Implikasjoner av GDPR for utdanningsinstitusjoner
General Data Protection Regulation (GDPR) er et sett med lover utviklet for å beskytte personopplysninger til europeiske borgere. Som sådan må utdanningsinstitusjoner som skoler og høyskoler over hele Europa ta skritt for å sikre at de er i samsvar med regelverket. Dette gjelder alle datasubjektkategorier – ansatte, studenter, leverandører, partnere og leverandører.
I henhold til GDPR må institutter sørge for at de behandler data på en sikker, transparent og lovlig måte. De må også ha på plass prosesser som gjør at studentene kan få tilgang til egne data og be om at de slettes eller endres om nødvendig. Videre må institutter kunne demonstrere sin evne til å overholde GDPR, som inkluderer handlingsplaner, retningslinjer, prosesser, registreringer av behandlingsaktiviteter og opplæring av ansatte.
GDPR-overholdelse kan se ut til å være en ekstra belastning for institutter, men på lang sikt hjelper det ikke bare med å behandle minimale data, men forbedrer også instituttenes prosesser
GDPR betyr at institutter:
- må tillate de registrerte å – be om deres personopplysninger, be om endring eller sletting av personopplysningene,
- må styrke måten de lagrer, behandler, overfører og deler dataene med tredjeparts forretningspartnere.
- kan beholde personopplysningene til enkeltpersoner så lenge de har grunn til å beholde opplysningene
- må utvise kompetanse til å ivareta databrudd
- må ha handlingsplaner på plass for å gjennomføre databeskyttelseskonsekvensvurderinger
Hva GDPR er ‘IKKE’:
- Det begrenser ikke institutter i å utføre sine forretningsprosesser. Du kan behandle dataene så lenge du har en gyldig grunn til å behandle dataene. Dette betyr at du ikke er pålagt å gå til den registrerte for hver behandling, den registrertes samtykke er et lovlig grunnlag som lar deg behandle dataene, det er andre grunnlag som lar deg behandle dataene.
- You are not obligated to share all information requested by the data subject. Under the GDPR, you must only provide the data subject with the information necessary for them to exercise their rights under the regulation.
- GDPR gjør det ikke obligatorisk for alle skoler å utnevne en databeskyttelsesansvarlig. Hver organisasjon bør vurdere sine egne databehandlingsaktiviteter for å avgjøre om deres operasjoner krever utnevnelse av en databeskyttelsesansvarlig. I så fall må de overholde de relevante bestemmelsene i GDPR angående utnevnelse av en databeskyttelsesansvarlig.