Începând cu 25 mai 2018, numeroase instituții de învățământ vor răspunde pentru datele personale deținute în baza noului Regulament UE- GDPR.

Regulamentul este conceput cu scopul de a proteja confidențialitatea datelor tuturor cetățenilor UE și pentru a armoniza legile privind confidențialitatea datelor din Europa.

Printre modificările cheie care afectează învățământul amintim următoarele:

  1. persoanele au dreptul să își acceseze datele cu caracter personal, să corecteze erorile din datele lor cu caracter personal, să își șteargă datele cu caracter personal, să se opună prelucrării lor și să le exporte.
  2. trebuie luate măsuri de control pentru a proteja datele personale, să notificați autoritățile despre încălcări privind aceste date, să documentați modul în care se prelucrează aceste date, să țineți o evidență detaliată cu privire la prelucrarea lor și o evidență a consimțământului obținut în acest sens.
  3. necesitatea de politici transparente; trebuie să oferiți notificări clare privind colectarea datelor personale, să scoateți în evidență scopul prelucrării și utilizării acestor date, să stabilițo politici de retenție și ștergere a datelor personale.
  4. Instituțiile de învățământ trebuie să își instruiască personalul și angajații responsabili cu confidențialitatea- de exemplu administratorii de sistem sau personalul IT cu privire la GDPR, trebuie să își verifice și să actualizeze politicile privind securitatea datelor referitoare la studenți, personal și contractori, trebuie să angajeze un DPO (dacă este necesar), trebuie să creeze și să gestioneze contracte conforme cu furnizorii, inclusiv cu profesorii suplinitori.
  • GDPR impune drepturi de confidențialitate personală îmbunătățite
  • GDPR consolidează protecția datelor pentru persoane, inclusiv pentru studenți, în cadrul UE, asigurândurmătoarele drepturi:
    • de a accesa datele și de a corecta inexactitățile
    • de a șterge datele
    • de a se opune prelucrării informațiilor personale și de a muta datele
  • Instituțiile de învățământ vor trebui să prezinte dovezi clare de conformitate.
  • Instituțiile de învățământ sunt obligate să raporteze breșele de securitate în decurs de 72 de ore la Autoritatea de Supraveghere- www.dataprotection.ro
PAȘI de urmat
  1. descoperiți ce dețineți- datele personale sunt păstrate în locații multiple ca emailuri, documente, baze de date, suporturi portabile, metadate, fișiere cu jurnale, servere, PC-uri, tablete, medii cloud, copii de rezervă, arhivă etc.
  2. Inventariați aceste dispozitive unde sunt păstrate date personale
  3. Identificați și listați toți utilizatorii, inclusiv studenții și personalul care pot accesa aceste date
  4. Definiți de ce colectați aceste date personale, unde vor fi stocate, cine ar trebui să le acceseze și cum veți permite modificarea și ștergerea acestora
  5. Dezvoltați politici cu privire la utilizarea și accesul la aceste date personale
  6. Organizați utilizatorii în grupuri de securitate
  7. Definiți permisiuni și politici
  8. Educați studenții, personalul și contractorii cu privire la utilizarea corectă a datelor personale
  9. Protejați utilizatorii, datele și dispozitivele- protecție fizică, securitatea rețelelor, gestionarea identității , control acces, criptare
  10. Monitorizați intruziunile, breșele de securitate, infectprile cu viruși, furturile și comportamentul anormal
  11. Protejați rețeaua LAN cu antivirus, firewall și cu mijloace fizice de protecție
  12. Revizuiți politicile privind parolele și opțiunile de autentificare (double password)
  13. Testați regulat eficiența măsurilor de securitate
  14. Păstrați înregistrările pentru a demonstra conformitatea cu GDPR
  15. Activați jurnale și rapoarte
  16. Răspundeți în intervalul de timp menționat în Regulament (exemplu- 72 de ore- notificare breșă către Autoritatea de Supraveghere)

Pașii menționați mai sus au fost interpretați și reprezintă un ghid de instrucțiuni propuse pentru conformitatea cu GDPR în cadrul instituțiilor de învățământ.