Comme toute entreprise, les écoles et organismes éducatifs doivent se conformer aux mises à jour de la loi sur la protection des données qui interviendront en mai.
Nous savons que les lois sur la protection des données, telles que nous les connaissons aujourd'hui, évoluent. Le Règlement général sur la protection des données (GDPR) entre en vigueur le 25 mai de cette année, et la grande majorité des organisations, quelle que soit leur taille, doivent se préparer à ces changements.
Les écoles traiteront les données personnelles des enseignants, des élèves et de leurs familles. Dans de nombreux cas, ils utiliseront le marketing pour améliorer la consommation ou collecter des fonds. Les écoles disposent de vidéosurveillance et utilisent des logiciels cloud – autant de domaines abordés par le RGPD. Examinons donc certains des domaines que les écoles devront prendre en compte pour se conformer aux nouvelles réglementations, et comment vous pouvez commencer.
L'écosystème des données personnelles est un terme utilisé par le Département de l'éducation, pour décrire la manière dont les données sont stockées et l'interconnexion des systèmes qu'ils utilisent pour les stocker. Ces systèmes comprennent :
Les écoles seront souvent tenues d'envoyer ces données personnelles à d'autres agences, notamment les services de santé et de protection sociale, les autorités locales et le ministère de l'Éducation lui-même.
Examiner les données de cette manière vous aide à planifier les modifications que vous devez apporter au RGPD.
Nous avons donc mentionné plus tôt que vous ne traiterez pas uniquement les données personnelles des élèves en tant qu'école. Il peut également s'agir de données sur les parents, les tuteurs et toute personne employée par vous. Cela inclut les employés actuels et anciens ainsi que les personnes qui ont postulé pour travailler dans votre organisation. Les écoles doivent identifier toutes les données personnelles et de catégories spéciales qu'elles détiennent.
Référez-vous à l’écosystème des données personnelles – Partagez-vous des données avec d’autres organisations ?
Comme la plupart des aspects du RGPD, vous aurez besoin de politiques mises en place pour décrire la manière dont vous gérerez les données. Ici, vous devrez examiner la politique de conservation des données de votre système et vous demander si elle correspond à votre politique de conservation des données. Est-ce que cela vous permet de remplir vos devoirs scolaires et est-il inclus dans les contrats avec les fournisseurs ?
Si une personne demande à voir quelles données vous détenez sur elle, vous devez fournir ces informations. C’est ce qu’on appelle une demande d’accès au sujet, ou SAR. Vous devez être sûr de pouvoir accéder à ces informations et être en mesure de les fournir au sujet dans le délai spécifié.
Tout système dans lequel vous stockez les données personnelles doit être sécurisé. Il vous sera demandé de décrire les mesures que vous avez mises en place pour le protéger. Respectez-vous des normes reconnues, comme ISO 27001 pour les systèmes de gestion de la sécurité de l'information ?
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Le 25 mai de cette année, êtes-vous sûr que le fournisseur qui fournit vos systèmes à votre école sera prêt à faire face aux modifications apportées à la loi sur la protection des données ? Ont-ils décrit et démontré leurs étapes vers le RGPD ?
Lors de la nomination d'un délégué à la protection des données, ou DPO, le ministère de l'Éducation recommande de ne pas choisir un responsable informatique ou un directeur d'école. Ils suggèrent une personne qui n'est pas impliquée dans la prise de décisions concernant la technologie ou la transformation.
Il convient également de noter que les délégués à la protection des données peuvent travailler pour plusieurs organisations. Cela signifie que vous pouvez partager un DPO avec une autre école.
Le Bureau du commissaire à l'information et le DfE continueront de mettre à jour leurs directives dans les semaines à venir. ISMS.online vous tiendra au courant.
