GDPR: Överväganden för skolor
Den allmänna dataskyddsförordningen (eller GDPR) är en förändring i lagstiftningen om hur vi använder och lagrar personuppgifter och som trädde i kraft den 25 maj 2018 . Alla organisationer måste följa de nya reglerna. Så vad betyder detta för skolor?
Vad är personuppgifter?
Med personuppgifter avses information som direkt eller indirekt kan identifiera en verklig person. Detta inkluderar information som: ett namn, en e-postadress, inlägg på sociala nätverkssajter, medicinsk information, bankuppgifter, ett foto eller faktiskt en IP-adress.Skolor kan också ha ytterligare information om ett barns etnicitet, religion eller medicinska historia. Det finns regler som kommer att behöva behandla hur denna information hanteras.
Varför förändringen?
Den allmänna dataskyddsförordningen (GDPR) säkerställer att organisationer och företag är mer ansvarsfulla och transparenta i sin insamling, användning och skydd av personuppgifter.
Den nya lagstiftningen ersätter dataskyddsdirektivet 95/46/EG och kommer att bli en strängare och uppdaterad förordning. EU inser att insamling av personuppgifter är storföretag och syftar till att säkerställa att ansvarsfulla och etiska rutiner finns på plats, tillsammans med skyddsförfaranden. Det kommer att ge EU-medborgare bättre dataskydd och integritet.
Organisationer och företag måste nu ta mer ansvar och svara på följande frågor i samband med personuppgifter:
- Varför håller du den?
- Hur fick du det?
- Varför samlades den ursprungligen?
- Hur länge kommer du att behålla den?
- Hur säkert är det, både vad gäller kryptering och tillgänglighet?
- Delar du det någonsin med tredje part och på vilken grund kan du göra det?
Individens rättigheter
Enligt GDPR kommer individer att ha mer kontroll över vem som har deras information, vad som används för, vem delas den med och hur den behandlas. De kommer nu att ha följande rättigheter:
- Rätten att bli informerad
- Rätten till tillgång
- Rätt till rättelse
- Rätten att bli bortglömd
- Rätten att begränsa behandlingen
- Rätten till dataportabilitet
- Rätt till ersättning och ansvar
När skolor samlar in information om barn, Känsliga personuppgifter för mer detaljer.
Samla in data
Personuppgifter ska behandlas rättvist och lagligt. Om du som skola samlar in personuppgifter måste du kunna förklara:
- Varför du samlar den
- Hur du kommer att bearbeta det
- Vem du kommer att dela den med och vem som har tillgång till den
- Hur länge tänker du behålla den
Det finns sex lagliga grunder under vilka en skola kan behandla personuppgifter. Insamlingen av data måste falla under någon av dessa sex baser, annars är den inte kompatibel med GDPR och bör inte behandlas. Baserna är följande:
- Samtycke från den registrerade
- Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder för att ingå ett avtal
- Behandlingen är nödvändig för att uppfylla en rättslig skyldighet
- Behandlingen är nödvändig för att skydda en registrerad eller annan persons vitala intressen
- Behandlingen är nödvändig för att utföra en uppgift som utförs av allmänt intresse eller för att utöva myndighet som tillkommer den registeransvarige
- Nödvändigt för legitima intressen som eftersträvas av den registeransvarige eller en tredje part, utom där sådana intressen åsidosätts av den registrerades intressen, rättigheter eller friheter
Saker att komma ihåg här är att du kan behöva information om en student, som namn och adress. Detta skulle vara nödvändiga för att utföra en uppgift som utförs i allmänintresset eller för att utöva offentlig myndighet som åligger den registeransvarige. Du kan dock inte sedan använda den informationen på ett annat sätt, som att dela den med en tredje part, utan att först ha fått tillstånd från den registrerade.
Likadant med att ta fotografier av elever . Inte bara kommer du att kräva Vad anses vara god praxis när skolor/ETB tar bilder av sina elever? .
Vad ska man göra?
Skolor bör först göra en granskning av den information de har, bestämma om de behöver den eller inte, varför samlades den in från första början och hur länge de siktar på att behålla den. Ladda ner Efterlevnadschecklista .
Utveckla sedan en intern dataskyddspolicy som anger vilka personuppgifter som finns hos skolan/ETB. Detta dokument bör ses över och uppdateras regelbundet. Det bör också hänvisa till de åtta Regel 1: Skaffa och bearbeta information rättvist
Vad är ett dataintrång?
Ett dataintrång uppstår när personuppgifter, vare sig de är oavsiktligt eller inte, delas eller avslöjas för andra, ändras på något sätt, raderas eller går förlorade. Om data äventyras måste ICO meddelas inom 72 timmar. Om överträdelsen negativt påverkar rättigheterna för någon registrerad(a) måste de också meddelas.
För skolor innebär det att skolledare och personal måste ha rutiner för att hantera sådana tillfällen.
Slutsats
Den nya förordningen kan verka skrämmande men den kommer att ge bättre skydd för dina elever och personal. Även om det finns många saker att tänka på, skulle det bästa rådet vara att påbörja processen så snart som möjligt. Det finns ett antal användbara länkar som hjälper dig att komma igång nedan.
Användbara länkar
Förbereder för GDPR: http://dataprotectionschools.ie/Document-Library/GDPR-12-Steps.pdf