Implikationer af GDPR for uddannelsesinstitutioner
Den generelle databeskyttelsesforordning (GDPR) er et sæt love designet til at beskytte europæiske borgeres personlige data. Som sådan skal uddannelsesinstitutioner som skoler og gymnasier i hele Europa tage skridt til at sikre, at de overholder forordningen. Dette gælder for alle kategorier af registrerede – medarbejdere, studerende, leverandører, partnere og leverandører.
I henhold til GDPR skal institutter sørge for, at de behandler data på en sikker, gennemsigtig og lovlig måde. De skal også have processer på plads, der gør det muligt for eleverne at få adgang til deres egne data og anmode om at få dem slettet eller ændret, hvis det er nødvendigt. Endvidere skal institutter kunne demonstrere deres evne til at overholde GDPR, som omfatter handlingsplaner, politikker, processer, registreringer af behandlingsaktiviteter og personaleuddannelse.
Overholdelse af GDPR kan synes at være en ekstra byrde for institutter, men på lang sigt hjælper det ikke kun med at behandle minimale data, men forbedrer også institutternes processer
GDPR betyder, at institutter:
- skal tillade de registrerede at – anmode om deres personoplysninger, anmode om ændring eller sletning af personoplysningerne,
- skal styrke den måde, de opbevarer, behandler, overfører og deler dataene med tredjeparts forretningspartnere.
- kan opbevare personernes personoplysninger, så længe de har en grund til at opbevare oplysningerne
- skal udvise kompetence til at tage sig af databrud
- skal have handlingsplaner på plads for at gennemføre databeskyttelseskonsekvensvurderinger
Hvad GDPR er ‘IKKE’ :
- Det begrænser ikke institutter i at udføre deres forretningsprocesser. Du kan behandle dataene, så længe du har en gyldig grund til at behandle dataene. Det betyder, at du ikke er forpligtet til at gå til den registrerede for hver behandling, det registrerede samtykke er et lovligt grundlag, der giver dig mulighed for at behandle dataene, der er andre grundlag, der giver dig mulighed for at behandle dataene.
- Det begrænser ikke institutter i at udføre deres forretningsprocesser. Du kan behandle dataene, så længe du har en gyldig grund til at behandle dataene. Det betyder, at du ikke er forpligtet til at gå til den registrerede for hver behandling, det registrerede samtykke er et lovligt grundlag, der giver dig mulighed for at behandle dataene, der er andre grundlag, der giver dig mulighed for at behandle dataene.
- GDPR gør det ikke obligatorisk for alle skoler at udpege en databeskyttelsesansvarlig. Hver organisation bør vurdere deres egne databehandlingsaktiviteter for at afgøre, om deres aktiviteter kræver udnævnelse af en databeskyttelsesansvarlig. Hvis det er tilfældet, skal de så overholde de relevante bestemmelser i GDPR vedrørende udnævnelse af en databeskyttelsesansvarlig.