Privatliv er en menneskeret, og databeskyttelseslove er afgørende for at forhindre, at vores privatliv bliver krænket til ondskabsfulde formål eller kommerciel vinding. Men persondata spiller også en vigtig rolle, når vi skal bruge nye teknologier til at forbedre vores liv og sikre vores velbefindende.
I 2018 implementerede EU GDPR (General Data Protection Regulation), en fælles databeskyttelseslov, i hele EU. Denne artikel ser på, hvad GDPR betyder i et uddannelsesmiljø.
Styrkelse af individets rettigheder
Vi lever i en tid, hvor persondata er valuta. Nogle af de største og mest profitable teknologivirksomheder i verden tjener deres penge næsten udelukkende på dine personlige data. Og de bliver mere og mere dygtige til det. De økonomiske incitamenter til at krænke den grundlæggende frihed til databeskyttelse er enorme. GDPR, som er en af verdens strengeste databeskyttelseslovgivninger, styrker udtrykkeligt de individuelle rettigheder for personer og giver også tilsynsmyndighederne mulighed for at pålægge massive bøder for at afskrække virksomheder fra at tjene penge på ulovlig brug af dine data.
"Hverken offentlige eller private uddannelsesinstitutioner er undtaget fra databeskyttelseslovgivningen."
Et fælles digitalt marked
I bund og grund er EU (og de forbundne lande i EØS) et indre marked. For at det kan fungere, skal det sikre fri bevægelighed for varer, kapital, tjenesteydelser og arbejdskraft. Regeringer og virksomheder i unionen skal konkurrere på samme vilkår, for at markedet kan være effektivt, og for at konkurrencen kan være fair på tværs af medlemslandene.
Som itslearning kan bevidne, har det historisk set ikke været problemfrit at levere tjenester på tværs af grænserne i EU/EØS. Lokal lovgivning - selvom den alle er baseret på de samme EU-direktiver - har til tider sat forhindringer op for virksomheder i at konkurrere på tværs af grænserne, når personlige data har været involveret.
Med GDPR ønsker EU at sikre, at der kan være ét digitalt marked med fri udveksling af persondata inden for EU/EØS. Det er kun muligt, hvis alle lande følger det samme regelsæt, nemlig GDPR. Det fremgår tydeligt af artikel 1.3 i GDPR, at EU virkelig ønsker, at vi alle spiller efter de samme regler: Den frie udveksling af personoplysninger inden for Unionen må hverken begrænses eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.
Indvirkningen på uddannelsesinstitutioner og deres leverandører
Hverken offentlige eller private uddannelsesinstitutioner er undtaget fra databeskyttelseslovgivningen. Faktisk har uddannelsesinstitutioner et særligt stort ansvar for databeskyttelse. De behandler en stor mængde beskyttelsesværdige persondata, og de registrerede, eleverne, kan ikke gøre indsigelse mod det meste af denne behandling. Skolerne har også en rolle at spille i at uddanne deres elever i, hvordan de beskytter deres eget privatliv i online-miljøer.
I GDPR-sammenhæng betragtes uddannelsesinstitutioner, eller skoleejere, som "dataansvarlige". Dataansvarlige bestemmer formålet med behandlingen af persondata og er ansvarlige for databeskyttelsesrettighederne for de personer, hvis data behandles. Alle skoleejere skal sikre, at de overholder deres juridiske forpligtelser, før de behandler persondata.
Leverandører, der er involveret i behandlingen, såsom itslearning, betragtes som "databehandlere" og er primært ansvarlige for at beskytte behandlingen og følge de dataansvarliges instruktioner. Uddannelsesinstitutioner bør aldrig overdrage persondata til leverandører, medmindre de har sikret sig, at de er ordentligt beskyttet.
Hvis du vil læse mere om uddannelsesinstitutioner og leverandørers ansvar, kan du gå videre til:
- Vores video 'Minimering af risici i forbindelse med overholdelse af GDPR på videregående uddannelser'
- Vores video 'GDPR og databeskyttelse i fjernundervisning'
- itslearning GDPR-information til kunder
- itslearning GDPR-information til brugere
Du kan finde flere oplysninger om dine rettigheder som bruger af itslearning på vores hjemmeside: itslearning er i overensstemmelse med GDPR. Dette er det andet i en række opdaterede indlæg om GDPR. Læs det første 'GDPR og den databeskyttelsesansvarliges rolle'.