ממש כמו כל עסק, בתי ספר וגופי חינוך חייבים לציית לעדכוני חוק הגנת המידע שיגיעו במאי.
אנו יודעים שחוקי הגנת המידע, כפי שאנו מכירים אותם כיום, משתנים. ה תקנה כללית להגנה על נתונים (GDPR) נכנס לתוקף ב-25 במאי השנה, והרוב המכריע של הארגונים, ללא קשר לגודלם, צריכים להיות מוכנים לשינויים הללו.
בתי הספר יעבדו את הנתונים האישיים של מורים, תלמידים ובני משפחותיהם. במקרים רבים, הם ישתמשו בשיווק כדי לשפר את הצריכה או לגייס כסף. לבתי ספר יש טלוויזיה במעגל סגור, השתמש בתוכנת ענן - כל התחומים שה-GDPR נוגע בהם. אז בואו נסתכל על כמה מהתחומים שבתי ספר יצטרכו לקחת בחשבון כאשר הם עומדים בתקנות החדשות, וכיצד תוכלו להתחיל.
המערכת האקולוגית של הנתונים האישיים היא מונח המשמש את המחלקה לחינוך, כדי לתאר כיצד נתונים מאוחסנים והקישור בין מערכות שבהן הם משתמשים כדי לאחסן אותם. מערכות אלו כוללות:
לעתים קרובות בתי ספר יידרשו לשלוח את הנתונים האישיים הללו לסוכנויות אחרות כולל בריאות ושירותים חברתיים, רשויות מקומיות ומשרד החינוך עצמו.
התבוננות בנתונים בדרך זו עוזרת לך לתכנן את כל השינויים שאתה צריך לבצע עבור ה-GDPR.
אז הזכרנו קודם שלא רק הנתונים האישיים של התלמידים תטפלו כבית ספר - זה יכול להיות גם נתונים של ההורים או המטפלים וכל מי שהועסק על ידכם. זה כולל עובדים בהווה ובעבר, כמו גם אנשים שהגישו מועמדות לעבודה בארגון שלך. בתי ספר צריכים לזהות את כל נתוני הקטגוריות האישיות והמיוחדות שהם מחזיקים.
עיין בחזרה למערכת האקולוגית של הנתונים האישיים - האם אתה חולק נתונים עם ארגונים אחרים?
כמו רוב ההיבטים של GDPR, תזדקק למדיניות שתתאר כיצד תטפל בנתונים. כאן, תצטרך להסתכל על מדיניות שמירת הנתונים של המערכות שלך ולשאול את עצמך אם היא מתאימה למדיניות שמירת הנתונים שלך. האם זה מאפשר לך למלא את חובותיך בבית הספר והאם זה כלול בחוזים עם ספקים?
אם אדם מבקש לראות אילו נתונים אתה מחזיק עליו, עליך לספק מידע זה. זה נקרא Subject Access Requests, או SAR. אתה צריך להיות בטוח שאתה יכול לגשת למידע זה ולהיות מסוגל לספק לנושא את זה בתוך מסגרת הזמן שצוינה.
כל מערכת שבה אתה מאחסן את הנתונים האישיים חייבת להיות מאובטחת. אתה צפוי לתאר את הצעדים שיש לך כדי להגן עליו. האם אתה עומד בסטנדרטים מוכרים כלשהם, כמו ISO 27001 למערכות ניהול אבטחת מידע?
בוא ה-25 במאי השנה, האם אתה בטוח שהספק שיספק לבית הספר שלך את המערכות שלך יהיה מוכן לשינויים בחוק הגנת המידע? האם הם תיארו והדגימו את צעדיהם ל-GDPR?
בעת מינוי קצין הגנת מידע, או DPO, המחלקה לחינוך ממליצה לא לבחור ראש מחלקת מידע או מורה ראשי. הם מציעים אדם שאין לו מעורבות בקבלת החלטות לגבי טכנולוגיה או עיבוד.
ראוי גם לציין כי קציני הגנת מידע יכולים לעבוד עבור מספר ארגונים. זה אומר שאתה יכול לשתף DPO עם בית ספר אחר.
לשכת נציב המידע, יחד עם ה-DfE ימשיכו לעדכן את הנחייתם בשבועות הקרובים. ISMS.online ישאיר אותך מעודכן.