ICO表示，教育部门未能保护数百万儿童的数据

教育部（DFE）一直批评了一系列失败，优先考虑损害其遵守英国数据保护法（DPA）2018和一般数据保护法规（GDPR）的能力，并在漫长的调查中妥协专员办公室（ICO）进入国家瞳孔数据库（NPD）。

NPD包含数百万记录，与两年和21岁之间的年轻人有关，旨在通过教育系统迁移时签约。除了瞳孔教育程度的各个教育程度的细节外，它还拥有识别学校和个人数据的数据，如出生日期，种族和国籍，残疾，以及旧的大学生，有关性取向和宗教的数据。

识别来自它的数据可以用于第三方以寻求各种目的。ICO于2019年开始审计，在收到非政府组织的投诉之后，没有达到2012年至2017年2012年至2017年的一些数据发布的法律依据。

“审计发现数据保护未被优先排序，这严重影响了DFE遵守英国数据保护法的能力。发现，共有139例改进建议，分为60％以上的“紧急”或“高度优先”，“ICO表示。

“国际法院的主要责任是确保遵守法律，其政策是与致力于提高数据保护实践的必要变化的组织一起工作。”

ICO在2月24日和3月4日在DPA第146条下的权力进行了审计。探讨涵盖了治理和问责制，唯一的权利，培训和意识，信息风险，数据共享，记录管理和信息安全。

它发现DFE没有正式主动监督信息治理的任何功能，缺乏正式文件，这意味着它无法证明GDPR的合规性。遵守责任的责任被发现是分散的，并有限的报告线，监测和报告活动意味着数据处理中没有核心监督，因此没有控制提供数据处理在法律上进行数据处理的保证。

ICO表示，它在DFE中发现了文化障碍和态度，突出了关键领域的有限员工培训，在某些情况下，没有保证工作人员已收到任何数据保护培训。它表示，DFE倾向于依靠员工在没有后续或确认的情况下自我意识到政策和程序。此外，该部门的组织结构留下了数据保护官（DPO）无法遵守GDPR的第37,38和39条。

该报告继续突出缺乏政策框架或文件控制，这意味着该部门在没有信息治理框架或数据保护政策等关键政策的情况下运营。目前没有明确的图像实际持有的数据，结果没有加工活动（ROPA）的记录，直接违反GDPR。

此外，DFE违反了GDPR的第12,13和14条与向数据主体提供了隐私信息的第12,13和14条。在该部门及其执行机构内，ICO也有混乱，关于它是否是其持有的数据的控制，联合员或加工商，以及访问数据的第三方是什么，因此没有对应该提供的信息的清晰度。它表示，DFE依赖于第三方，以代表他们的隐私信息，这通常导致提供不足的信息，并且在某些情况下，无论是违反GDPR的违反第5（1）（a）条。

该报告摘要可以从ICO网站完整下载，继续记录许多其他失败。其中一个是，该部门的知识和信息管理团队在NPD中没有积极参与NPD，这意味着在没有必要的是，专家参与制定建立，储存和保留数据的程序。

信息风险未按通知或一致的方式管理，信息资产通常不够评估，并且不会以足够的细节记录产生的风险以实现有意义的控制和监控，而不是实际记录所有信息风险。它也不是及时或适当的方式进行数据保护影响评估（DPIAS），或者将控件放在适当的地方以保护在部门代表部门处理的数据。

尽管如此，ICO指出了DFE与该过程的积极参与。“在整个审计过程中，DFE ...显示愿意从中学习和解决所确定的问题。该部门接受了所有审计建议，并正在进行必要的变化，“它说。

一位DFE发言人说：“我们对个人数据进行处理 - 特别是与学校和其他教育环境有关的数据 - 非常认真，我们感谢ICO的报告，这将有助于我们进一步改进该领域。

“由于ICO完成了审计，我们已经采取了一些措施来解决调查结果和建议，包括对所有使用个人数据的所有流程进行审查，并大大增加致力于其有效管理的工作人员数量。

“ico在发言人说：”ICO已经认识到我们到位的严格流程，以确保儿童和年轻人的个人数据是安全的，“发言人说。

计算机每周了解DFE在过去的12个月内创建了许多新的数据管理角色，并在夏季为其员工提供了数据保护培训。

它还披露了对其数据库的所有第三方访问，可以从其网站下载。在过去的NPD中举行的数据的组织包括政府部门，例如工作部门和养老金和惠普收入和海关，NHS组织，审查机构，包括财政研究所，多所大学等资金，甚至在一次踢足球协会的一次，正在编制数据，以帮助更好地支持学生参加英超联赛青年发展计划。