Kuten minkä tahansa yrityksen, myös koulujen ja oppilaitosten on noudatettava toukokuussa tulevia tietosuojalain päivityksiä.
Tiedämme, että tietosuojalait, sellaisina kuin me ne nykyään tunnemme, ovat muuttumassa. The Yleinen tietosuojadirektiivi (GDPR) tulee voimaan 25. toukokuuta tänä vuonna, ja valtaosan organisaatioista koosta riippumatta on oltava valmiita näihin muutoksiin.
Koulut käsittelevät opettajien, opiskelijoiden ja heidän perheidensä henkilötietoja. Monissa tapauksissa he käyttävät markkinointia parantaakseen saantia tai kerätäkseen rahaa. Kouluissa on CCTV, käytetään pilviohjelmistoja – kaikki alueet, joita GDPR koskee. Katsotaanpa siis joitain alueita, jotka koulujen on otettava huomioon noudattaessaan uusia säännöksiä, ja miten voit aloittaa.
Henkilötietojen ekosysteemi on termi, jota käytetään Opetusministeriö, kuvaamaan tietojen tallentamista ja niiden tallentamiseen käytettyjen järjestelmien linkittämistä toisiinsa. Näitä järjestelmiä ovat:
Koulut joutuvat usein lähettämään kyseiset henkilötiedot muille virastoille, mukaan lukien terveys- ja sosiaaliviranomaisille, paikallisviranomaisille ja itse opetusministeriölle.
Tietojen tarkasteleminen tällä tavalla auttaa sinua suunnittelemaan GDPR:n edellyttämiä muutoksia.
Mainitsimme siis aiemmin, ettet tule käsittelemään vain oppilaiden henkilötietoja kouluna – se voi olla myös vanhempien tai huoltajien ja kenen tahansa palveluksessa olevien tietoja. Tämä sisältää nykyiset ja entiset työntekijät sekä henkilöt, jotka ovat hakeneet työtä organisaatiollesi. Koulujen on tunnistettava kaikki hallussaan olevat henkilökohtaiset ja erityisluokkatiedot.
Palaa takaisin henkilötietojen ekosysteemiin – Jaatko tietoja muiden organisaatioiden kanssa?
Kuten useimmat näkökohdat GDPR, tarvitset käytäntöjä, jotka kuvaavat, kuinka käsittelet tietoja. Tässä sinun on tarkasteltava järjestelmäsi tietojen säilytyskäytäntöä ja kysyttävä itseltäsi, onko se tietojen säilyttämiskäytäntösi mukainen. Antaako se sinun suorittaa koulutehtäväsi ja sisältyykö se tavarantoimittajien kanssa tehtäviin sopimuksiin?
Jos henkilö pyytää nähdä, mitä tietoja sinulla on hänestä, sinun on annettava nämä tiedot. Tätä kutsutaan SAR-pyynnöksi eli Subject Access Requests. Sinun on oltava varma, että pääset käsiksi näihin tietoihin ja pystyt toimittamaan ne kohteelle määritetyn ajan kuluessa.
Kaikkien järjestelmien, joihin tallennat henkilötietoja, on oltava suojattuja. Sinun odotetaan kuvailevan toimenpiteet, jotka sinulla on sen suojaamiseksi. Noudatatko mitään tunnustettuja standardeja, kuten ISO 27001 tietoturvan hallintajärjestelmille?
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
25. toukokuuta tänä vuonna oletko varma, että koulullesi järjestelmät tarjoava toimittaja on valmis tietosuojalain muutoksiin? Ovatko he kuvailleet ja osoittaneet askeleitaan GDPR:ään?
Tietosuojavastaavaa tai DPO:ta nimitettäessä opetusministeriö suosittelee, että et valitse IT-päällikköä tai johtajaopettajaa. He ehdottavat henkilöä, joka ei ole mukana teknologiaa tai käsittelyä koskevien päätösten tekemisessä.
On myös syytä huomata, että tietosuojavastaavat voivat työskennellä useissa organisaatioissa. Tämä tarkoittaa, että voit jakaa DPO:n toisen koulun kanssa.
Tietovaltuutetun toimisto ja DfE jatkavat ohjeidensa päivittämistä tulevina viikkoina. ISMS.online pitää sinut ajan tasalla.