通用數據保護條例 (GDPR)

通用數據保護條例 (GDPR)是歐盟範圍內的一項立法，它將確定如何處理和保護人們的個人數據，以及個人對其自己的數據享有的合法權利。

“個人數據”是指可以識別活人身份的信息。

主要原則

GDPR 規定了處理所有個人數據必須遵守的關鍵原則。

• 數據必須： 合法、公平和透明地處理；為特定、明確和合法的目的收集；僅限於處理目的所必需的內容；準確並保持最新；安全地舉行；僅在出於收集原因所必需的時間內保留

個人對自己的數據也享有更強的權利。

• 個人的權利包括：獲知其數據的使用方式、訪問其數據、糾正不正確的信息、刪除其數據、限制其數據的使用方式、將其數據從一個組織轉移到另一個組織，並反對他們的數據被使用

新要求

GDPR 類似於1998 年的數據保護法 (DPA) （學校已經遵守），但加強了 DPA 的許多原則。主要變化有：

• 學校必須任命一名數據保護官，他將就遵守 GDPR 和其他相關數據保護法提供建議

• 隱私聲明必須採用清晰明了的語言，並包含一些額外信息——學校處理數據的“法律依據”、個人對其自身數據的權利

• 學校只有一個月的時間來滿足學科訪問請求，並且在大多數情況下無法收費

• 如果學校需要個人同意來處理數據，則該同意必須是自由的、具體的、知情的和明確的

• 有針對兒童數據的新的特殊保護

• 必須在數據洩露後 72 小時內通知信息專員辦公室

• 組織必須證明他們如何遵守新法律

• 學校在考慮以新方式使用數據或實施新技術監控學生時，需要進行數據保護影響評估

我們如何實現這一目標

在韋伯船長小學，我們認真對待數據保護，並確保我們完全遵守數據保護法和新的 GDPR 立法。為此，我們採取了以下措施：

• 我們在信息專員辦公室註冊為數據控制者 - 我們的註冊號是 Z6446791

• 我們通過與地方當局的合同僱用了一名數據保護官。

• 我們已經更新了我們的數據保護政策，並確保每年對其進行審查以確保遵守法律（見下文）。該政策包括有關提出數據請求的新指南以及父母/照顧者需要遵循的流程。

• 我們更新了我們的信息自由政策，並確保每年對其進行審查以確保遵守法律（見下文）。

• 我們已經完成了對學校收到、持有或共享的所有信息的數據審計。這包括指定對每個數據流負責的個人，分析數據的接收、存儲方式，其相關性，我們是否有合法目的來保存數據以及在適當的時間刪除/銷毀數據。

• 我們已確認與我們共享數據的組織也遵守 GDPR 和數據保護法規。

• 我們更新了我們的隱私聲明（見下文）

• 我們為所有數據處理人員（即有權訪問/使用我們持有的信息）組織了關於數據保護和新 GDPR 的年度培訓。

• 我們已經審查了我們持有和使用數據的合法目的。雖然我們使用的大部分數據是根據法律義務（即根據1996 年教育法或確保兒童在教育中安全（DfE，2016）並允許我們執行我們的公共任務）完成的，但我們使用的一些數據不是。在這些情況下我們將始終尋求家長同意。我們更新了家長同意書（見下文），以確保家長可以清楚地看到所要求的內容，並且可以積極選擇加入。

     家長可以隨時使用下面的同意書或聯繫學校辦公室撤回同意

雖然您孩子的教育不取決於您是否同意，但我們也會徵求您對某些活動的同意。雖然這不屬於 GDPR 的範圍，但拒絕同意某些請求（即旅行和訪問、觀看視頻）可能會影響您的孩子參與某些教育活動。