaluări etc.);
  • Pentru conectarea pe platforma de învățământ on-line, NU vor fi utilizate adrese de public mailing (yahoo, gmail, etc.), ci doar adrese de mail aflate în proprietatea operatorului de date (unitatea de învățământ)!
  • Adresele de email, nr. de telefon sau orice alte date personale strict necesare desfășurării procesului de învățământ on-line se transmit profesorului printr-un mijloc de comunicare cât mai sigur și în mod individual (nu se postează pe un grup) și se securizează. Se va evita, pe cât posibil, trimiterea prin email de tip yahoo sau gmail a datelor cu caracter personal. Se vor utiliza adresele de email create / puse la dispoziție de școli;
  • Invitația de participare la sesiunile de învățământ / lecții on-line care conține link-ul de conectare, ID sesiune și parolă se trimite pe un canal sigur de comunicare;
  • Video-conferințele / lecțiile cu participare audio-video, de principiu nu se înregistrează. În cazul în care se dorește să se înregistreze o anumită lecție pentru a fi disponibilă online (de pildă elevilor absenți la momentul lecției), se recomandă să se dezactiveze imaginile video. Nu se permite înregistrarea video-conferinței / lecției cu participare audio-video de către participanți;
  • Nu se va închide sesiunea de lucru până nu vă asigurați, mai întâi, că toți participanții s-au deconectat de la platformă;
  • Evaluarea și prezența copiilor nu vor fi făcute publice.

Recomandări minimale privind protecția datelor cu caracter personal pentru conducătorii instituțiilor de învățământ și pentru Responsabilii cu protecția datelor cu caracter personal

Având în vedere prevederile art. 16 din Ordinul 4135/21.04.2020 de aprobare a Instrucțiunii privind asigurarea continuității procesului de învățare la nivelul sistemului de învățământ preuniversitar, vă recomandăm să respectați cel puțin următoarele:

  • Asigurați-vă că prelucrarea datelor cu caracter personal se face cu respectarea principiilor prelucrării datelor cu caracter personal, conform prevederilor art. 5 din Regulamentul 679/2016;
  • Asigurați-vă că respectați drepturile persoanelor vizate, conform prevederilor 7, art. 13, art. 15-18, art. 21-22 și art. 34 din Regulamentul 679/2016;
  • Asigurați-vă că evidențele activităților de prelucrare sunt actualizate corespunzător si respectă întocmai cerințele art. 30 din Regulamentul 679/2016;
  • Asigurați-vă că respectați securitatea prelucrării datelor personale, conform prevederilor art. 32 din Regulamentul 679/2016;
  • Elaborați și implementați proceduri specifice privind Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal, conform prevederilor art. 33 din Regulamentul 679/2016;
  • Efectuați o evaluare a impactului asupra protecției datelor, ori de câte ori un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc, conform prevederilor art. 35 din Regulamentul 679/2016;
  • Consultați Autoritatea de supraveghere înainte de prelucrarea datelor personale, atunci când evaluarea impactului asupra protecției datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului, conform prevederilor art. 35 din Regulamentul 679/2016.

Sintact.ro

Partenerii noștrii de la Sintact.ro, platforma juridică cu cel mai vast conținut din România, ne-au anunțat că au indexat de curând în baza de date tot conținutul volumului GDPR Aplicat.
În prezent, Sintact.ro contine peste 13 milioane de hotărâri judecătorești, 23.000 de articole din 9 reviste de specialitate, peste 200 de cărți de doctrină juridică și peste 90 de comentarii de autor.
Wolters Kluwer România oferă acces gratuit la platforma de documentare juridică pentru toți cititorii DPO-Net.ro. Puteți să activați contul demo pentru o perioadă de 30 de zile accesând link-ul:  https://demo.sintact.ro/?utm_source=DPOweb

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

La ce clauze contractuale vom fi mai atenți de acum în colo ?

Epidemiile, la fel ca războaiele, reprezintă situații care ne găsesc întotdeauna nepregătiți pentru a gestiona efectele complexe ale acestora. Consecința de lungă durată a acestora, după impactul psiho-emoțional, […]

Publicitatea declarației de căsătorie și respectarea principiilor GDPR

Scrieți pe Google „publicație starea civilă”, selectați modul „imagini” și observați rezultatul…Poate chiar vă regăsiți numele pe internet, alături de soțul/soția de atunci sau (încă) din prezent. Ne […]

GDPR se aplică și în timpul pandemiei COVID-19

GDPR se aplică chiar dacă pe timp de pandemie operatorilor de telefonie mobilă le-a fost solicitat de autorități să comunice anumite date pentru a ajuta la reducerea răspândirii […]

Pandemia Covid-19 a impus maturizarea forțată a societății românești

Nimic nu va mai fi ca înainte. Societatea în care trăim s-a schimbat deja, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea […]

Hai să facem împreună analiza unei tentative de phishing

Cred că nu ne preocupă îndeajuns de mult o realitate infracțională care capătă proporții sub ochii noștri, fără a sesiza impactul pe care îl are asupra vieților noastre […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Despre AUDIT în contextul GDPR

O scurtă definiție AUDIT – Examinare profesională a unor informații cu scopul de a exprima o opinie responsabilă și independentă în raport cu un anumit standard. În funcție de standard […]

Ce planuri ți-ai făcut pentru 2020 în privința protecției datelor?

La începutul noului an mulți dintre noi ne facem planuri pentru a ne îndepărta de obiceiurile proaste sau pentru a finaliza proiecte începute în anul precedent. Dar câți […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Conceptul de „operatori independenți” este sinonim cu fuga de responsabilitate

Portalul dpo-NET.ro – Data Protection Officers Network în parteneriat cu Wolters Kluwer România, NeoPrivacy România, Decalex și unCommon Sense Advisory a organizat in data de 11 Decembrie 2019, în Sala de cursuri Wolters Kluwer România din București, a doua ediție […]

Curtea de Justiție a UE nu a utilizat niciodată expresia de „operatori independenți” în sensul practicii din România

Repere privind dobândirea calității de „operator”, „împuternicit al operatorului”, „operatori asociați” și atribuirea vreunei alte calități a unei entități care prelucrează date cu caracter personal Sumar: Prezentul articol […]

A început Războiul de independență al operatorilor de date din România

Nu știu alții cum sunt dar eu când mă gândesc la operatorii de date cu caracter personal care își proclamă independența peste noapte mă apucă panica. Numai în […]

Legea care a permis partidelor să copieze listele suplimentare încalcă GDPR-ul!?

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 (Regulamentului general privind protecţia datelor), în vigoare de la 31 iulie 2018, „riscă” să fie […]

ORIZONTUL SECURITATII CIBERNETICE

„If you spend more on coffee than on IT security, you will be hacked. What’s more, you deserve to be hacked” (Richard Clarke) Cunoașteți vreo persoană care a […]