SA Slovenă: școlile trebuie să respecte principiul asigurării protecției datelor începând cu momentul conceperii și în mod implicit

            Autoritatea de supraveghere din Slovenia  (SA) a inițiat o inspecție din oficiu după ce a primit o notificare oficială privind încălcarea securității datelor. O școală a raportat un acces neautorizat la datele cu caracter personal ale elevilor de către furnizorul extern de servicii de catering, contractat pentru servirea meselor în școală. Furnizorului i se acordase acces la întreaga bază de date a elevilor școlii, inclusiv la date sensibile precum subvenții și solduri contabile, deși acesta avea nevoie doar de numele și prenumele elevilor pentru monitorizarea serviciilor de catering.

SA Slovenă a identificat deficiențe semnificative în practicile școlii în materie de protecție a datelor. Un furnizor extern de servicii de catering a primit acces nelimitat la întreaga bază de date a elevilor, inclusiv la informații inutile, cum ar fi subvențiile și soldurile conturilor. Școala a neglijat să implementeze măsuri adecvate pentru a respecta principiul asigurării protecției datelor începând cu momentul conceperii și în mod implicit, astfel cum prevede articolul 25 din GDPR. Deși instituția de învățământ a raportat prompt încălcarea, aceasta nu a implementat măsuri tehnice și organizatorice eficiente pe termen lung pentru a elimina cauzele principale și a preveni repetarea incidentului. Cazul subliniază importanța adoptării unor protocoale adecvate de protecție a datelor în instituțiile de învățământ pentru a asigura securitatea și integritatea datelor cu caracter personal ale elevilor. 

SA slovenă a emis o mustrare către școală și directorul acesteia, în calitate de persoană responsabilă. Operatorul a depus o cerere de protecție judiciară la tribunalul local, care a respins cererea și a confirmat decizia Autorității Slovene de supraveghere. Instanța a subliniat faptul că, punerea în aplicare corespunzătoare a principiului protecției datelor începând cu momentul conceperii și în mod implicit ar fi putut preveni  abordările abuzive ulterioare, inclusiv modificările neautorizate ale datelor de către furnizorul extern și chiar potențiale fraude.

Exemplul atrage atenția asupra specificității mediului școlar, unde prelucrarea datelor cu caracter personal ale elevilor necesită o atenție deosebită. Sistemele informatice sunt adesea utilizate în școli în diverse scopuri (de la gestionarea documentației școlare până la organizarea meselor). Tocmai datorită complexității acestor soluții este esențial ca școlile, atunci când stabilesc cooperarea cu furnizori externi, să determine în mod clar domeniul de aplicare al datelor la care oferă acces furnizorilor și, prin implementarea unor măsuri adecvate, să asigure respectarea strictă a principiului reducerii la minimum a datelor.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.