英国教育部对学习记录服务数据库(LRS)负有全面责任。LRS数据库有多达2800万14岁以上儿童和青少年的个人信息。该数据库记录了全名、出生数据和性别,并有电子邮件地址和国籍的可选字段。它还记录了一个人的学习和培训成就。这些数据被保存了66年。
在漏洞发生时,有12600个组织可以访问LRS数据库,包括学校、学院、高等教育机构和其他教育机构。这是为了让组织能够验证一些功能,包括潜在学生的学术资格或检查他们是否有资格获得资助。
ICO经调查发现,当Trustopia告知教育部它是Edududes Ltd的新交易名称时,教育部继续允许Trustopia访问该数据库(Edududes Ltd曾是一家培训机构)。然而,Trustopia实际上是一家筛选公司,并将数据库用于年龄验证,他们向包括GB集团在内的公司提供这项服务,帮助赌博公司确认客户是否超过18岁。这种数据共享意味着这些信息没有被用于其最初的目的。这违反了数据保护法。
ICO同时对Trustopia进行了调查,在此期间,该公司确认它不再能够访问数据库,并且临时文件中的数据缓存已被删除。在ICO调查结束之前,Trustopia已经解散,因此无法采取监管行动。
英国信息专员John Edwards表示:“一个学生的学习记录数据库被用来帮助赌博公司是不可接受的,这是毫无争议的。我们的调查发现,教育部制定的程序是非常糟糕的。数据被滥用,而教育部甚至不知道有这个问题,直到一家全国性报纸通知他们。我们有绝对的权利期望我们的中央政府部门以最大的尊重和安全来对待他们持有的我们的数据,当涉及到2800万儿童的信息时更是如此。这是一个严重的违法行为,在这个具体案例中,本应被处以1000万英镑的罚款。我们已经决定不开罚单,因为任何支付的罚款都会返还给政府,所以影响会很小。但是,这不应该减弱我们所强调的错误的严重性,也不应该减弱教育部需要解决这些问题的迫切性。”
ICO在谴责中表示:
-
英国GDPR第5 (1)(a)条要求“就数据主体而言,以合法、公平和透明的方式处理个人数据”。“基于这次调查的结果,ICO认为教育部未能公平、合法和透明地处理个人数据。存储在LRS数据库中的个人数据被分享给第三方,并在没有适当的合法基础和数据主体不知情的情况下进一步处理。
-
英国GDPR第5(1)(f)条要求“处理个人数据的方式应确保个人数据的适当安全,包括防止未经授权或非法处理,以及防止意外丢失、破坏或损坏,使用适当的技术或组织措施‘完整性和保密性’。”根据这次调查的结果,ICO认为,教育部没有采取足够的措施来防止未经授权或非法访问LRS数据库。
同时ICO承认,自事件发生以来,教育部已经进行了一些内部审查。例如,取消了2600个组织对LRS数据库的访问,并加强了其注册程序。教育部还定期检查对数据库的过度搜索,并主动取消不再使用该数据库的组织的注册。
ICO进一步列出了教育部需要采取的明确措施,以改善他们的数据保护做法,使儿童的数据得到妥善的管理,具体措施包括:
1) 教育部必须采取措施,提高LRS数据库处理的透明度,以便数据主体了解并能够行使他们的数据主体权利,以满足英国GDPR第5 (1)(a)条的要求;
2) 教育部应继续定期审查所有内部安全程序,以确定任何可以实施的额外预防措施,这将减少此类事件再次发生的风险,并有助于遵守英国GDPR第5(1)(f)条的规定;
3) 此外,教育部应通过有效的沟通和提供明确的指导,确保所有相关工作人员了解因这一事件而产生的任何流程变化;
4) 为了更好地遵守英国GDPR第36条(事先咨询)和英国GDPR第35条(数据保护影响评估(DPIA)),在处理可能导致个人高风险的个人数据时,教育部应该完成一个彻底和详细的数据保护影响评估(DPIA),充分评估该处理所带来的风险。这将使DfE能够识别和减轻该处理对个人的数据保护风险;
5) 此外,教育部应继续确保向所有工作人员提供足够的数据保护培训。
发表评论
您还未登录,请先登录。
登录