NWEA地图增长GDPR概述

请点击此处获取PDF版本:NWEA地图增长GDPR概述

介绍

欧盟新的通用数据保护条例(GDPR)于2018年5月25日生效。它取代了数据保护指令95/46/EC,并包含了针对欧盟数据主体的若干新保护。它还包含对NWEA等组织和我们的合作伙伴(控制器)的新要求。最近,欧盟法院(CJEU)发布了判断关于数据保护专员诉Facebook爱尔兰有限公司和Maximillian Schrems.本概述的目的是向我们的教育合作伙伴(“合作伙伴”)提供关于NWEA MAP Growth如何遵守GDPR的高层次描述,以及合作伙伴作为控制人员如何在支持NWEA遵守方面发挥作用。

作为数据处理者,NWEA理解其遵守GDPR的义务。我们的GDPR计划包括:

  • 目的、处理和明确数据主体同意的法律依据。同意仍然是根据GDPR转让个人数据的合法基础。符合本标准和本标准第6.2节的要求国际主认购协议,受GDPR约束的合作伙伴需要获得知情和明确的同意,以便根据我们与他们的协议收集、处理和转让个人数据。处理数据表单的明确同意模板示例可在以下位置找到:https://legal.nwea.org/explicit-consent-to-process-data.html. 请注意,此模板仅供参考。合作伙伴应寻求当地法律顾问的建议,以根据您的当地法律创建并获得明确的同意,该法律涵盖将个人数据传输到美国NWEA以及NWEA按照我们的协议进行处理国际主认购协议. 关于从欧盟国家的转移,请参考欧洲数据保护委员会常见问题以获取更多信息。合伙人应向其提交一份已完成的明确同意书副本legalservices@nwea.org
  • 个人和敏感数据。为了提供教育评估服务,以提供、改进和维持教育教学质量,学校将以下个人数据(包括敏感数据)传输至美国的NWEA进行处理:
    • 学生全名
    • 学生身份证号码
    • 出生日期
    • 种族或人种
    • 性别
    • 就读学校名称
    • 残疾和
    • 社会经济信息

  • 数据主体请求:作为控制人的合作伙伴主要负责验证和响应数据主体请求(例如数据可移植性、擦除、访问和更正),并在合作伙伴收到影响NWEA处理的个人数据的请求时通知NWEA。如果NWEA收到数据主体请求,其将指示作为控制人的适用合作伙伴响应和履行,并指示NWEA响应该请求将采取的行动,除非NWEA需要直接响应数据主体。

  • 数据可移植权. GDPR赋予数据主体接收与其相关的个人数据的权利。管制员必须以常用的“机器可读”格式提供数据,数据主体有权将数据直接传输给竞争对手。为了支持这一点,MAP Growth允许控制器以.CSV格式下载数据主体的MAP Growth数据,然后合作伙伴可以将其提供给数据主体。请注意,数据主体根据GDPR本节向NWEA提出的个人数据请求将直接发送给适用的合作伙伴(控制人),以便回应、履行和指导NWEA响应该请求所采取的行动,除非NWEA需要直接回应数据主体。

  • 删除权。GDPR承认擦除的权利。如果不再需要个人数据,控制器必须立即删除个人数据,并通知第三方(包括处理器)删除个人数据。数据受试者也有权撤回同意。如果合作伙伴收到数据主体的删除或撤销同意请求,或确定不再需要该数据,合作伙伴应通过电子邮件向NWEA发送书面请求legalservices@nwea.org并包括以下内容:(i)请求者的姓名、职务和联系方式;(ii)申请学校或实体的名称(如适用);(iii)删除数据主体信息的请求;(iv)数据主体的姓名;以及(iv)证明请求人已正式授权并具有执行请求的法律能力。

  • 整改权和准入权。如果数据主体要求纠正不准确的个人数据,NWEA将与相关合作伙伴的管理员合作纠正该等信息。

  • 数据安全。作为个人数据的处理者,NWEA制定并实施隐私和信息安全措施,旨在保护其合作伙伴(包括任何学生)提供的个人数据的机密性、完整性和可用性。在此过程中,个人数据的处理方式应确保个人数据的适当安全,包括使用适当的技术或组织措施,防止未经授权或非法处理以及意外损失、破坏或损坏。有关MAP Growth数据安全措施的更多信息,请参阅NWEA的MAP Growth安全白皮书,该白皮书位于:https://legal.nwea.org/map-growth-information-security-whitepaper.html. NWEA还开展信息安全和隐私员工培训,包括对有权访问受GDPR约束的个人数据的适用内部部门进行GDPR培训。

  • 违约通知. 如果违反安全规定导致意外或非法破坏、丢失、更改、未经授权披露或访问NWEA传输、存储或以其他方式处理的个人数据,NWEA将立即通知相关控制人,且在可行的情况下,在意识到已确认的事件后72小时内。控制人负责决定是否通知相关监管机构和任何受影响的个人。根据GDPR,如果:(i)违规行为不太可能对数据主体的权利和自由造成高风险,则无需通知个人;(ii)在确认事件发生时,有适当的技术和组织保护措施(例如加密数据);或(iii)通知将引发不成比例的努力(相反,应依靠公共宣传运动或类似措施,以便有效地通知受影响的个人)。

  • 子处理器。如本协议第6.3节所述国际主认购协议NWEA与各控制人之间,控制人理解并同意NWEA可利用承包商维护和支持NWEA MAP增长评估服务。根据GDPR,有权访问MAP GROWN个人数据的承包商必须:(i)签署保密协议,禁止进一步披露或处理此类个人数据;(ii)完成NWEA的供应商安全筛选流程;以及(iii)同意与NWEA签订的协议中适用的GDPR条款和条件。
  • 标准合同条款。除了获得明确同意外,NWEA还利用与合作伙伴的标准合同条款来管理个人数据向美国NWEA的转让。这个施雷姆斯二世该决定并没有使标准合同条款无效。但是,合作伙伴需要确定此类标准合同条款是否足以涵盖此类转让施雷姆斯二世以及适用数据监管机构的裁决。]请联系legalservices@nwea.org接收标准合同条款的副本,以便与NWEA一起执行。
  • 数据治理。NWEA已经实施了技术和组织措施,将数据一致性措施考虑和整合到我们的数据处理活动中。这些措施包括:
    • 保护软件开发生命周期实践,以改进开发周期每个阶段的信息安全实践;
    • 隐私影响评估,以识别和最小化不合规风险;
    • 基于风险评估的内部审计,以确定不合规问题,供管理层确定补救优先顺序;和
    • 行业标准第三方外部SOC 2第1类MAP增长和MAP技能审计,可根据要求提供(前提是控制人与NWEA签订了保密协议或当前订阅协议)。

数据保护专员诉Facebook爱尔兰有限公司和Maximillian Schrems常见问题

以下是一些关于欧洲联盟法院(“CJEU”)的常见问题判断关于数据保护专员诉Facebook爱尔兰有限公司和Maximillian Schrems

1) CJEU检查了欧盟-美国隐私屏蔽的有效性,并宣布隐私屏蔽无效,这对NWEA有何影响?

NWEA不参与欧盟-美国联盟。隐私保护。

2) 向美国传输数据时使用的是什么?

如上所述,NWEA依赖于欧盟合作伙伴控制人从数据主体处获得的明确同意。这个欧洲数据保护委员会声明基于同意转让数据仍然是可行的克减。除同意外,NWEA还使用标准合同条款。这个施雷姆斯二世该决定并没有使标准合同条款无效。但是,合作伙伴需要确定此类标准合同条款是否足以涵盖此类转让施雷姆斯二世以及适用数据监管机构的裁决。

3) 我应该如何获得同意?

合作伙伴应寻求当地法律顾问的建议,根据当地法律创建并获得明确的同意。有关欧盟国家的数据传输,请参阅欧洲数据保护委员会常见问题为进一步的信息。你可在此找到处理资料表格的明确同意范本样本:https://legal.nwea.org/explicit-consent-to-process-data.html. 但是,此模板仅供参考,不应用于GDPR明确同意合规目的。

4) NWEA在哪里存储我的数据?

数据存储在美国。

5) NWEA是否有在欧盟存储数据的计划?

目前,NWEA没有在欧盟存储数据的计划。

有关NWEA地图增长GDPR计划的其他问题,请发送至legalservices@nwea.org

NWEA法律服务团队

最后修改日期:2020年10月23日