CFU om GDPR og Schrems II – Er vi i mål? Af Bjørn Ilsøe, institutchef, Københavns Professionshøjskole og formand for CFU Danmark. Steen Aamand Olesen, chefkonsulent, Center for Undervisningsmidler UC Lillebælt.
CFU’s politik er selvfølgelig at overholde alle regler og opfylde de krav, der stilles til CFU’s digitale services, så den enkelte underviser trygt kan anvende dem.
Den 25. maj er det tre år siden, at EU’s Persondataforordning medførte en række skærpede krav til virksomheder og myndigheders håndtering af personoplysninger. Det gav store udfordringer til skoler og kommuner, og naturligvis også til Center for Undervisningsmidler, der har brugt mange kræfter på at imødekomme disse krav.
Vi fik i professionshøjskolerne, som alle offentlige myndigheder har pligt til, ansat en databeskyttelsesrådgiver (DPO - Data Protection Officer), der som udgangspunkt har tre hovedopgaver:
Persondataforordningen har til formål at øge beskyttelsen af den registreredes persondata.
• at vejlede og rådgive • at føre tilsyn og kontrollere • at være de registreredes ombudsmand.
Overordnet er CFU’s synspunkt, at sikringen af individets ret til egne data som GDPRreglerne foreskriver er essentiel og udviklet i en god sags tjeneste, men dog stadig omstændig at udføre i praksis. Schrems II komplicerer dette yderligere, og vi er selvfølgelig ikke som individuel forening i stand til at vurdere tilstrækkeligheden af persondatabeskyttelse i eksempelvis USA. Vi er opmærksomme på, hvad datatilsynet og mere relevant EU anbefaler.
DPOen skal sikre, at behandling af persondata sker i henhold til gældende lovgivning. DPOen sørger for, at medarbejderne uddannes i at håndtere kravene, og DPOen er også bindeled imellem Datatilsynet og institutionen, hvis Datatilsynet anmoder om oplysninger og dokumentation for processer. Som CFU-medarbejder skulle vi som alle andre ansatte i sektoren gennemføre og bestå et obligatorisk E-læringskursus senest d. 10.maj 2019, og der findes i dag på vores intranet udførlig dokumentation og vejledning til personale og studerende angående GDPR og IT-sikkerhed.
Vi har alle kun persondata til låns og må kun bruge disse data til et specifikt og legitimt formål. Når det formål er opfyldt, skal persondata som udgangspunkt slettes.
24
