Stručnjakinja za zaštitu podataka upozorava: Škole moraju paziti kome odaju identitet žrtve i počinitelja nasilja
Škole ne smiju otkrivati ocjene učenika osobama koje nema pravo vidjeti te informacije, poput majke naše prijateljice jer je tada riječ povredi osobnih podataka. To je zato što škola nije ovlaštena pružiti uvid u naše ocjene trećim osobama, osim roditeljima ili skrbnicima. Također, podaci o djeci, žrtvama ili počiniteljima vršnjačkog nasilja koji su neovlašteno dijeljeni s drugim roditeljima, predstavljaju ozbiljnu povredu privatnosti. Stručnjakinja za zaštitu podataka, s kojom smo razgovarali povodom Međunarodnog dana zaštite podataka, istaknula je važnost traženja zaštite od nadzornih tijela u takvim situacijama.
Povodom današnjeg Međunarodnog dana zaštite podataka, stručnjakinja za zaštitu podataka, Ines Krečak iz Hrvatskog centra za zaštitu podataka Feralis iz Rijeke podijelila je svoje stručno mišljenje o zaštiti privatnosti i osobnih podataka u sustavu obrazovanja. Razgovarali smo o ključnim pojmovima, poput razlikovanja između povrede privatnosti i povrede zaštite osobnih podataka, o tome tko je više na ‘udaru’ oko povrede privatnosti između učenika i nastavnika, a otkrila nam je i pet glavnih ‘red flagova’ koji ukazuju na moguće probleme u obradi podataka.
Kako razlikovati povredu privatnosti od povrede zaštite osobnih podataka?
Najjednostavnije rečeno, privatnost obuhvaća širi pojam od zaštite osobnih podataka. Povreda privatnosti može se dogoditi kada se informacije dijele bez dozvole, dok povreda zaštite osobnih podataka uključuje nezakonitu obradu podataka od strane organizacija. Važno je razumjeti da ovi pojmovi, iako povezani, nisu identični.
Na primjeru dijeljenja tajni s prijateljem, poput toga tko nam je simpatija ili kakav nam je bio uspjeh u školi, Krečak ilustrira povredu privatnosti. No, naglašava da ne možemo govoriti o ‘povredi osobnih podataka’ ako ti podaci nisu korišteni u poslovne svrhe. Osvrćući se na primjere neovlaštenog otkrivanja podataka u obrazovnom sustavu, ističe kako su roditelji prijavili ozbiljne povrede osobnih podataka svoje djece.
– Ako bi škola otkrila naše ocjene osobi koja nema pravo vidjeti te informacije, poput majke naše prijateljice, tada bismo govorili o povredi osobnih podataka. To je zato što poslovni subjekt (škola) nije ovlašten pružiti uvid u naše ocjene trećim osobama, osim roditeljima ili skrbnicima. Omogućavanje pristupa tim informacijama trećim osobama suprotno je načelima zakonitosti obrade, što predstavlja povredu pravnih pravila, a time i povredu naših osobnih podataka, napominje Krečak.
Roditelji prijavili neovlašteno otkrivanje podataka o svojoj djeci
Krečak upozorava na raznovrsne povrede osobnih podataka u sustavu obrazovanja. Primjeri uključuju neovlašteno otkrivanje osjetljivih informacija o djeci, nedostatak educiranosti osoblja o zaštiti podataka te problem nezakonitih privola. Krečak naglašava kako su edukacija i osvještavanje osoblja ključni su za održavanje usklađenosti organizacija.
– Nedavno smo imali dva slučaja gdje su nas roditelji konzultirali i zatražili pomoć zbog neovlaštenog otkrivanja osobnih podataka o svojoj djeci, koja su bila žrtve ili počinitelji vršnjačkog nasilja. Takvi osjetljivi podaci, uključujući informacije o službenim postupcima, neovlašteno su otkrivani drugim roditeljima koji nisu bili povezani s tom djecom ili incidentima, što predstavlja ozbiljnu povredu privatnosti i obradu osobnih podataka bez zakonite osnove te su roditelji upućeni da zaštitu zatraže od nadzornog tijela, napominje Krečak.
Posebno je istaknula i problem nezakonitih privola koje se često susreću u mnogim školama. Ovakve situacije dodatno naglašavaju potrebu za edukacijom i osvještavanjem kako bi se osiguralo poštovanje zakonskih obveza u vezi s prikupljanjem i obradom osobnih podataka.
– U cijelom spektru povreda, ključno je da obrazovne institucije poduzmu mjere kako bi osigurale pravilno postupanje s osobnim podacima, poštujući pritom važeće zakonodavstvo i sigurnosne standarde, govori Krečak.
‘Učenici i studenti često su na većem ‘udaru’ oko povrede osobnih podataka
Iako su i nastavnici i učenici izloženi povredama osobnih podataka, Krečak primjećuje da su učenici često u većem ‘udaru’. Nedostatak kontrole nad obradom njihovih podataka čini ih ranjivijima. Edukacija, kako učenika tako i nastavnika, ključna je za smanjenje rizika od povreda.
– I nastavnici/profesori i učenici/studenti su potencijalno izloženi povredama osobnih podataka. No, promatrajući praksu, može se primijetiti da su učenici i studenti često u većem ‘udaru’ takvih povreda. Razlog tome leži u činjenici da se njihovi podaci često obrađuju od strane obrazovnih institucija, a oni sami imaju ograničen utjecaj na taj proces. Drugim riječima, nemaju potpunu kontrolu nad načinom prikupljanja, pohrane i obrade njihovih osobnih podataka, napominje Krečak.
Nadalje, Krečak napominje kako im se obrazovne ustanove ne obraćaju u dovoljnoj mjeri u kojoj bi oni to možda htjeli. Ponovno ističe kako su edukacija i suradnja ključni su kako bi se poboljšala razumijevanja i implementacija zaštite podataka.
– Posebice je bilo iznenađujuće da škole nisu pokazale interes za sudjelovanjem s obzirom na činjenicu da u velikom dijelu obrađuju posebno štićenu kategoriju osobnih podataka – podatke o djeci. Do sada su nam se obratili samo pojedini roditelji i to u situacijama kada je došlo do povrede podataka njihove djece. Nadamo se da će isto u skoroj budućnosti bitno promijeniti, posebice uzimajući u obzir nedavno više slučajeva traženja pomoći od strane roditelja u slučaju povrede osobnih podataka njihove malodobne djece, rekla je Krečak.
Mogu li školske ili fakultetske baze podataka biti metom hakerskih napada?
Govoreći o visokom obrazovanju i sigurnosti, Krečak tvrdi kako se studenti mogu osjećati sigurno ako institucije primjenjuju odgovarajuće mjere zaštite. Preporučuje proaktivni pristup studenata, tražeći informacije o obradi njihovih podataka i doprinoseći transparentnosti i kontroli obrade.
– Pod pretpostavkom da je obrazovna institucija implementirala primjerene tehničke i organizacijske mjere zaštite, uključujući i edukaciju svog osoblja vezano uz obradu osobnih podataka, studenti se mogu osjećati sigurno. Naš savjet je da studenti budu proaktivni i, ako nisu unaprijed pronašli sve potrebne informacije o obradi svojih osobnih podataka, uključujući informacije o mjerama zaštite koje institucija osigurava, neka se ne ustručavaju iste tražiti. Takvim pristupom sami studenti aktivno doprinose održavanju usklađenosti i primjeni najboljih praksi u zaštiti osobnih podataka, govori Krečak.
Na pitanje o tome mogu li školske ili fakultetske baze podataka biti metom hakerskih napada, Krečak napominje kako sve organizacije, uključujući obrazovne institucije, mogu biti potencijalne mete hakerskih napada. Krečak ističe važnost različitih mjera kako bi se minimizirali rizici i povećala otpornost na prijetnje.
– Važno je napomenuti da se sigurnost podataka ne može osigurati s apsolutnom sigurnošću, ali institucije mogu poduzeti razne tehničke, organizacijske i edukativne mjere kako bi minimizirale rizike i povećale otpornost na potencijalne prijetnje, zaključuje Krečak.
‘Svatko ima pravo znati svrhu obrade svojih osobnih podataka’
Uvijek trebamo biti na oprezu prilikom dijeljenja osobnih podataka, čak i u obrazovnim institucijama, napominje Krečak. Aktivno postavljanje pitanja i traženje informacija doprinose boljem razumijevanju obrade podataka i poštivanju privatnosti.
– Posebno je važno tražiti informacije o obradi osobnih podataka kako biste bili potpuno informirani o načinu na koji će se vaši podaci koristiti, kome će biti dostupni, koliko dugo će biti obrađivani i slično. Svatko ima pravo znati svrhu obrade svojih osobnih podataka i ima pravo tražiti te informacije od organizacija koje ih prikupljaju. Ako niste informirani o obradi podataka ili niste dobili dovoljno informacija, preporučuje se aktivno postavljanje pitanja i traženje dodatnih pojašnjenja. To će vam omogućiti bolje razumijevanje kako se vaši podaci koriste i pridonijeti će kontroli obrade, govori nam Krečak.
Dodaje kako svijest o zaštiti osobnih podataka raste kroz aktivno traženje informacija, postavljanje pitanja i poticanje transparentnosti u vezi s obradom podataka. Krečak zaključuje kako naša aktivnost u tom smislu igra ključnu ulogu u oblikovanju okoline koja poštuje privatnost i štiti osobne podatke.
Pet ‘red flagova’ oko povrede privatnosti i podataka
Krečak identificira nekoliko potencijalnih ‘red flagova’, uključujući nedostatak educiranosti osoblja, slabu sigurnosnu infrastrukturu te nedostatak transparentnosti i odgovora na zahtjeve ispitanika. Ističe i potrebu prilagodbe mjera zaštite podataka prema specifičnostima svake organizacije. Međutim, napominje Krečak, možemo naglasiti nekoliko širokih područja koja mogu ukazivati na potencijalne probleme ili izazove.
- Nedostatak educiranosti osoblja: Nedovoljna razumijevanja zaposlenika o važnosti i pravilima zaštite osobnih podataka može predstavljati ozbiljan rizik, posebno u kontekstu neovlaštenog otkrivanja podataka.
- Slaba sigurnosna infrastruktura: Ako organizacija nema adekvatnu tehničku i organizacijsku infrastrukturu za zaštitu podataka, to može biti ozbiljan ‘red flag’, posebno kada je riječ o slanju osjetljivih podataka putem e-maila.
- Nedovoljna transparentnost: Nedostatak ili nedovoljna jasnoća politika/pravilnika o tome u koju svrhu se prikupljaju, kako se obrađuju i dijele osobni podaci može uzrokovati nesigurnost među ispitanicima.
- Nezakonita obrada osobnih podataka: Ako se osobni podaci obrađuju bez valjane pravne osnove, to predstavlja ozbiljan ‘red flag’, primjerice, u situacijama gdje se zdravstveni podaci djeteta dijele drugim roditeljima bez pravnog temelja npr. na roditeljskom sastanku.
- Nedostatak odgovora na zahtjeve ispitanika: Ako organizacija ne pruža informacije ili ne postupa u skladu s pravima pojedinaca u vezi s njihovim osobnim podacima, to može biti znak ozbiljnog problema, a često se susreće u praksi da na postavljeni zahtjev za pristup podacima ne dobije se valjani odgovor.
– Iako ovi elementi mogu ukazivati na potencijalne probleme, važno je naglasiti da svaka organizacija treba individualno procijeniti i prilagoditi svoje mjere zaštite podataka prema vlastitim potrebama i mogućnostima. Vjerujemo da sustav obrazovanja kontinuirano radi na tom pitanju, zaključila je Krečak.