GDPR: Cân nhắc cho trường học
Quy định chung về bảo vệ dữ liệu (hay GDPR) là một sự thay đổi trong luật về cách chúng tôi sử dụng và lưu trữ dữ liệu cá nhân và có hiệu lực đối với Ngày 25 tháng 5 năm 2018 . Tất cả các tổ chức phải tuân thủ các quy tắc mới. Vậy điều này có ý nghĩa gì đối với các trường học?
Dữ liệu Cá nhân là gì?
Dữ liệu cá nhân đề cập đến thông tin có thể, trực tiếp hoặc gián tiếp, xác định một người thực. Điều này bao gồm các thông tin như: tên, địa chỉ email, bài đăng trên các trang mạng xã hội, thông tin y tế, chi tiết ngân hàng, ảnh hoặc thực sự là địa chỉ IP.Trường học cũng có thể nắm thêm thông tin về dân tộc, tôn giáo hoặc tiền sử bệnh tật của trẻ. Có những quy tắc sẽ cần giải quyết cách xử lý thông tin này.
Tại sao lại thay đổi?
Quy định chung về bảo vệ dữ liệu (GDPR) đảm bảo rằng các tổ chức và doanh nghiệp có trách nhiệm giải trình và minh bạch hơn trong việc thu thập, sử dụng và bảo vệ dữ liệu cá nhân của họ.
Luật mới thay thế Chỉ thị bảo vệ dữ liệu 95/46 / EC và sẽ là một quy định nghiêm ngặt và cập nhật hơn. EU công nhận rằng việc thu thập dữ liệu cá nhân là hoạt động kinh doanh lớn và nhằm đảm bảo rằng các hoạt động thực hành có trách nhiệm và đạo đức được áp dụng, cùng với các quy trình bảo vệ. Nó sẽ cung cấp cho công dân EU khả năng bảo vệ dữ liệu và quyền riêng tư cao hơn.
Các tổ chức và doanh nghiệp giờ đây sẽ phải có trách nhiệm hơn và trả lời các câu hỏi sau liên quan đến dữ liệu cá nhân:
- Tại sao bạn lại giữ nó?
- Làm thế nào bạn có được nó?
- Tại sao ban đầu nó được tập hợp?
- Bạn sẽ giữ nó trong bao lâu?
- Mức độ an toàn của nó, cả về mã hóa và khả năng truy cập?
- Bạn có bao giờ chia sẻ nó với bên thứ ba không và bạn có thể làm như vậy trên cơ sở nào?
Quyền của cá nhân
Theo GDPR, các cá nhân sẽ có nhiều quyền kiểm soát hơn đối với việc ai có thông tin của họ, thông tin được sử dụng để làm gì, chia sẻ với ai và xử lý thông tin đó như thế nào. Bây giờ họ sẽ có các quyền sau:
- Quyền được thông báo
- Quyền tiếp cận
- Quyền sửa chữa
- Quyền được lãng quên
- Quyền hạn chế xử lý
- Quyền đối với tính khả chuyển của dữ liệu
- Quyền được bồi thường và trách nhiệm
Khi trường học thu thập thông tin về trẻ em, Dữ liệu cá nhân nhạy cảm để biết thêm chi tiết.
Thu thập dữ liệu
Thông tin cá nhân phải được xử lý công bằng và hợp pháp. Là một trường học, nếu bạn đang thu thập dữ liệu cá nhân, bạn phải có khả năng giải thích:
- Tại sao bạn thu thập nó
- Bạn sẽ xử lý nó như thế nào
- Bạn sẽ chia sẻ nó với ai và ai có quyền truy cập vào nó
- Bạn định giữ nó trong bao lâu
Có sáu cơ sở hợp pháp mà theo đó một trường học có thể xử lý dữ liệu cá nhân. Việc thu thập dữ liệu phải thuộc một trong sáu cơ sở này nếu không sẽ không tuân thủ GDPR và không được xử lý.
- Sự đồng ý của chủ thể dữ liệu
- Quá trình xử lý là cần thiết để thực hiện hợp đồng với chủ thể dữ liệu hoặc để thực hiện các bước để ký kết hợp đồng
- Quá trình xử lý là cần thiết để tuân thủ nghĩa vụ pháp lý
- Việc xử lý là cần thiết để bảo vệ lợi ích quan trọng của chủ thể dữ liệu hoặc người khác
- Quá trình xử lý là cần thiết để thực hiện một nhiệm vụ được thực hiện vì lợi ích công cộng hoặc thực hiện quyền hạn chính thức được trao cho người kiểm soát
- Cần thiết cho các mục đích lợi ích hợp pháp do người kiểm soát hoặc bên thứ ba theo đuổi, trừ trường hợp lợi ích đó bị ghi đè bởi lợi ích, quyền hoặc tự do của chủ thể dữ liệu
Những điều cần nhớ ở đây là bạn có thể cần thông tin về học sinh, chẳng hạn như tên và địa chỉ. Điều này sẽ cần thiết cho việc thực hiện một nhiệm vụ được thực hiện vì lợi ích công cộng hoặc trong việc thực hiện quyền hạn chính thức được trao cho người kiểm soát. Tuy nhiên, sau đó bạn không thể sử dụng thông tin đó theo cách khác, chẳng hạn như chia sẻ thông tin đó với bên thứ ba mà không được chủ thể dữ liệu cho phép trước.
Tương tự với việc lấy ảnh của học sinh . Không chỉ bạn sẽ yêu cầu Điều gì được coi là thực hành tốt khi trường học / ETB chụp ảnh học sinh của họ? .
Làm gì?
Trước tiên, các trường học nên tiến hành kiểm tra thông tin mà họ có, quyết định xem họ có cần nó hay không, tại sao nó được thu thập ngay từ đầu, và mục đích lưu giữ nó trong bao lâu. Tải về Danh sách kiểm tra sự tuân thủ .
Tiếp theo, phát triển chính sách bảo vệ dữ liệu nội bộ chỉ định dữ liệu cá nhân nào được trường học / ETB nắm giữ. Tài liệu này cần được xem xét và cập nhật thường xuyên. Nó cũng nên đề cập đến tám Quy tắc 1: Thu thập và xử lý thông tin một cách công bằng
Vi phạm dữ liệu là gì?
Vi phạm dữ liệu xảy ra khi dữ liệu cá nhân, dù vô tình hay không, được chia sẻ hoặc tiết lộ cho người khác, bị thay đổi theo bất kỳ cách nào, bị xóa hoặc bị mất. Nếu dữ liệu bị xâm phạm, ICO phải được thông báo trong vòng 72 giờ. Nếu vi phạm ảnh hưởng tiêu cực đến quyền của bất kỳ (các) chủ thể dữ liệu nào, chúng cũng phải được thông báo.
Đối với trường học, điều này có nghĩa là lãnh đạo và nhân viên của trường phải có các thủ tục để giải quyết những trường hợp như vậy.
Sự kết luận
Quy định mới có vẻ khó khăn nhưng nó sẽ bảo vệ tốt hơn cho học sinh và nhân viên của bạn. Mặc dù có nhiều điều cần xem xét, nhưng lời khuyên tốt nhất là bạn nên bắt đầu quá trình này càng sớm càng tốt. Dưới đây là một số liên kết hữu ích để giúp bạn bắt đầu.
Liên kết hữu ích
Chuẩn bị cho GDPR: http://dataprotectionchools.ie/Document-Library/GDPR-12-Steps.pdf
