GDPR: consideracions per a les escoles
El Reglament General de Protecció de Dades (o GDPR) és un canvi en la legislació sobre com utilitzem i emmagatzemem les dades personals i que va entrar en vigor en el 25 de maig de 2018 . Totes les organitzacions han de complir amb les noves normes. Aleshores, què significa això per a les escoles?
Què són les dades personals?
Les dades personals fan referència a la informació que pot, directa o indirectament, identificar una persona real. Això inclou informació com ara: un nom, una adreça de correu electrònic, publicacions a llocs de xarxes socials, informació mèdica, dades bancàries, una foto o, de fet, una adreça IP.Les escoles també poden tenir informació addicional sobre l'ètnia, la religió o la història mèdica d'un nen. Hi ha normes que hauran d'abordar com es gestiona aquesta informació.
Per què el Canvi?
El Reglament General de Protecció de Dades (GDPR) garanteix que les organitzacions i les empreses siguin més responsables i transparents en la seva recollida, ús i protecció de dades personals.
La nova legislació substitueix la Directiva de Protecció de Dades 95/46/CE i serà una normativa més estricta i actualitzada. La UE reconeix que la recollida de dades personals és una gran empresa i té com a objectiu garantir que s'estableixin pràctiques responsables i ètiques, juntament amb procediments de salvaguarda. Proporcionarà als ciutadans de la UE una major protecció de dades i privadesa.
Ara les organitzacions i les empreses hauran de ser més responsables i respondre les preguntes següents en relació amb les dades personals:
- Per què l'agafes?
- Com ho vas aconseguir?
- Per què es va reunir originalment?
- Quant de temps el conservaràs?
- Què tan segur és, tant pel que fa al xifratge com a l'accessibilitat?
- Ho comparteixes mai amb tercers i sobre quina base ho pots fer?
Drets de l'individu
Segons el GDPR, els individus tindran més control sobre qui té la seva informació, per a què s'utilitza, amb qui es comparteix i com es processa. Ara tindran els següents drets:
- Dret a ser informat
- El dret d'accés
- El dret de rectificació
- El dret a ser oblidat
- Dret a limitar el tractament
- Dret a la portabilitat de les dades
- Dret a indemnització i responsabilitat
A mesura que les escoles recullen informació sobre els nens,
- Per què l'estàs recopilant
- Com el processareu
- Amb qui el compartireu i qui hi té accés
- Quant de temps tens intenció de conservar-lo
Hi ha sis bases legals sota les quals un centre educatiu pot tractar dades personals. La recollida de dades s'ha d'incloure en alguna d'aquestes sis bases o no compleix amb el GDPR i no s'ha de tractar. Les bases són les següents:
- Consentiment de l'interessat
- El tractament és necessari per a l'execució d'un contracte amb l'interessat o per prendre mesures per celebrar un contracte
- El tractament és necessari per al compliment d'una obligació legal
- El tractament és necessari per protegir els interessos vitals d'un interessat o d'una altra persona
- El tractament és necessari per a l'execució d'una tasca realitzada en interès públic o en l'exercici de poders públics atribuïts al responsable del tractament.
- Necessari per als interessos legítims perseguits pel responsable del tractament o per un tercer, llevat que aquests interessos superin els interessos, drets o llibertats de l'interessat.
El que cal recordar aquí és que és possible que necessiteu informació sobre un estudiant, com ara un nom i una adreça. Això seria necessaris per a l'acompliment d'una tasca realitzada en interès públic o en l'exercici de poders públics atribuïts al responsable del tractament. Tanmateix, llavors no podeu utilitzar aquesta informació d'una manera diferent, com ara compartir-la amb un tercer, sense obtenir primer permís de l'interessat.
De la mateixa manera amb la presa fotografies dels alumnes . No només necessitareu Llista de verificació de compliment .
A continuació, desenvolupar una política interna de protecció de dades que especifiqui quines dades personals té l'escola/ETB. Aquest document s'ha de revisar i actualitzar periòdicament. També s'ha de referir als vuit
Les regles són les següents:
- Regla 2: Conserveu-lo només per a un o més propòsits especificats, explícits i lícits
- Regla 4: mantenir-lo segur i protegit
- Regla 6: Assegureu-vos que sigui adequat, rellevant i no excessiu
- Regla 8: lliurar una còpia de les seves dades personals a aquesta persona, a petició
En general, les escoles recullen grans quantitats de dades personals sobre estudiants i personal, cosa que els converteix en controladors de dades. Normalment, el consell d'administració d'una escola o ETB seria el responsable del tractament. Siusplau mira Responsabilitats de les escoles/ETB com a Responsables del tractament per obtenir més informació sobre qui és el responsable del tractament de dades de la vostra escola.
Què és una violació de dades?
Una violació de dades es produeix quan les dades personals, ja sigui inadvertidament o no, es comparteixen o es revelen a altres, es modifiquen de qualsevol manera, s'eliminen o es perden. Si les dades estan compromeses, l'ICO s'ha de notificar en un termini de 72 hores. Si l'incompliment afecta negativament els drets d'algun(s) interessat(s) de les dades, també se'ls ha de notificar.
Per a les escoles, això vol dir que els responsables i el personal escolar han de disposar de procediments per fer front a aquestes ocasions.
Conclusió
La nova regulació pot semblar descoratjadora, però oferirà una millor protecció als vostres estudiants i personal. Tot i que hi ha moltes coses a tenir en compte, el millor consell seria començar el procés el més aviat possible. A continuació, hi ha una sèrie d'enllaços útils per ajudar-vos a començar.
links útils
Preparació per al GDPR: http://dataprotectionschools.ie/Document-Library/GDPR-12-Steps.pdf
