Općenito, nismo pobornici kažnjavanja, već prvo opominjanja, a onda u slučaju ignoriranja upozorenja treba primjenjivati ozbiljne i odvraćajuće kazne.
Tim više smo protiv kažnjavanja škola, jer jako dobro poznajemo stanje u školskom sustavu u Hrvatskoj.
Naime, autor ovog posta je vanjski službenik za zaštitu podataka za niz osnovnih i srednjih škola u dvije županije i u Zagrebu, u kojima je upoznao više od 1.500 izvrsnih i marljivih ljudi fokusiranih na djecu i na davanje im temelja za uspješno odrastanje.
Škole u svom javnom djelovanju u području odgoja i obrazovanja moraju i istinski se trude biti usklađene s brojnim propisima, a fascinantno nam je da je područje odgoja i obrazovanja po nama jače regulirano od npr. telekom područja. Škole sa svojim vrlo ograničenim ljudskim i financijskim resursima moraju osigurati usklađenost i s nizom drugih propisa, svaka kao zasebna jedinka, pa tako žele biti usklađene i s GDPR-om.
No, takva usklađenost najčešće pada na leđa manjeg broja zaposlenika škole, u manjim školama na jednu do dvije osobe, u pravilu na ravnatelje i tajnike. Pri tom ostali zaposlenici, razrednici, nastavnici, učitelji i ostalo osoblje ne poznaju svoju ulogu u GDPR usklađenosti vlastite škole, štoviše, nisu uključeni u edukacije.
Uz nedostatak stručnih znanja, razumijevanja i primjerenih edukacija, škole kod nas općenito jesu u lošem stanju usklađenosti s GDPR obvezama i u nedostatku sredstava za osiguranje toliko neophodnih mjera informacijske sigurnosti, ali i dalje smatramo da im itekako treba dati šansu, podršku i pomoć.
Primjer iz Belgije nam pokazuje da i tamo gledaju na ovu temu slično.
Škola je prijavljena da je javno objavljivala dokumentaciju kojom su se nezakonito otkrivali osobni podaci osoba, da nije imenovala Službenika za zaštitu podataka niti objavila njegove kontakte, kao i da nije izradila temeljnu dokumentaciju kojom bi mogla dokazati svoju GDPR usklađenost u skladu s načelom pouzdanosti (odgovornosti) iz članka 5. stavka 2. GDPR-a.
Školi nije izrečena kazna, već samo opomena i ostavljen joj je rok od 3 mjeseca da ispravi sve nedostatke.
Iskreno, u tom razdoblju je teško postići istinsku usklađenost škole, jer su škole po pitanju procesa i aktivnosti obrada osobnih podataka kompleksnije od nekih regionalnih međunarodnih korporacija. Znamo to iz prve ruke.
Više o slučaju iz Belgije:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_110/2023&mtc=today
Image from Pexels
#gdprcroatia