シナリオ
次の質問に答えるには、以下を使用してください。
アンナとフランクは、2人ともグランチェスター大学で働いています。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師です。大学では、さまざまな種類の記録を保管しています。
学生の記録には、名前、学生番号、自宅住所、大学入学前の情報、大学の出席および成績記録、特別な教育ニーズの詳細、財務情報が含まれます。
自伝的資料（カリキュラム、専門家の連絡先ファイル、学生の評価、その他の関連する教育ファイルなど）を含むスタッフの記録。
卒業生の記録には、出生地、生年月日、入学日、学位授与日などが含まれます。これらの記録は、グランチェスターの卒業生ポータルに登録した元学生が利用できます。教育省の記録には、特定の人口統計グループ (第一世代の学生など) が平均的にどの程度の進歩を遂げると予想されるかが示されています。これらの記録には、名前や識別番号は含まれていません。
大学はセキュリティ ポリシーに従い、転送中および保存中のすべての個人データ記録を暗号化します。
フランクは、教育の質を向上させるために、工学部の学生の成績が教育省の期待値とどの程度一致しているかを調査したいと考えています。フランクはアンナのデータ保護トレーニング コースの 1 つに参加したことがあり、目標を達成するために必要な範囲を超えて個人データを使用するべきではないことを知っています。フランクは、一部の学生データ (以前に通った学校、最初に取得した成績、現在取得している成績、初めて通った大学) のみをエクスポートするプログラムを作成します。フランクは、個々の学生レベルで記録を保持したいと考えています。フランクは、アンナのトレーニングを念頭に置き、学生番号をアルゴリズムに通して異なる参照番号に変換します。フランクは、時間の経過とともに各レコードを更新できるように、毎回同じアルゴリズムを使用します。
アンナの仕事の 1 つは、GDPR の要件に従って処理活動の記録を完了することです。
GDPR の規定に従って、メールによるリマインダーを受け取った後。メールによるリマインダーを受け取った後、フランクはアンナにパフォーマンス データベースについて知らせます。
アンはフランクに、個人情報を最小限に抑えるだけでなく、大学は既存のデータのこの新しい使用が許可されているかどうかを確認する必要があると説明します。また、GDPR では、データ処理を実行する前にリスク分析を実行する必要があるのではないかとも考えています。アンナは、追加の調査を行った後、フランクとこの件についてさらに話し合う予定です。
フランクは空き時間に分析に取り組めるようにしたいので、自宅のラップトップ (暗号化されていない) にデータを転送します。残念ながら、フランクはラップトップを大学に持ち込んだときに電車の中で紛失してしまいます。フランクはその日、互換性のある処理について話し合うためにアンナに会わなければなりません。セキュリティ インシデントを報告する必要があることはわかっているので、同時にアンナにラップトップを紛失したことを伝えることにしました。
アンナは、この状況ではリスク分析は必要ないと考えるでしょうか?