SCRISOARE DESCHISĂ – Către Ministerul Educației – Direcția Generală Învățământ Preuniversitar privind articolul 66 din Legea învățământului preuniversitar nr. 198/2023

SCRISOARE DESCHISĂ – Către Ministerul Educației – Direcția Generală Învățământ Preuniversitar privind articolul 66 din Legea învățământului preuniversitar nr. 198/2023

SCRISOARE DESCHISĂ (1 februarie 2024)

Către:

Ministerul Educației – Direcția Generală Învățământ Preuniversitar

În atenția:

  • Doamnei Ligia Deca, Ministrul Educației
  • Domnului Sorin ION, Secretar de stat.  Învățământ preuniversitar
  • Doamnei Mihaela Nicoleta GANEA, Responsabil cu Protecția Datelor Personale în cadrul Ministerului Educației

Spre știință:

  • Doamnei Ancuța Gianina OPRE, Președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

Asociația Specialiștilor în Confidențialitatea și Protecția Datelor (ASCPD), în conformitate cu statutul său, a reacționat anterior prezentei scrisori deschise ori de câte ori protecția datelor cu caracter personal a fost interpretată greșit în practica diverselor instituții publice, inclusiv de către Ministerul Educației. Amintim aici Scrisoarea deschisă din 17 iunie 2020, referitoare la solicitarea consimțământului părinților pentru prelucrarea datelor personale în vederea accesului  la Evaluarea națională.

Prezenta scrisoare deschisă are ca subiect Articolul 66 din Legea învățământului preuniversitar nr. 198/2023.

Precizăm că ASCPD a organizat pe această temă, în data de 1 noiembrie 2023, o masă rotundă la care a fost invitat și Responsabilul cu protecția datelor din cadrul Ministerului Educației, dar, acesta nu a dat curs invitației noastre.

La masa rotundă menționată au participat:

Dl. Conf. univ. dr. Nicolae-Dragoș Ploeșteanu, Director al  Departamentului de Studii pentru Protecția Datelor, Universitatea de Medicina, farmacie, științe și tehnologie „George Emil Palade”, Târgu Mureș

Dl. Doctorand Silviu-Dorin Șchiopu, Universitatea „Nicolae Titulescu”, Brașov

Dl. Mihai Peticilă, fondator EduPedu.ro

Dl. Marius Dumitrescu, Vicepreședinte ASCPD

D-na Daniela Cireașă, Președinte ASCPD.

S-au discutat următoarele aspecte legate de prevederile articolului 66 din Legea nr. 198/2023 – supravegherea audio-video în sălile de clasă:

  1. Introducerea consimțământului părinților în contractul educațional.
  • Una dintre condițiile de valabilitate ale consimțământului, prevăzută de art. 7, alin. (2) din Regulamentul 679/2016 – GDPR, este ca “În cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care constituie o încălcare a prezentului regulament nu este obligatorie.”Atragem atenția și asupra condiției informării prealabile obținerii consimțământului, informare care, din sesizările făcute asociației noastre de mulți părinți și profesori, nu s-a făcut deloc. În practică, ni s-a semnalat că în cadrul ședințelor cu părinții doar s-a dat citire articolului 66, după care a circulat un tabel pentru obținerea la comun a consimțământului pentru instalarea sistemului de supraveghere audio-video. Așadar, considerăm că pentru obținerea unui consimțământ valabil, trebuie făcută o informare prealabilă urmată de un consimțământ individual, separat de contractul educațional.
  1. Consimțământul majorității
  • În cazul folosirii consimțământului ca temei legal de prelucrare a datelor personale, Regulamentul 679/2016 – GDPR prevede, la art. 6, alin. 1, lit. a): “(1) Prelucrarea este legală numai dacă și în măsura în care: (a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”. În concluzie, este nevoie de consimțământul fiecărei persoane vizate, respectiv a fiecărui părinte/reprezentant legal/elev major pentru ca prelucrarea să fie legală, în materia protecției datelor personale, neexistând posibilitatea unui consimțământ al majorității. Considerăm această scăpare ca fiind una dintre cele mai grave erori ale articolului în discuție.
  1. Dreptul de acces la datele personale
  • Ne atrage în mod deosebit atenția faptul că punerea la dispoziția părintelui, tutorelui legal sau elevului major a înregistrărilor video se face în baza unei cereri motivate, aprobate de către directorul unității școlare! Cităm, în continuare, din Ghidul nr. 3/2019 privind prelucrarea datelor cu caracter personal prin mijloace video, elaborat de Comitetul European pentru Protecția Datelor (European Data Protection Board – EDPB): “O persoană vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal. Dacă la momentul solicitării încă se prelucrează date (adică dacă datele sunt stocate sau prelucrate în continuare în orice alt mod), persoana vizată trebuie să primească acces și să fie informată în conformitate cu articolul 15 (GDPR – n.a.).”[1]
  • În articolul 15 din GDPR nu se face nicio referire la justificarea solicitării sau la aprobarea acesteia de către operator, iar alineatul (4) al aceluiași articol 15 precizează că există excepții de la dreptul de acces al persoanelor vizate, și anume că dreptul de a obține o copie a datelor personale nu trebuie să aducă atingere drepturilor și libertăților altora. În acest context, Ghidul nr. 3/2019 privind prelucrarea datelor cu caracter personal prin mijloace video, punctul 94 arată că: “Având în vedere că aceeași secvență din supravegherea video poate înregistra orice număr de persoane vizate, atunci o vizualizare ar duce la prelucrarea suplimentară a datelor cu caracter personal ale altor persoane vizate. Dacă persoana vizată dorește să primească o copie a materialului [articolul 15 alineatul (3)], acest lucru ar putea aduce atingere drepturilor și libertăților altor persoane vizate din material. Prin urmare, pentru a preveni acest efect, operatorul trebuie să ia în considerare faptul că, din cauza naturii invazive a înregistrărilor video, acestea nu trebuie furnizate, în unele cazuri, atunci când pot fi identificate alte persoane vizate. Protejarea drepturilor părților terțe nu trebuie însă folosită drept scuză pentru a împiedica solicitările legitime de acces ale persoanelor; în aceste cazuri, operatorul trebuie să pună în aplicare măsuri tehnice pentru a îndeplini cererea de acces (de exemplu, editarea imaginilor, cum ar fi mascarea sau distorsionarea).
  • De asemenea, aducem în atenția dumneavoastră prevederile punctului 129 din ghidul menționat mai sus: „Atunci când selectează soluțiile tehnice, operatorul trebuie să ia în considerare și tehnologii favorabile confidențialității, deoarece îmbunătățesc securitatea. Câteva exemple de astfel de tehnologii sunt sistemele care permit mascarea sau distorsionarea zonelor irelevante pentru supraveghere sau eliminarea din înregistrare a imaginii persoanelor terțe atunci când înregistrările video se pun la dispoziția persoanelor vizate. Pe de altă parte, soluțiile selectate nu trebuie să ofere funcții care nu sunt necesare (de exemplu, mișcare nelimitată a camerelor, capacitate de mărire, transmisie radio, analiză și înregistrări audio). Funcțiile care sunt oferite, dar nu sunt necesare, trebuie dezactivate.

Așadar, în cazul în care în imagini apar și alte persoane (este de așteptat ca acestea să fie minori), se impune prelucrarea tehnică a imaginilor prin tehnici speciale, cum ar fi blurarea altor persoane surprinse în aceeași imagine. De asemenea, chiar dacă dispozitivele respective pot înregistra și sunete, aceste funcții trebuie dezactivate!

  1. Supravegherea audio-video în sălile de mese și alte spații auxiliare
  • Nu este necesar acordul majorității părinților în cazul instalării camerelor audio-video în exteriorul clădirilor, pe holuri, în săli de mese și săli de festivități, este precizat în alineatul (5) al articolului 66. Totuși, o parte dintre aceste spații, sunt considerate ca fiind în sfera vieții private, așa cum a făcut-o și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal atunci când a aplicat o amendă unui operator care instalase camere de supraveghere în locul destinat servirii mesei.[2]
  1. Temeiul prelucrării datelor personale ale profesorilor
  • Comitetul European pentru Protecția Datelor – CEPD (EDPB) consideră că este foarte dificil ca angajatorii să prelucreze datele personale ale angajaților actuali sau viitori pe baza consimțământului, întrucât este puțin probabil ca acesta să fie acordat în mod liber. Pentru cea mai mare parte a activității de prelucrare a unor astfel de date la locul de muncă, temeiul legal nu poate și nu ar trebui să fie consimțământul angajaților [articolul 6 alineatul (1) litera (a) GDPR], având în vedere natura relației dintre angajator și angajat.”[3]
  • În absența consimțământului, singurul temei care ar putea fi invocat pentru prelucrarea datelor personale ale profesorilor, prin intermediul sistemului de supraveghere audio-video, este interesul legitim al operatorului. În acest caz, este necesară o analiză a interesului legitim care să pună în balanță interesul operatorului versus drepturile și libertățile fundamentale ale profesorilor.
  • Fiind în situația unei monitorizări a angajaților prin intermediul sistemelor de monitorizare video la locul de muncă, considerăm că sunt incidente dispozițiile articolului 5 din Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).[4] Conform normei legale menționate, operatorul ar trebuie să demonstreze respectarea următoarelor condiții pentru a putea prelucra date cu caracter personal în baza temeiului legal al interesului legitim al operatorului:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților, înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”[5]

  • Subliniem că perioada de păstrare a înregistrărilor a fost stabilită și prin Legea 198/2023, art. 66, precum și consultarea profesorilor. Celelalte condiții: analiza interesului legitim, demonstrarea faptului că operatorul a luat anterior alte măsuri mai puțin intruzive și că acestea nu și-au dovedit eficiența nu au fost prevăzute explicit de legiuitor, deși acestea că sunt de maximă importanță.
  1. Lipsa informării (conform art. 13 din RGPD), anterior obținerii consimțământului
  • În conformitate cu prevederile articolul 13 din RGPD, operatorul este obligat să pună la dispoziția persoanelor vizate anumite informații și subliniem aici obligația de a informa explicit persoanele vizate asupra faptului că, în situația unei prelucrări de date personale în temeiul consimțământului, acesta poate fi retras oricând, la fel de ușor cum a fost acordat.
  1. Modalități de retragere a consimțământului și urmările retragerii acestuia
  • Ținând cont de dreptul persoanelor vizate de a-și retrage consimțământul, oricând, fără justificări și fără aprobarea nimănui, ne punem întrebarea, ce se întâmplă cu sistemele de supraveghere audio-video în cazul pierderii majorității invocate de dispozițiile art. 66 din Legea 198/2023?
  1. Necesitatea întocmirii unei evaluări de impact asupra protecției datelor personale (DPIA), anterior începerii prelucrărilor de date cu caracter personal
  • Ghidul EDPB nr. 248/2017 privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679, justifică necesitatea efectuării evaluării de impact atunci când se prelucrează date privind persoanele vizate vulnerabile, astfel “prelucrarea acestui tip de date este un criteriu din cauza dezechilibrului de putere crescut între persoanele vizate și operatorul de date, ceea ce înseamnă că persoanele ar putea să nu fie în stare să își dea cu ușurință consimțământul sau să se opună prelucrării datelor lor sau să își exercite drepturile. Persoanele vizate vulnerabile pot include copiii (pot fi considerați incapabili să se opună sau să consimtă sau să se opună în mod deliberat la prelucrarea datelor lor), angajați, și, în orice caz, poate fi identificat un dezechilibru în relația dintre poziția persoanei vizate și operator.[6] Considerăm de interes în analiza subiectului și considerentul 75 din GDPR, care precizează că “Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; “.[7]
  • Concluzia este că în situația instalării unui sistem de supraveghere audio-video în sălile de clasă din unitățile școlare, se impune efectuarea unei evaluări a impactului acestuia asupra protecție datelor cu caracter personal.
  1. Statutul de persoane vulnerabile a minorilor și angajaților
  • Așa cum am arătat anterior, datorită raportului de forțe evident în defavoarea acestora, în relația cu angajatorul / conducerea școlii, elevii și angajații școlilor (profesori, dar și alt tip de personal) intră în categoria persoanelor vulnerabile care ar trebui protejate suplimentar. Adăugăm și faptul că, în cauză, persoanele vizate sunt în marea majoritate minori, iar GDPR, în considerentul 38, precizează următoarele: „Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal”.[8] În plus, în contextul prelucrării datelor minorilor, ANSPDCP a precizat că este necesară și respectarea dispozițiilor Legii nr. 272/2004 privind protecția şi promovarea drepturilor copilului, urmând a fi avute în vedere prevederile art. 6, art. 27, art. 28, art. 29, art. 34, art. 37, art. 52 și art. 57 acest act normativ.[9]
  1. Situația supravegherii video în școli la nivel european

Poziția CNIL (Autoritatea națională franceză de supraveghere a prelucrării datelor personale) privind CCTV în școli este următoarea: „Camerele pot filma punctele de acces (intrări și ieșiri) și zonele de circulație ale unității. Se exclude, cu excepția cazurilor excepționale, filmarea celorlalte spații ale unităților (loc de joacă, sală de clasă, cantină, foaier etc.) în timpul programului de funcționare al unității: elevii și profesorii și alt personal al unității au dreptul la respectarea vieții lor private. Securizarea bunurilor și a oamenilor poate fi realizată prin implementarea unor mijloace mai puțin intruzive. Utilizarea camerelor trebuie să rămână limitată și să constituie un mijloc complementar altor măsuri de securitate. Doar circumstanțe excepționale (școlile victime ale unor acte rău intenționate frecvente și repetate) justifică filmarea continuă a elevilor și profesorilor.”[10] În Franța, poziția CNIL a fost întotdeauna că „nu poți pune pe cineva sub supraveghere constantă și permanentă, mai ales dacă ținem seama că este implicată monitorizarea constanta a angajaților la locul de muncă[11], iar acolo unde, în mod excepțional se iau astfel de măsuri, este nevoie să se demonstreze existența unor cazuri sau riscuri mari de violență în săli de clasă pentru a justifica această utilizare și nu doar consimțământul părintesc.

În Italia, Garante (Autoritatea națională de supraveghere) este aliniat cu autoritățile irlandeze și franceze. Site-ul web al Garante are o pagină specifică dedicată sistemelor CCTV[12] și o pagină specifică dedicată protecției datelor în școli [13], cu câteva Întrebări frecvente despre sistemele CCTV în școală.  Potrivit Garante, este posibil să se instaleze sisteme CCTV în școală doar atunci când este esențial pentru protejarea clădirii și a proprietății școlii, limitând filmările doar la acele zone afectate, cum ar fi cele supuse furtului și vandalismului. Este necesar să se evalueze necesitatea instalării sistemelor CCTV care să evite interferarea cu dezvoltarea armonioasă a personalității minorilor în raport cu viața lor, procesul de creștere și dreptul lor la educație, precum și cu libertatea de alegere a metode educaționale și de predare.

CONCLUZII

Articolul 66 din Legea învățământului preuniversitar nr. 198/2023 prezintă mai multe neconcordanțe cu legislația privind protecția datelor, ghidurile și orientările EDPB privind supravegherea video, consimțământul, relațiile de muncă, dar și jurisprudența CEDO [14]. Deși recunoaștem preocuparea instituțiilor statului pentru reducerea cazurilor de violență în școli, modalitatea prezentată în articolul menționat lasă loc de abuzuri privind respectarea vieții private, a drepturilor și libertăților persoanelor, fie elevi, fie profesori, fie alte categorii de personal (auxiliar, de întreținere / administrare etc.).

O astfel de măsură (deși considerăm supravegherea audio extrem de intruzivă și cu efecte asupra dezvoltării normale a indivizilor) ar putea fi luată, punctual – în clase cu istoric de violență și infracționalitate, dar, doar în urma epuizării altor măsuri mai puțin intruzive, a întocmirii unei analize de risc la securitate fizică, a unei evaluări a impactului asupra protecției datelor cu caracter personal și cu luarea tuturor măsurilor tehnice și organizatorice care se impun pentru reducerea riscurilor identificate.

Din practică primim întrebări atât din partea părinților, cât și a profesorilor, asupra legalității consimțământului majorității, a tabelelor de obținere a consimțământului fără o informare prealabilă, dar și expunerea unor situații de funcționare permanentă a camerelor de supraveghere în sălile de clasă, camere care au fost montate cu scopul declarat de supraveghere doar în timpul examenelor naționale / bacalaureat. La această situație contribuie și desemnarea formală a responsabililor cu protecția datelor în unitățile școlare, fără o pregătire corespunzătoare în domeniul protecției datelor cu caracter personal și/sau fără nicio autoritate (chiar dacă sunt desemnați, există aproape doar pe hârtie).

Milităm în continuare pentru aplicarea unor măsuri de supraveghere / protecție mai puțin intruzive, inclusiv crearea unor programe guvernamentale de educare la care să ia parte elevi, părinți, profesori, psihologi, reprezentanți ai organelor de poliție, specialiști în bullying, cyberbullying și în protecția datelor. La nivelul unităților școlare, complet nepregătite să implementeze protecția datelor în concordanță cu reglementările UE și ale dreptului intern, se pot lua măsuri de consiliere, dar și implicare a tuturor factorilor în asigurarea unui mediu sigur și propice educației. De asemenea, implicarea unor Responsabili cu protecția datelor, specialiști în domeniu a căror desemnare să țină cont de pregătire, de conflictul de interese, dar și de poziția acestora în organigramă – conform prevederilor articolelor 37-39 din RGPD, ar reprezenta o garanție a aplicării corecte a legislației privind protecția datelor cu caracter personal în unitățile școlare.

Menționăm că ASCPD a solicitat Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal un punct de vedere pe această speță, iar ANSPDCP a comunicat, prin adresa numărul 0001584.29-01-2024 următoarele:

  • Proiectul acestei legi nu a fost transmis, în prealabil, pentru avizare la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
  • Autoritatea de supraveghere a semnalat, în anul 2023, Ministerului Educației faptul că dispozițiile art. 66 din Legea 198/2023 ridică problema compatibilității cu prevederile art. 6 din Regulamentul (UE) 2016/679 și cu principiul proporționalității statuat de art. 5 din același regulament european.
  • Totodată, în considerarea rolului de inițiator al acestei legi și a atribuțiilor Ministerului Educației, am supus atenției acestei instituții, necesitatea reanalizării dispozițiilor art. 66 din Legea nr. 198/2023 a învățământului preuniversitar și efectuarea demersurilor necesare astfel încât să se asigure concordanța cu prevederile Regulamentului (UE) 2016/679.

 

Având în vedere toate cele precizate anterior, Asociația Specialiștilor în Confidențialitatea și Protecția Datelor din România

SOLICITĂ:

 

REFORMULAREA articolului 66 din Legea învățământului preuniversitar nr. 198/2023, prin corectarea dispozițiilor referitoare la obținerea consimțământului, a condițiilor de respectare a dreptului de acces la datele cu caracter personal, dar și cu limitarea cazurilor în care s-ar putea aplica o astfel de măsură de supraveghere a activității în unitățile de învățământ preuniversitar.

 

Cu deosebită considerație,

Asociația Specialiștilor  în Confidențialitate şi Protecția Datelor

prin Președinte, Daniela Irina Cireașă

 

[1]https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_ro,pct. 92

[2]https://www.dataprotection.ro/?page=Comunicat_Presa_17_05_2022

[3]https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_ro, pct. 21

[4]https://legislatie.just.ro/Public/DetaliiDocument/203151

[5]https://legislatie.just.ro/Public/DetaliiDocument/203151, art. 5

[6]https://edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_ro, pag. 10

[7]https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&qid=1702031183741, considerentul 75

[8]https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&qid=1702031183741, considerent 38

[9]https://www.dataprotection.ro/?page=Comunicat_Presa_21.09.2023&lang=ro, Raport de activitate 2022 al ANSPDCP

[10]https://www.cnil.fr/fr/la-videosurveillance-videoprotection-dans-les-etablissements-scolaires

[11]https://www.cnil.fr/fr/la-videosurveillance-videoprotection-au-travail

[12]Videosorveglianza – Garante Privacy

[13]FAQ – Scuola e privacy – Garante Privacy

[14]https://hudoc.echr.coe.int/eng#{%22languageisocode%22:[%22RUM%22],%22appno%22:[%2270838/13%22],%22documentcollectionid2%22:[%22CHAMBER%22],%22itemid%22:[%22001-179461%22]}

vps gazduire web gazduire website