Prezentarea se încărcă. Vă rugăm să așteptați

Prezentarea se încărcă. Vă rugăm să așteptați

Seminar – GDPR in institutii de invatamant Editia 1 – 29 mai 2019

Prezentări similare


Prezentarea pe tema: "Seminar – GDPR in institutii de invatamant Editia 1 – 29 mai 2019"— Transcriere de prezentare:

1 Seminar – GDPR in institutii de invatamant Editia 1 – 29 mai 2019
Elena – Andreea Avrigeanu – Director General CRUCIAL SYSTEMS & SERVICES Responsabil cu protectia datelor cf certificat Serie L adresa de tel: Seminar – GDPR in institutii de invatamant Editia 1 – 29 mai 2019

2 Notiuni generale: Definitii: DCP: Date cu caracter personal=orice informatii privind o persoana fizica identificata sau identificabila (PV=“persoana vizata”) PV: Persoana fizica identificabila = persoana care poate fi identificata, direct sau indirect, prin elemente singular sau prin cumul de elemente de identificare: nume, numar de identificare, date de localizare, identificator online, identitati fizice, fiziologice, genetice, psihice, economice, culturale, sociale.

3 Notiuni generale: Temeiuri (art 6 – Legalitatea prelucrarii) – 6 temeiuri (cel putin unul indeplinit) 1. Consimtamant: PV si-a dat consimtamantul (acordul) pentru unul sau mai multe scopuri specifice 2. Prelucrarea este necesara pentru executarea unui contract sau pentru a face demersuri inainte de incheierea unui contract 3. Prelucrarea este necesara in vederea indeplinirii unei obligatii legale ce ii revine operatorului 4. Prelucrarea este necesara pentru a proteja interesele vitale ale PV sau ale altei persoane fizice 5. Prelucrarea este necesara pentru ideplinirea unei sarcini ce serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul 6. Prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta (cu exceptia cazului cand prevaleazxa interesele, drepturile si libertatile fundamentale ale PV, in special cand este vorba despre un minor) – interesul legitim trebuie bine justificat.

4 Notiuni generale: Conditii privind consimtamantul - Sa poata fi demonstrat de catre operator - Clar exprimat, fara ambiguitati, limbaj simplu, fara a se induce raspunsul (da/nu), neconditionat (ex. Relatie de subordonare angajat/angajator) - PV sa aiba oricand posibilitatea sa isi retraga consimtamantul. Retragerea nu afecteaza legalitatea prelucrarii anterioara retragerii. Sa se realizeze la fel de simplu precum a fost acordat

5 Drepturile persoanei vizate (trebuie sa aveti formular de exercitare a drepturilor PV in cazul in casre va este solicitat) 1. Dreptul de acces al PV: Daca operatorul prelucreaza datele PV respective Scopul prelucrarii Categoriile de DCP prelucrate Perioada preconizata a fi stocate datele respective sau criteriile de stabilire a perioadei Existenta dreptului PV de a solicita stergerea, rectificarea, restrictionarea prelucrarii sau de a se opune prelucrarii Sursa datelor PV (in cazul in care nu sunt obtinute direct de la PV) Existenta unui proces decizional automatizat (profilare) Daca datele sunt transferate catre o tara terta sau organizatie internationala – garantii adecvate in ce priveste protectia datelor   2. Dreptul la rectificare – actualizarea/corectarea dcp ale PV

6 3. Dreptul la stergere (dreptul de “a fi uitat”) in urmatoarele situatii: DCP nu mai sunt necesare pentru scopul cu care au fost colectate/prelucrate DCP fac obiectul unui consimtamant , iar PV isi retrage consimtamantul si nu exista niciun alt temei juridic la baza prelucrarii PV se opune prelucrarii si nu exista niciun temei juridic pentru continuarea prleucrarii DCP au fost prelucrate ilegal (fara niciun temei din cele 6 indeplinit) DCP trebuie sterse pentru respectarea unei obligatii legale Operatorul trebuie sa ii informeze asupra colicitarii stergerii si pe operatorii terti/imputerniciti catre care a transferat acele DCP Dreptul la stergere nu se aplica in urmatoarele situatii: Pt exercitarea dreptului la libera exprimare si informare Pentru realizarea unei obligatii legale (ex. Evidenta financiar contabila, resurse umane/salarizare, etc) Din motive de interes public in domeniul sanatatii publice In scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica, scopuri statistice, scopuri legale Pentru constatarea, exercitarea, apararea unui drept in instant 4. Dreptul la restrictionarea prelucrarii  5. Dreptul la portabilitatea datelor

7 Regulament General privind Protectia Datelor (GDPR) intra in vigoare din 25 mai si toate institutiile publice vor fi obligate sa desemneze un Responsabil cu Protectia Datelor (DPO). Scolile nu fac exceptie, mai ales ca ele detin date personale despre minori.   Scopul GDPR impune protejarea confidentialitatii datelor personale intr-o lume care devine tot mai dependenta de tot ce inseamna date si informatii. Gradinitele, scolile si liceele prelucreaza numeroase date cu caracter personal atat ale copilului, cat si ale reprezentantilor sai legali, avand astfel calitatea de operator de date cu caracter personal.

8 Incepand cu data de 25 mai 2018, toate unitatile de invatamant trebuie sa desfasoare activitatea de prelucrare a datelor in conformitate cu GDPR nr. 679/2016, care se va aplica direct in toate statele membre U.E.. in contextul protectiei datelor cu caracter personal ale copiilor, prelucrarea trebuie sa respecte si principiul interesului superior al copilului. Inca din etapa inscrierii copilului, unitatea de invatamant colecteaza date cu caracter personal care privesc atat copilul, cat si reprezentantii sai legali. Aici sunt incluse actele pe care parintii le depun pentru a-si inscrie copiii la scoala, precum copii ale actele lor de identitate si copie a certificatului de nastere a copilului.  

9 De asemenea, datele personale privind sanatatea trebuie sa beneficieze de o protectie sporita, conform GDPR. Sfera persoanelor catre care se transmit astfel de date trebuie sa fie restransa, pentru a se respecta si dreptul la viata privata garantat de art. 8 din CEDO.   In plus, unitatea de invatamant colecteaza si alte date necesare pentru furnizarea serviciului educational, cum sunt numarul de telefon si adresa de ale reprezentantilor legali in scopul de a-i contacta si informa pe acestia despre activitatea copilului. Aceste date ale parintilor pot fi utilizate si in scop de marketing direct de catre unitatea de invatamant, insa numai daca persoana respectiva si-a exprimat consimtamantul expres pentru a-i fi prelucrate aceste date in acest scop specific.  

10 Atentie! Consimtamantul reprezentatului legal este necesar si pentru fotografierea copiilor, altfel nefiind permisa publicarea fotografiilor de catre unitatea de invatamant. Scolile sau gradinitele pot sa nu solicite consimtamantul prealabil al parintilor atunci cand fotografiile nu permit identificarea facila a elevilor. Totusi, in asemenea cazuri, ramane obligatorie informarea copiilor si parintilor ca se va face o fotografie si modul in care va fi aceasta utilizata, fiindu-le oferita posibilitatea de a refuza sa faca parte din fotografie. Asadar, unitatea de invatamant ajunge sa prelucreze mai multe categorii de date personale, inclusiv date cu caracter special cum este CNP-ul si date privind sanatatea minorului, care impun masuri mai riguroase de protectie. Fiecare unitate de invatamant ar trebui sa aiba o cartografie a datelor cu caracter personal pe care le prelucreaza si temeiurile in baza carora realizeaza procesarea, pentru a fi in conformitate. A avea si a pastra evidenta privind procesarea datelor reprezinta premisele pentru implementarea celorlalte masuri de protectie. Obligatia de informare se regaseste in art. 13 din Regulamentul general privind protectia datelor nr. 679/2016, iar nerespectarea ei va fi sanctionata.

11 In activitatea de prelucrare a datelor cu caracter personal, unitatile de invatamant trebuie sa se preocupe de securitatea datelor si sa adopte masuri tehnice si organizatorice pentru a impiedica o procesare neautorizata si nelegala si pierderea sau distrugerea accidentala a datelor.   Politica interna privind protectia datelor cu caracter personal ar trebui sa se refere si la masurile de securitate, cum si unde se pastreaza dosarele personale ale copiilor, ce categorie de personal are acces la datele parintilor si ale copiilor, cum este permis accesul la sistemul informatic care contine date personale.   Atentie trebuie acordata si atunci cand se comunica pe informatii despre activitatea copilului, pentru a se evita incidente cum ar fi comunicarea unor informatii si date personale catre alte persoane, din greseala.  

12 In temeiul art. 5 alin. (2) din Regulament, unitatile de invatamant trebuie sa poata face dovada ca prelucreaza datele personale in conformitate cu principiile regasite in capitolul II din acest act normativ european. Aceasta noua obligatie presupune ca toti operatorii de date cu caracter personal sa evalueze modul in care efectueaza procesarea in prezent pentru a lua masurile necesare astfel incat aceasta sa fie in conformitate cu exigentele legislatiei aplicabile incepand cu 25 mai   Nu mai putin important este rolul pe care il au unitatile de invatamant in procesul de educatie al copiilor, mai exact ele trebuie sa ii invete pe copii sa fie responsabili cu datele lor personale.

13 Protecția datelor este esențială
Protecția datelor este esențială! Ea se traduce prin confidențialitate, respect și independență față de influența manipulării. Cu toate acestea, adoptarea de către Uniunea Europeană a GDPR-ului (Regulamentului general privind protecția datelor) a agitat puțin spiritele. Vor trebui școlile să-și modifice procedurile privind activitatea arhivistică? Care informații sunt considerate delicate? Mai putem păstra datele școlii pe un dispozitiv portabil? Isi permite scoala sa piarda sau deterioreze accidental date? O incalcare este si pierderea de date, virusarea, lipsa de evidenta a traficului de date.

14 Recunoașteți diferența: date personale și sensibile Datele personale cuprind orice informație care permite identificarea unei persoane sau a familiei acesteia. În arhivele școlare, aceste date cuprind: numele, adresa, datele de contact, informațiile despre purtare, notele și caracterizările elevilor. Aceste date rămân „personale” chiar dacă persoana respectivă decide să le facă publice. O categorie specială de date vizează subiecte mai sensibile. În ceea ce privește școlile, aceste informații cuprind datele biometrice (de ex., amprentele, fotografiile) ale elevilor, credințele lor religioase (de ex., dacă un elev a ales să nu frecventeze ora de religie), datele despre sănătatea (de ex., alergii) sau dieta elevilor (informații care pot contribui la identificarea religiei sau stării de sănătate a elevilor). Datele din această categorie pot constitui un risc la adresa persoanelor și, prin urmare, pot fi prelucrate doar în anumite condiții. Este foarte probabil ca școlile să nu le poată folosi fără consimțământul părinților.

15 Recunoașteți diferența: operatorii de date și persoanele împuternicite cu prelucrarea datelor GDPR evidențiază importanța a două roluri, care pot fi ocupate atât de persoane fizice, cât și juridice: operatorul de date, care stabilește mijloacele și scopurile activității de prelucrare de date, și persoana împuternicită de acesta, care prelucrează datele în numele operatorului. Ambele părți au responsabilități juridice. De obicei, școala este „operatorul”. Prin urmare, ea trebuie să încheie un contract precis cu un „împuternicit”. Împuternicitul poate lua multe forme: de la un fotograf la o companie care distruge documentele, o platformă de învățare online sau un program informatic. Orice operațiune (culegere, stocare, accesare, distrugere etc. a datelor) executată de aceste entități, chiar dacă este automatizată, este considerată una de prelucrare.

16 Bune practici: monitorizați-vă Conform noii legislații, școlile (asemenea tuturor autorităților publice) trebuie să numească un responsabil cu protecția datelor, o persoană destinată implementării GDPR. Misiunea sa este de a monitoriza politicile școlii, de a organiza activități de formare, de a evalua etc. Iată câteva întrebări pe care fiecare ar trebui să și le adreseze: Pe ce bază prelucrați datele? Există șase temeiuri legale pentru prelucrarea datelor în cadrul GDPR. Cel mai relevant temei legal pentru școli este cel de sarcină publică. Conform acestuia, școlile folosesc datele pentru a îndeplini o sarcină care servește interesului public. Cu toate acestea, datele culese în acest scop nu pot fi refolosite în alt scop. Sper exemplu, școala nu poate publica adresa de a părintelui unei entități terțe care promovează manifestările școlii, pretinzând că este o „sarcină publică”. Pentru a divulga aceste date, școala trebuie să apeleze la o altă bază legală, consimțământul. Școlile trebuie să ceară consimțământul și atunci când doresc să deschidă cont unui elev la un serviciu găzduit online (cloud). Ce tip de date sunt stocate, unde sunt stocate acestea și cine are acces la ele? Școlile ar trebui să-și evalueze practicile de prelucrare a datelor. Odată ce au o imagine de ansamblu asupra datelor personale de care dispun, pot lua în calcul modalitățile optime de protecție a acestora. Ce măsuri de securitate folosiți? Încălcările securității datelor cu caracter personal nu sunt întotdeauna opera hackerilor sau a aplicațiilor nocive; ele pot fi și rezultatul unui laptop uitat în tren sau a unui membru de familie curios. Din acest motiv, personalul va stoca datele personale doar pe echipamentele școlii, va folosi parole puternice și va configura dispozitivele să se blocheze automat după cinci minute. În cazul în care datele personale sunt descărcate pe un dispozitiv de memorie mobil, ca, de exemplu, un stick USB, acesta va fi criptat, protejat cu parolă și nu va fi pus la dispoziția altor utilizatori. De asemenea, personalul școlii va trebui să participe la activități de formare pe teme precum ingineria socială, phishing-ul, tehnologiile cloud, atacurile de tip recompensă etc. Ce informații dețin părinții? Școlile vor trebui să-i înștiințeze pe părinți în legătură cu chestiunile legate de protecția datelor cu caracter personal prin intermediul unui prospect, buletin informativ, raport sau scrisori/ . Documentul va trebui să precizeze tipul de date culese de școli, motivația acestui demers și părțile terțe care au acces la ele. Vă rugăm să rețineți că, potrivit GDPR, părinții și elevii au dreptul să ceară școlilor să consulte, în mod gratuit, datele care îi privesc.

17 Bune practici: informați-vă Protecția datelor cu caracter personal ar trebui să-i intereseze nu doar pe adulți, ci și pe copii. De aceea se recomanda si constientizarea acestui Regulament in randul elevilor. Scopul GDPR impune protejarea confidențialității datelor personale într-o lume care devine tot mai dependentă de tot ce înseamnă date și informații: - Etapa înscrierii copilului, unitatea de învățământ colectează date cu caracter personal care privesc atât copilul ca beneficiar, cât și reprezentanții săi legali, în calitate de beneficiari secundari. - Sunt solicitate chiar și documente medicale în vederea menţinerii unui climat sănătos la nivel de grupă/clasă pentru evitarea degradării stării de sănătate a celorlalţi beneficiari - In plus, unitatea de învățământ colectează și alte date necesare pentru furnizarea serviciului educațional, cum sunt numărul de telefon și adresa de ale reprezentanților legali în scopul principal de a-i contacta și informa pe aceștia despre activitatea copilului. Aceste date ale părinților pot fi utilizate și în scop de marketing direct de către unitatea de învățământ, însă numai dacă persoana respectivă și-a exprimat consimțământul expres pentru a-i fi prelucrate aceste date în acest scop specific. - Consimțământul reprezentatului legal este necesar și pentru fotografierea copiilor, altfel nefiind permisă publicarea fotografiilor de către unitatea de învățământ. Școlile/grădinițele pot să nu solicite consimțământul prealabil al părinților atunci când fotografiile nu permit identificarea facilă a elevilor. Totuși, în asemenea cazuri, rămâne obligatorie informarea copiilor, părinților/reprezentanților legali că se va face o fotografie și modul în care va fi aceasta utilizată, fiindu-le oferită posibilitatea de a refuza să facă parte din fotografie.

18 Bune practici: informați-vă Așadar, unitatea de învățământ ajunge să prelucreze mai multe categorii de date personale, inclusiv date cu caracter special cum este CNP-ul și date privind sănătatea minorului, care impun măsuri mai riguroase de protecție. Fiecare unitate de învățământ ar trebui să aibă o cartografie a datelor cu caracter personal pe care le prelucrează și temeiurile în baza cărora realizează procesarea, pentru a fi în conformitate. A avea și a păstra evidența privind procesarea datelor reprezintă premisele pentru implementarea celorlalte măsuri de protecție.

19 Bune practici: informați-vă Conform GDPR, este foarte important ca unitățile de învățământ să aibă o politică privind protecția datelor cu caracter personal, care să fie accesibilă părinților și copiilor, în scopul informării acestora cu privire la: ce informatii sunt colectate, cine și cum le colectează, de ce sunt colectate, cum vor fi utilizate datele și cui vor fi transmise. Părinții și copii trebuie să aibă o imagine completă despre cum procesează unitatea de învățământ datele lor personale. Politica privind protecția datelor cu caracter personal poate fi afișată pe website sau la avizierul unității de învățământ. Obligația de informare se regăsește în art. 13 din Regulamentul general privind protecția datelor nr. 679/2016, iar nerespectarea de către operator va fi sancționată.

20 Bune practici: Protejati-vă În activitatea de prelucrare a datelor cu caracter personal, unitățile de învățământ trebuie să se preocupe de securitatea datelor și să adopte măsuri tehnice și organizatorice pentru a împiedica o procesare neautorizată și nelegală și pierderea sau distrugerea accidentală a datelor. Politica internă privind protecția datelor cu caracter personal ar trebui să se refere și la măsurile de securitate, cum și unde se păstrează dosarele personale ale copiilor, ce categorie de personal are acces la datele părinților și ale copiilor, cum este permis accesul la sistemul informatic care conține date personale. Adesea date cu caracter personal ajung să fie păstrate pe dispozitive personale ale angajaților unității de învățământ, fără a fi protejate în mod efectiv, caz în care riscul de insecuritate este crescut.

21 Bune practici: Protejati-vă Atenție trebuie acordată și atunci când se comunică pe informații despre activitatea copilului, pentru a se evita incidente cum ar fi comunicarea unor informații și date personale către alte persoane, din greșeală sau cand comunicarea nu este criptata. În cazul în care se produce un incident de securitate, conform art. 33 din Regulamentul general privind protecția datelor este obligatorie notificarea incidentului către autoritatea de supraveghere (ANSPDCP) în termen de 72 de ore de când a luat cunoștință  de acesta.

22 Bune practici: Educati, constientizati
Bune practici: Educati, constientizati ! Nu mai puțin important este rolul pe care îl au unitățile de învățământ în procesul de educație al copiilor, rol în virtutea căruia le revine inclusiv sarcina de a-i învăța pe aceștia să fie responsabili cu datele lor personale. Copiii și elevii ar trebui să fie crescuți pentru a deveni cetățeni independenți ai societății informaționale. În acest scop, este deosebit de important ca ei să învețe, încă din primii ani, despre importanța vieții private și a protecției datelor. Aceste concepte le vor permite ca, mai târziu, să ia decizii în cunoștință de cauză privind informațiile pe care doresc să le dezvăluie, cui și în ce condiții. Grupul de lucru „ARTICOLUL 29” privind protecția datelor cu caracter personal recomandă încă din anul 2009 includerea sistematică a protecției datelor în planurile de învățământ, în conformitate cu vârsta elevilor și cu natura materiilor predate.

23 Anonimizarea numelui si notelor: Numele și notele de la examene pot fi anonimizate, la cererea elevului sau a părintelui   Datele școlare pot să fie anonimizate, dacă elevii sau părinții depun la școală solicitare scrisă în acest sens. Această posibilitate era prevăzută, însă, și până acum de legislația românească, astfel că GDPR nu afectează publicarea notelor obținute de elevi la examenele de Bacalaureat sau Evaluare Națională, au declarat pentru HotNews.ro reprezentanții Ministerului Educației. Potrivit acestora,“până în prezent, fluxul cererilor de anonimizare a notelor este relativ redus”.

24 Răspunsul integral al Ministerului Educației la întrebarea HotNews
Răspunsul integral al Ministerului Educației la întrebarea HotNews.ro: care sunt efectele aplicării GDPR în sistemul de educație   "În baza Convenției încheiate între Ministerul Educației Naționale și Institutul Național de Statistică privind sistemul informațional statistic, document ce reglementează conţinutul și derularea acţiunilor de cooperare și sprijin reciproc între cele două instituţii, respectiv fluxul comun de lucru în vederea constituirii statisticilor de educație, s-a asigurat criptarea si transferul de date din Sistemul Informatic Integrat al Învățământului din România (SIIIR). În cadrul unei întâlniri organizate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal au fost enunțate activitățile relevante ale MEN aflate sub incidența Regulamentului (UE) 2016/679. Concluziile întâlnirii clarifică aspectul „anonimizării” candidaților la examenele și concursurile naționale, în sensul că se păstrează principiul transparenței în condițiile minimizării informațiilor, respectiv folosirea numelui și prenumelui candidaților pe listele afișate. Datele cu caracter personal colectate de școli și introduse în SIIIR sunt stabilite potrivit legislației în vigoare și în conformitate cu protocolul de colaborare MEN - INS, amintit mai sus. În activitatea de prelucrare a datelor cu caracter personal, unitățile de învățământ trebuie să se preocupe de securitatea datelor și să adopte măsuri tehnice și organizatorice pentru a împiedica o procesare neautorizată și nelegală și pierderea sau distrugerea accidentală a datelor. În acest context, datele școlare nu intră în categoria datelor personale și pot fi făcute publice la nivelul clasei și al consiliului profesoral al clasei, precum și la nivelul părinților. În caz extrem, aceste date pot fi transmise prin intermediul carnetului de elev. La solicitarea scrisă a elevilor/ părinților rezultatele/candidaților școlare pot fi anonimizate. Până în prezent, fluxul cererilor de anonimizare a notelor de pe site- urile gestionate de MEN este relativ redus. La nivelul Ministerului Educației se va înființa un compartiment responsabil cu punerea în aplicare a directivei UE privind protecția datelor cu caracter personal."

25 Ce inseamna GDPR pentru scoli
Ce inseamna GDPR pentru scoli? O mare parte din procesarea datelor cu caracter personal intreprinsa de scoli se va baza pe un temei juridic specific, "interesul public". Deoarece este in interes public de a prelucra cu succes date personale de catre scoli, aceasta va insemna ca in majoritatea cazurilor in scoli nu va fi nevoie de consimtamantul specific, ca baza legala a prelucrarii. Prevederile GDPR asigura ca datele personale trebuie sa fie protejate si le ofera persoanelor vizate mai mult control asupra datelor lor, insa aceasta inseamna ca scolile vor avea o responsabilitate sporita fata de aceste tipuri de date: In conditiile GDPR, consimtamantul trebuie acordat in mod explicit oricarui lucru care nu se afla in activitatea normala a scolii, in special daca implica o terta parte care administreaza datele personale. Parintii (sau elevii, in functie de varsta lor) trebuie sa-si exprime consimtamantul pentru ca datele copilului lor sa fie folosite in afara activitatii normale a scolii; Scolile trebuie sa numeasca un responsabil (intern sau extern, instruit) pentru protectia datelor si sa poata dovedi ca sunt conforme cu GDPR; Scolile trebuie sa se asigure ca furnizorii terti, care pot procesa oricare dintre datele personale, sunt conformi cu GDPR si trebuie sa aiba acorduri data protection cu orice companie care prelucreaza date personale. Aceste acorduri trebuie sa cuprinda ce date sunt procesate, cine le proceseaza, cine are acces la acestea, cum sunt protejate, etc.. Va fi obligatoriu ca toate incalcarile de date care pot avea un efect daunator asupra persoanei vizate sa fie raportate Autoritatii de Supraveghere in termen de 72 de ore.

26 Ar trebui scolile sa fie ingrijorate de GDPR
Ar trebui scolile sa fie ingrijorate de GDPR? Scolile se afla intr-o pozitie mult mai buna pentru a se conforma modificarilor GDPR decat multe alte organizatii private. In timp ce noile reglementari GDPR vor impune mai multa responsabilitate, sanctiuni mai dure si o nevoie mai mare de dovezi, multe scoli au deja o politica solida de protectie a datelor si respecta deja drepturile si libertatea indivizilor, in contextul vechii legislatii data protection . In acest caz, scolile pot vedea introducerea regulamentului GDPR ca o modalitate de a imbunatati in continuare modul in care se ocupa de datele cu caracter personal. Scolile au avut intotdeauna obligatia de a oferi elevilor si parintilor lor accesul la datele lor, cu toate acestea, in conformitate cu noul regulament GDPR, indivizii au dreptul sa solicite ca datele lor personale sa fie uitate

27 Ce pot face scolile acum pentru a deveni conforme cu GDPR
Ce pot face scolile acum pentru a deveni conforme cu GDPR? Va prezentam unele masuri pe care scolile le pot lua pentru a se asigura ca sunt conforme cu GDPR: 1. Asigurati-va ca echipa de management senior intelege pe deplin GDPR si impactul sau potential; 2. Scolile ar trebui sa documenteze si sa revizuiasca toate datele personale pe care le detin, inclusiv date despre elevi, personal, parinti, furnizori, autoritati, etc, care ar trebui sa fie organizate si stocate, in cadrul unor procese de audit; (CARTOGRAFIERE) 3. Luati in considerare toate datele personale prelucrate si asigurati-va ca toata lumea intelege cum sunt colectate, de unde au provenit, pentru ce se utilizeaza si ce riscuri sunt generate de utilizarea acestora; (INFORMARE, CARTOGRAFIERE, INSTRUIRE)

28 Ce pot face scolile acum pentru a deveni conforme cu GDPR. 4
Ce pot face scolile acum pentru a deveni conforme cu GDPR? 4. Scolile trebuie sa se asigure ca intreg personalul este instruit in functie de rolurile si responsabilitatile pe care le are. Aceasta ar trebui sa includa formarea generala cu GDPR pentru constientizarea intregului personal, precum si formarea mai detaliata a personalului cu mai multa responsabilitate (de exemplu, seful profesorului, adjunctul sefului profesorului, ofiterul pentru protectia datelor, personalul IT,etc ). (INSTRUIRE) 5. Scolile ar trebui sa dispuna de sisteme care verifica varsta indivizilor si colecteaza consimtamantul parintilor pentru prelucrarea datelor, acolo unde este necesar; (MASURI INFORMATICE ADECVATE)

29 Ce pot face scolile acum pentru a deveni conforme cu GDPR. 6
Ce pot face scolile acum pentru a deveni conforme cu GDPR? 6. Un domeniu extrem de important pentru scoli este de a identifica TOATE programele, aplicatiile utilizate in cadrul scolii. Evolutiile recente in aplicatii pentru educatie au determinat numerosi profesori sa descarce aplicatii si sa le foloseasca in salile de clasa fara ca scoala sa stie despre asta. Scolile trebuie sa stie ce aplicatii, programe se utilizeaza, in ce scop si ce date personale sunt implicate, astfel incat acestea sa poata asigura ca aceste aplicatii sunt compatibile cu GDPR. In cazul in care nu se procedeaza astfel, ar putea sa apara incalcari ale GDPR, amenzi, masuri corective impuse de Autoritate si publicitate negativa pentru scoala in cauza; 7. Intrucat foarte multe scoli sunt clasificate ca autoritati/institutii publice in scopul protectiei datelor si GDPR, acestea trebuie sa desemneze/numeasca un responsabil cu protectia datelor, cu responsabilitatile specifice prevazute de GDPR. Este important sa se ia in considerare locul acestui responsabil in concordanta cu structura si mecanismele de guvernanta ale scolii, pentru evitarea conflictelor de interese;

30 Asigurarea conformitatii scolilor cu GDPR GDPR este un schimbator de reguli in timpul jocului , evident in ceea ce priveste protectia datelor. Asigurarea conformitatii scolilor cu GDPR ar putea implica schimbari semnificative in procesele scolare, generand o serie intreaga de provocari care vor afecta resursele si finantele scolare. Modul in care GDPR va afecta scolile in momentul de fata este inca deschis spre dezbatere, insa este clar ca scolile trebuie sa ia masuri pentru a asigura punerea aplicare a celor mai bune practici pentru a proteja elevii si personalul.  

31 Primii Pasi: 0. Instruire initiala si periodica 1
Primii Pasi: 0. Instruire initiala si periodica 1. Cartografierea datelor si proceselor ce implica DCP 2. Analiza initial si periodica de GAP (pentru verificarea nivelului de conformitate) 3. Identificarea masurilor administrative si informatice in urma pasilor 1 si 2 4. Alinierea documentelor, fluxurilor si procedurilor interne (documente HR, documente specific, etc) si a documentelor obligatorii cf GDPR (ex. Formularul de exercitare drepturi ale PV si formularul de notificare incident de Securitate 5. Planificarea masurilor astfel incat sa se remarce un progres. 6. Instruirea si monitorizarea continua a conformitatii GDPR 7. Anuntarea in max 72 ore a oricarui incident de Securitate.

32 VA MULTUMIM PENTRU ATENTIE.
CRUCIAL SYSTEMS & SERVICES Pentru a adresa intrebari sau pentru a stabili intalniri pe tema GDPR va rugam sa folositi adresa de Pentru alte solutii si Servicii IT va rugam sa va adresati echipe de vanzari a Crucial Systems & Services: Pentru Servicii va rugam sa va adresati echipei tehnica a Crucial Systems & Services: Adresa: Bd. Mamaia 192, Constanta Tel: , Materiale utile GDPR veti regasi incepand cu 1 iunie 2019 la adresa: un VA MULTUMIM PENTRU ATENTIE.


Descărcați ppt "Seminar – GDPR in institutii de invatamant Editia 1 – 29 mai 2019"

Prezentări similare


Publicitate de la Google