平衡学生数据收集和隐私保护

花阅鸿
导读 可以公平地说,高等教育部门对有效的数据保护提出了挑战。这是因为控制者(机构)、可能代表他们收集数据的机构雇用的个人(例如,管理员和学

可以公平地说,高等教育部门对有效的数据保护提出了挑战。这是因为控制者(机构)、可能代表他们收集数据的机构雇用的个人(例如,管理员和学者)和数据主体(就本文而言,学生)之间的关系具有分散性,以及作为组织内员工的高度自治。

由于那些希望访问机构持有的有价值的个人数据或拒绝访问合法用户的人越来越关注大学,我们的注意力一直集中在这个问题上。我们需要一个了解其数据保护责任以及我们持有其数据的人的权利的部门。如果不这样做,可能会对机构造成巨额罚款,并对可能造成违规行为的人采取纪律处分。

例如,如果我们采用将考试成绩发布在学生布告栏(或数字时代的虚拟平台)上的传统学术场景,我们将立即面临公平处理和共享与此相关的个人数据的挑战。学生。与学生相关的评估数据是个人的。尽管该机构正在收集和处理这些数据,但它仍然属于学生,如果我们选择共享它,我们需要让所有者意识到共享的意图以及他们不 显示其 数据的权利在公共论坛上。

虽然一篇简短的文章无法详尽地涵盖数据保护和隐私权的所有方面,但我将致力于就学生数据是什么以及如何使用这些数据提出思考。

了解技术控制有限制

也许要记住的最重要的事情是,这不能全部通过技术控制来管理和控制。可以采取许多技术措施(例如访问控制、身份验证和有效的数据管理)来降低未经授权的访问和违规的风险,但这些措施并不能解决所有问题。许多违规行为超出了 IT 部门的控制范围(例如经常引用的电子邮件附件,其中包含发送给错误收件人的数千人的个人数据),负责数据处理的人员无法假设 IT 中的那些聪明人可以减轻任何潜在的违反。

根据一般数据处理条例的原则 1 (在 2018 年数据保护法中体现在英国法律中),收集的任何数据都应以公平、合法和透明的方式进行处理。如果为一个目的(例如,评估)收集数据,则未经受试者同意,不应将其用于其他目的(例如,纪律程序)。拥有学生的个人数据并不能让你全权委托你做你想做的事。

请注意,学生有权提出主题访问请求;这要求组织提供他们持有的有关学生的所有电子数据。随着个人越来越意识到隐私权和组织以负责任的方式处理其数据的责任,这种做法越来越多。“电子数据”延伸到电子邮件和其他形式的数字通信。确保对学生的任何讨论都是专业的,并且出于公平和合法的原因共享任何信息。未能披露个人持有的所有数据,随后被发现,可能会对该机构造成更严重的制裁。

谨慎外包

考虑任何使用校外系统可能会如何影响房东(和您)的数据收集职责。例如,一个很酷的在线系统可以提供关于学术主题的非正式测验,这可能被视为提供额外教学资源的好机会。然而,在海外托管的系统(尤其是那些不符合 GDPR 的系统)可能会收集学生的个人数据——然后导致学生被第三方发送垃圾邮件——需要仔细考虑。至少,需要进行数据保护影响评估,以评估组织是否有责任处理学生数据。

这与使用云提供商实施核心机构服务不同,例如电子邮件系统和学习平台。机构和提供者(处理者)之间将签订正式协议,并在开始提供服务之前进行适当的影响评估。对于员工一时兴起使用的第三方系统的临时使用情况,情况并非如此。

社交媒体可能是一把双刃剑

还应考虑使用非正式平台和社交媒体与学生交流。虽然这看起来像是在“他们的世界”中与学生见面,但模糊社会和工作界限的风险可能会影响学生的隐私,这一风险是巨大的。

例如,向学生发送 WhatsApp 消息,为他们提供评估指导可能会不公平地使该学生受益,并导致对偏见或不公平的指控。

同样,设置 WhatsApp 群组以允许学生讨论学习主题有可能共享个人数据(例如,手机号码),学生可能不希望这样做,如果他们“选择退出”,他们可能会被放置在一个缺点。

无论最初出现的非正式系统多么方便,都要在已进行影响评估的机构管理系统上保持所有沟通。

确保每个人都了解数据保护职责

最后,无知不是法律上的辩护。虽然提供在线数据保护培训的趋势越来越大,但机构需要考虑这是否足以让员工了解数据保护职责以及如何尊重学生隐私。很可能,许多“解决方案”只不过是为机构提供了微不足道的论据:“好吧,他们已经接受过培训,所以这不是我们的错。” 如果由于主题访问请求而发现披露的数据泄露或非法行为,则可能会发现此声明不合适。

任何有数据保护职责的人都需要有效地了解这些职责,接受适当的培训,并通过成文的政策明确他们的职责。

也许最好的建议是:如有疑问,请询问。所有机构都应有数据保护专员和指定数据保护职责的专业人员,如果他们不知道答案,也许可以委派给外部数据保护专家。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!