Epidemiološke okolnosti prisilile su mnoge obrazovne ustanove, posebice visokoškolske i privatne certifikacijske kuće diljem svijeta da uvedu tzv. "Online proctoring service" ili platforme za online provjeru znanja.
 
I sami smo isprobali jedan od globalno najpoznatijih sustava prilikom certificiranja i online provjere znanja.
 
Ovakve platforme na rubu su usklađenosti s GDPR-om, posebice s obzirom na karakter provjere znanja, kada pojedinac nema nikakvu mogućnost odabira ili slobodnog pristanka na određenu vrstu obrade njegovih osobnih podataka, uz nedovoljnu transparentnost i informiranje pojedinca koji će se njegovi osobni podaci prikupljati, kako će se s njima postupati i kome će biti proslijeđeni. Objektivno je svakom pojedincu koji mora pristupiti provjeri znanja u tom trenutku prolazak na ispitu znanja važniji od same zaštite privatnosti.
 
U okviru priprema provjere znanja vrši se identifikacija pojedinca, pokazivanjem identifikacijskih dokumenata i vjerojatnim skeniranjem od strane online platforme, uzima se i fotografija lica uz vjerojatno skeniranje i usporedbu s fotografijom s identifikacijskog dokumenta, pri čemu već izgledno ulazimo i u područje biometrije.
 
Tijekom ispita online platforma vizualno prati pojedinca, njegovo kretanje očiju, micanje glavom ili rukama, prati i govor ili šaputanje pojedinca i sve zvukove ili šumove u prostoru u kojem se nalazi, radi detektiranja eventualnog zabranjenog prisustva neke druge osobe u istoj prostoriji.
 
Prati se i rad na računalu, otvaranje drugih aplikacija osim same online platforme, otvaranje internetskog preglednika, eventualno pretraživanje po internetu, otvaranje dokumenata ili drugih prozora, kakvi događaji mogu biti razlogom otkazivanja provjere znanja i pada na ispitu.
 
Sve su to elementi dubokog zadiranja u privatnost pojedinca.
 
Stoga je više nego neophodno osigurati ključne mjere prije puštanja u rad takvih onlin platformi za provjeru znanja:
 
- argumentiranje i dokazivanje da su takve mjere praćenja nužne za ostvarivanje svrhe provjere da pojedinac ne vara na ispitu
 
- argumentiranje i dokazivanje da su takve mjere praćenja najmanje invazivne za istu svrhu provjere da pojedinac ne vara na ispitu
 
- jasno i transparentno informiranje svih pojedinaca koji se spremaju na takvu provjeru znanja o svim aspektima zaštite osobnih podataka, o tome koji se osobni podaci prikupljaju, zašto, na koje se vrijeme zadržavaju, tko ima pristup do njih, šalju li se izvan EU/EEA, radi li se automatizirano donošenje odluka ili stvaranje profila te koja su prava svakog pojedinca
 
- provođenje Procjene učinka na zaštitu podataka s analizom svih rizika i mjerama kojima se ti rizici svode na prihvatljive ili potpuno uklanjaju
Sada donosimo dva vrlo zanimljiv slučaj iz Italije, gdje je sveučilište kažnjeno s 200.000 EUR kazne.
 
Naime, sveučilište je cijelu obradu osobnih podataka nužnih za pristupanje i provođenje online ispita postavilo kroz privolu studenata.
 
Moramo ponoviti gradivo. Privola mora:
 
1. biti predmetnom potpuno slobodne volje i slobodnog izbora bez posljedica
 
2. moći se povući u svakom trenutku bez posljedica za pojedinca.
 
Idemo sad razmisliti što bi se dogodilo da student koji se prijavi na online ispit, nakon što "slobodnom voljom" mora pristati na davanje privole, odluči drugi dan je povući prema odredbama GDPR-a.
 
Ako zbog povlačenja privole ne može više pristupiti testu, tada privola nije zakonita i nije u skladu s GDPR-om.
 
Postoje i drugi pravni temelji u GDPR-u za obradu osobnih podataka, osim privole.
Ukupno je na raspolaganju 6 pravnih temelja za sve obrade osobnih podataka i 10 iznimki od opće zabrane prikupljanja posebnih kategorija osobnih podataka (zdravstveni podaci, biometrija, genetski podaci, podaci o vjerskim uvjerenjima, političkoj opredijeljenosti, političkim uvjerenjima, seksualnom životu…)
 
U konkretnom slučaju sveučilišta primjenjuje je pravni temelj iz članka 6. GDPR-a kad je obrada osobnih podataka nužna za izvršenje službenih ovlasti sveučilišta, kad sveučilište ima zakonsku obvezu organizirati nastavu i polaganje ispita.
 
Također, ne može se primjenjivati privola jer ne može biti slobodna u odnosu sveučilišta i studenta, koji će na sve pristati samo da može pristupiti ispitu.
 
Tako jednostavno, zar ne?
 
Bez brige, vidjeli smo fakultete u Hrvatskoj koji su sav GDPR riješili privolama za svaki poseban odjel, za svaku posebnu svrhu i poslovnu aktivnosti. Naravno, sve pogrešno.
 
Vratimo se sada na tzv. Proctoring sustave, odnosno, sustave online testiranja znanja.
 
Oni obiluju prikupljanjem biometrijskih podataka, usporedbama fotografija s osobnih dokumenata i slikom studenta u realnom vremenu, sve do funkcionalnosti kontinuirane provjere kretanja zjenica oka studenta i njegovog neuobičajenog ponašanja tijelom polaganja online ispita, izrađujući online profile studenata temeljem njihovog neuobičajenog ponašanja automatiziranim putem im dodjeljujući oznake različitih boja.
 
Problem sveučilišta nastaje u tome da su "zaboravili" o svim tim obradama osobnih podataka studenata obavijestiti ih unaprijed, kao i o automatiziranom profiliranju.
 
"Zaboravili su" i izraditi Procjenu učinka na zaštitu podataka.
 
200.000 EUR kazne je epilog.
 
Više o slučaju:
 
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9703988&mtc=today