GDPR se aplică instituțiilor care sunt prezente în Uniunea Europeană (EU) și organizațiilor care furnizează bunuri și servicii cetățenilor UE sau care colectează și analizează date referitoare la rezidenții UE.
Învățământul se bazează pe date
La începutul fiecărui an academic, studenții și elevii noi generează volume foarte mari de date în școli și universități. Acestea se adaugă la volumele imense de date pe care aceste organizații le gestionează în calitate de proprietari de date.
Aceste date sunt esențiale pentru funcționarea școlilor și universităților. Prin urmare trebuie implementate proceduri clare și bine documentate pentru fiecare înregistrare prelucrată. Aceste proceduri au nevoie de politici documentate pentru protecție, arhivare și prelucrare.
Pe lângă informațiile colectate prin procedurile administrative despre elevi, studenți și profesori, precum și performanțele acestora se pare că există o sursă infinită de date care circulă în cadrul instituțiilor, în mare parte acestea fiind date cu caracter personal.
GDPR creează un cadru legal european uniform, oferind persoanelor cu reședința în Europa drepturi asupra acestor date.
Ce modificări aduce GDPR?
GDPR include mijloace de protecție specifice pentru copii. În general, prevede că acordul copiilor trebuie să fie „explicit”. GDPR prevede o vârstă legală, în context online, de 16 ani. Însă, statele membre UE pot stabili individual vârsta legală în intervalul 13-16 ani.
Confidențialitatea personală
Persoanele au dreptul:
- să își acceseze datele
- să corecteze erorile sau modificările
- să solicite ștergerea datelor
- să se opună prelucrării
- să își porteze datele
Măsuri de control și notificări
Instituțiile au obligația să protejeze datele cu caracter personal prin măsuri de securitate adecvate, să notifice autoritatea despre breșele de securitate, să documenteze foarte bine modul în care prelucrează datele cu caracter personal și să țină evidențe detaliate cu privire la prelucrarea datelor și consimțământul în acest sens.
De asemenea, trebuie sa ofere notificări clare privind colectarea datelor, să scoată în evidență scopul prelucrării și utilizării. Trebuie să stabilească politici clare pentru păstrarea și ștergerea datelor și de asemenea trebuie să își informeze elevii / studenții sau reprezentanții legali ai minorilor despre modul în care își pot exercita drepturile oferite de Regulament.
O măsură foarte importantă pe care instituțiile trebuie să o aibă în vedere este instruirea personalului. Instituțiile de învățământ trebuie să instruiască personalul și angajații responsabili cu confidențialitatea, administratorii de școli și personalul IT, trebuie de asemenea să verifice și să actualizeze politicile privind datele referitoare la elevi / studenți, personal și contractori, să angajeze un responsabil pentru protecția datelor, să creeze și să gestioneze contracte conforme cu toți furnizorii, inclusiv cu toți profesorii suplinitori.
Instituțiile de învățământ care prelucrează date cu caracter personal vor trebui să prezinte dovezi clare de conformitate, de asemenea sunt obligate să raporteze breșele de securitate în decurs de 72 de ore.
Neconformarea duce la penalizări semnificative.
Ce trebuie să faceți ?
Descoperiți Gestionați Raportați Protejați
- Identificați ce date cu caracter personal dețineți și unde sunt localizate
- Administrați modul în care sunt utilizate și accesate datele cu caracter personal
- Faceți controale de securitate pentru a preveni, detecta și răspunde la vulnerabilități și breșe de securitate
- Mențineți documentele necesare, gestionați solicitările de date și furnizați notificările cu privire la breșe
Datele cu caracter personal sunt adesea păstrate în locații multiple, inclusiv în e-mailuri, documente, baze de date, suporturi portabile, metadate, fișiere cu jurnale și backup-uri.
Asigurați-vă că includeți furnizorii de servicii cloud și gazdele terțe, cum ar fi site-uri web și centrele de servicii comune. Nu uitați datele analogice, cum ar fi dosarele păstrate în dulapuri. Organizați și etichetați datele existente în funcție de sensibilitate, utilizare, proprietar, administratori și utilizatori.
Studiați cu atenție motivele pentru prelucrare, verificați procesul de consimțire și reînnoiți-l, dacă e cazul.
Datele cu caracter personal sunt adesea stocate și accesate de o gama largă de dispozitive. ( servere, computere desktop, laptopuri, tablete, telefoane, computere și dispozitive personale. În general dispozitivele personale pun probleme la descoperirea datelor.
Primul pas în gestionarea datelor cu caracter personal este să definiți de ce trebuie să le colectați. Cum vă ajută acest lucru în procesul de educație. Gândiți-vă cum ar trebui colectate, unde vor fi stocate, ce entități vor sprijini procesul, cine ar trebui să le acceseze și cum veți permite modificarea și ștergerea acestora.
Datele cu caracter personal trebuie accesate doar de persoane autorizate. Trebuie să vă gândiți la toți contractorii, inclusiv serviciile de catering, serviciile de curățenie și asistenții externi, care colaborează cu instituția dumneavoastră. Trebuie să vă asigurați că aceștia vor stoca date cu caracter personal într-o manieră sigură, le vor utiliza doar în scopul solicitat de dumnevoastră și le vor șterge atunci când nu mai sunt necesare.
De asemenea va trebui să analizați și să gestionați activitățile online. Aveți responsabilitatea de a asigura securitatea pe platformele online pe care le utilizați. Creați declarația de confidențialitate în care va trebui să menționați ce informații colectați, cine le colectează, cum sunt colectate, motivul pentru care sunt colectate, scopul colectării, cu cine vor fi împărtășite, ce efect vor avea asupra persoanelor vizate. Verificați procesele de consimțire pentru prelucrarea datelor și oferiți utilizatorilor posibilitatea retragerii sau opunerea. Deasemenea trebuie să le oferiți și posibilitatea efectuării unei plângeri cu referire la utilizarea datelor personale.
Datele cu caracter personal trebuie să fie:
- prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență")
- colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri
- adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor")
- exacte și, în cazul în care este necesar să fie actualizate, trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate")
- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele
- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate")
În concluzie, încrederea este un element important. Securitatea, confidențialitatea, transparența și conformitatea sunt principiile de bază impuse de GDPR.