Wie jedes Unternehmen müssen auch Schulen und Bildungseinrichtungen die im Mai kommenden Aktualisierungen des Datenschutzgesetzes einhalten.
Wir wissen, dass sich die Datenschutzgesetze, wie wir sie heute kennen, ändern. Der Allgemeine Datenschutzverordnung (GDPR/DSGVO) tritt am 25. Mai dieses Jahres in Kraft und die überwiegende Mehrheit der Organisationen, unabhängig von ihrer Größe, müssen auf diese Änderungen vorbereitet sein.
Schulen verarbeiten die personenbezogenen Daten von Lehrern, Schülern und deren Familien. In vielen Fällen nutzen sie Marketing, um die Aufnahme zu verbessern oder Geld zu sammeln. Schulen verfügen über Videoüberwachung, nutzen Cloud-Software – alles Bereiche, die die DSGVO berührt. Werfen wir also einen Blick auf einige Bereiche, die Schulen bei der Erfüllung der neuen Vorschriften berücksichtigen müssen, und wie Sie damit beginnen können.
Das Ökosystem personenbezogener Daten ist ein Begriff, der von der verwendet wird Abteilung für Bildung, um zu beschreiben, wie Daten gespeichert werden und wie die Systeme miteinander verknüpft sind, in denen sie gespeichert werden. Zu diesen Systemen gehören:
Schulen müssen diese personenbezogenen Daten häufig an andere Behörden weiterleiten, darunter das Gesundheits- und Sozialwesen, lokale Behörden und das Bildungsministerium selbst.
Wenn Sie die Daten auf diese Weise betrachten, können Sie etwaige Änderungen planen, die Sie im Hinblick auf die DSGVO vornehmen müssen.
Daher haben wir bereits erwähnt, dass Sie als Schule nicht nur die personenbezogenen Daten von Schülern verarbeiten, sondern auch Daten der Eltern oder Betreuer sowie aller bei Ihnen beschäftigten Personen. Dazu gehören aktuelle und ehemalige Mitarbeiter sowie Personen, die sich für eine Stelle in Ihrer Organisation beworben haben. Schulen müssen alle personenbezogenen Daten und Daten besonderer Kategorien, über die sie verfügen, identifizieren.
Verweisen Sie noch einmal auf das Ökosystem personenbezogener Daten – Teilen Sie Daten mit anderen Organisationen?
Wie die meisten Aspekte des DSGVO, müssen Sie Richtlinien festlegen, die beschreiben, wie Sie mit Daten umgehen. Hier müssen Sie sich die Datenaufbewahrungsrichtlinie Ihres Systems ansehen und sich fragen, ob diese mit Ihrer Datenaufbewahrungsrichtlinie übereinstimmt. Ermöglicht es Ihnen, Ihre schulischen Pflichten zu erfüllen, und ist es in Verträgen mit Lieferanten enthalten?
Wenn eine Person Einsicht in die von Ihnen gespeicherten Daten wünscht, müssen Sie diese Informationen bereitstellen. Dies wird als Subject Access Request (SAR) bezeichnet. Sie müssen sicher sein, dass Sie auf diese Informationen zugreifen und diese dem Betroffenen innerhalb des angegebenen Zeitrahmens zur Verfügung stellen können.
Jedes System, in dem Sie die persönlichen Daten speichern, muss sicher sein. Von Ihnen wird erwartet, dass Sie die Maßnahmen beschreiben, die Sie zum Schutz ergriffen haben. Halten Sie anerkannte Standards wie ISO 27001 für Informationssicherheitsmanagementsysteme ein?
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Sind Sie zuversichtlich, dass der Lieferant, der Ihre Schule mit Ihren Systemen versorgt, am 25. Mai dieses Jahres auf die Änderungen des Datenschutzgesetzes vorbereitet sein wird? Haben sie ihre Schritte zur DSGVO beschrieben und demonstriert?
Bei der Ernennung eines Datenschutzbeauftragten (DPO) empfiehlt das Bildungsministerium, keinen IT-Leiter oder Schulleiter zu wählen. Sie deuten auf eine Person hin, die nicht an der Entscheidungsfindung in Bezug auf Technologie oder Verarbeitung beteiligt ist.
Es ist auch erwähnenswert, dass Datenschutzbeauftragte für eine Reihe von Organisationen arbeiten können. Dies bedeutet, dass Sie einen DSB mit einer anderen Schule teilen können.
Das Büro des Informationskommissars wird zusammen mit dem DfE seine Leitlinien in den kommenden Wochen weiter aktualisieren. ISMS.online hält Sie auf dem Laufenden.
