GDPR: Hensyn til skoler
General Data Protection Regulation (eller GDPR) er en endring i lovgivningen om hvordan vi bruker og lagrer personopplysninger og som trådte i kraft pr. 25. mai 2018 . Alle organisasjoner må følge de nye reglene. Så hva betyr dette for skolene?
Hva er personopplysninger?
Personopplysninger refererer til informasjon som direkte eller indirekte kan identifisere en reell person. Dette inkluderer informasjon som: et navn, en e-postadresse, innlegg på sosiale nettverkssider, medisinsk informasjon, bankdetaljer, et bilde eller faktisk en IP-adresse.Skoler kan også ha tilleggsinformasjon om et barns etnisitet, religion eller medisinske historie. Det er regler som må adressere hvordan denne informasjonen håndteres.
Hvorfor endringen?
General Data Protection Regulation (GDPR) sikrer at organisasjoner og virksomheter er mer ansvarlige og transparente i sin innsamling, bruk og beskyttelse av personopplysninger.
Den nye lovgivningen erstatter databeskyttelsesdirektivet 95/46/EC og vil være en strengere og oppdatert regulering. EU erkjenner at innsamling av personopplysninger er big business og har som mål å sikre at ansvarlig og etisk praksis er på plass, sammen med sikkerhetsprosedyrer. Det vil gi EU-borgere større databeskyttelse og personvern.
Organisasjoner og virksomheter må nå være mer ansvarlige og svare på følgende spørsmål i forhold til personopplysninger:
- Hvorfor holder du den?
- Hvordan fikk du det?
- Hvorfor ble den opprinnelig samlet?
- Hvor lenge vil du beholde den?
- Hvor sikkert er det, både når det gjelder kryptering og tilgjengelighet?
- Deler du det noen gang med tredjeparter, og på hvilket grunnlag kan du gjøre det?
Individets rettigheter
I henhold til GDPR vil enkeltpersoner ha mer kontroll over hvem som har informasjonen deres, hva som brukes til, hvem den deles med og hvordan den behandles. De vil nå ha følgende rettigheter:
- Retten til å bli informert
- Retten til innsyn
- Rett til retting
- Retten til å bli glemt
- Retten til å begrense behandlingen
- Retten til dataportabilitet
- Rett til erstatning og ansvar
Når skolene samler inn informasjon om barn, Sensitive personopplysninger for flere detaljer.
Samle data
Personopplysninger skal behandles rettferdig og lovlig. Som skole, hvis du samler inn personopplysninger, må du kunne forklare:
- Hvorfor du samler det
- Hvordan du vil behandle det
- Hvem du vil dele den med og hvem som har tilgang til den
- Hvor lenge har du tenkt å beholde den
Det er seks lovlige grunnlag for at en skole kan behandle personopplysninger. Innsamlingen av data må falle inn under en av disse seks basene, ellers er den ikke i samsvar med GDPR og bør ikke behandles. Basene er som følger:
- Samtykke fra den registrerte
- Behandling er nødvendig for å oppfylle en kontrakt med den registrerte eller for å iverksette tiltak for å inngå en kontrakt
- Behandling er nødvendig for å overholde en juridisk forpliktelse
- Behandling er nødvendig for å beskytte de vitale interessene til en registrert eller en annen person
- Behandling er nødvendig for å utføre en oppgave utført i allmennhetens interesse eller i utøvelse av offentlig myndighet tillagt den behandlingsansvarlige
- Nødvendig av hensyn til legitime interesser forfulgt av den behandlingsansvarlige eller en tredjepart, unntatt der slike interesser overstyres av den registrertes interesser, rettigheter eller friheter
Ting å huske på her er at du kan trenge informasjon om en student, for eksempel navn og adresse. Dette ville være nødvendig for å utføre en oppgave utført i allmennhetens interesse eller i utøvelse av offentlig myndighet som er tillagt den behandlingsansvarlige. Du kan imidlertid ikke bruke den informasjonen på en annen måte, for eksempel å dele den med en tredjepart, uten å ha fått tillatelse fra den registrerte først.
Tilsvarende med å ta bilder av studenter . Ikke bare vil du kreve Hva anses som god praksis når skoler/ETB tar bilder av elevene sine? .
Hva å gjøre?
Skoler bør først gjennomføre en revisjon av informasjonen de har, bestemme om de trenger den eller ikke, hvorfor ble den samlet inn i utgangspunktet, og hvor lenge de har som mål å beholde den. Last ned Sjekkliste for samsvar .
Utvik deretter en intern personvernpolicy som spesifiserer hvilke personopplysninger skolen/ETB har. Dette dokumentet bør gjennomgås og oppdateres med jevne mellomrom. Det bør også referere til de åtte Regel 1: Innhent og behandle informasjon rettferdig
Hva er et databrudd?
Et databrudd oppstår når personopplysninger, enten det er utilsiktet eller ikke, deles eller avsløres til andre, endres på noen måte, slettes eller går tapt. Hvis data er kompromittert, må ICO varsles innen 72 timer. Hvis bruddet negativt påvirker rettighetene til noen registrert(e), må de også varsles.
For skolene betyr dette at skoleledere og ansatte må ha prosedyrer på plass for å håndtere slike anledninger.
Konklusjon
Den nye forskriften kan virke skremmende, men den vil gi bedre beskyttelse for elevene og ansatte. Selv om det er mange ting å vurdere, vil det beste rådet være å starte prosessen så snart som mulig. Det er en rekke nyttige lenker for å hjelpe deg i gang nedenfor.
nyttige lenker
Forbereder for GDPR: http://dataprotectionschools.ie/Document-Library/GDPR-12-Steps.pdf