Persondatapolitik
Baggrunden for persondatapolitikken
Persondatapolitikken er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende).
Persondatapolitikken gælder for alle ansatte hos Københavns Skole & Idrætsakademi, der behandler personoplysninger, samt for samarbejdspartnere (databehandlere), der udfører arbejde på vegne af Københavns Skole & Idrætsakademi.
Formålet
Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Københavns Skole & Idrætsakademi.
Definitioner
Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
Den registrerede er den fysiske person, som personoplysningerne vedrører, fx elever, medarbejdere, samarbejdspartnere og andre.
Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.
Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.
Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.
Risiko for den registrerede er risikoen for, at den registrerede bliver udsat for en fysisk, materiel eller immateriel skade, herunder tab af kontrol over sine personoplysninger, begrænsning af sine rettigheder, forskelsbehandling, identitetstyveri, finansielle tab og sociale konsekvenser, så som skade på omdømme.
Brud på persondatasikkerheden dækker over alle tilfælde, der fører til hændelig eller ulovlig tilintetgørelse, tab, eller ændring af personoplysninger såvel som uautoriseret videregivelse af eller adgang til personoplysninger.
Tekniske og organisatoriske sikkerhedsforanstaltninger skal vurderes ved en risikovurdering af behandlingen af personoplysninger. Tekniske sikkerhedsforanstaltninger er blandt andet antivirusprogrammer og firewalls, som sikrer, at uvedkommende ikke kan få adgang til it-systemer med personoplysninger. Organisatoriske sikkerhedsforanstaltninger består blandt andet i, at skolens medarbejdere er instrueret i og uddannet til at håndtere behandlingen af personoplysningerne korrekt og sikkert.
Ansvarsfordeling
Ledelse og medarbejdere på Københavns Skole & Idrætsakademier forpligtede til at overholde forordningens krav og regler.
Bestyrelsen
Skolebestyrelsen har det endelige ansvar for, at Københavns Skole & Idrætsakademi behandler personoplysninger i overensstemmelse med gældende lovgivning. Bestyrelsens rolle er at foretage dokumenterede ledelsesmæssige beslutninger i relation til beskyttelsen af personoplysninger på Københavns Skole & Idrætsakademi.
Den ledelsesmæssige forankring er reguleret i databeskyttelsesforordningens artikel 5, stk. 2.
Skolelederen
Skolelederen er ansvarlig for, at formålene med behandling af personoplysninger er i overensstemmelse med gældende lovgivning, samt at retningslinjerne til understøttelse af politikken, er kommunikeret klart og tydeligt til medarbejderne. Skolelederen rolle er at overvåge, at Københavns Skole & Idrætsakademi overholder gældende regler for beskyttelse af personoplysninger, herunder at stå til rådighed for hele skolen i forhold til rådgivning på området. Skolelederen er kontaktperson udadtil – både i forhold til de registrerede og i forhold til Datatilsynet eller andre parter.
Medarbejderne
Medarbejdere, der behandler personoplysninger, er ansvarlige for at gøre sig bekendt med formålene med behandlingen og de retningslinjer, der er relevante for udførelsen af deres arbejde.
Ansvarlighed
Når Københavns Skole & Idrætsakademi behandler personoplysninger, udvises der altid ansvarlighed. Det gøres bl.a. ved at dokumentere de beslutninger, der træffes, de organisatoriske og tekniske foranstaltninger der udføres, samt de retningslinjer og kontroller der implementeres i forbindelse med behandlingen af personoplysninger.
Lovlighed, rimelighed og gennemsigtighed
Formålet er at sætte rammerne, således at Københavns Skole & Idrætsakademi behandler personoplysninger forsvarligt og i overensstemmelse med gældende lovgivning, jf. databeskyttelsesforordningens artikel 5.
Københavns Skole & Idrætsakademi behandler personoplysninger i overensstemmelse med god databehandlingsskik. Det indebærer bl.a. at Københavns Skole & Idrætsakademi kun behandler personoplysninger til lovlige, rimelige og legitime formål, som kan dokumenteres.
Københavns Skole & Idrætsakademi indsamler, opbevarer og behandler kun personoplysninger, der er nødvendige i relation til det angivne formål. Det betyder, at vi aktivt begrænser indsamlingen og behandlingen til det nødvendige.
Københavns Skole & Idrætsakademi begrænser behandlingen af personoplysninger, så behandlingen ikke er uforenelig med det oprindelig formål. Endvidere sikres det, at personoplysningerne ikke opbevares i et længere tidsrum end det, der er nødvendigt for at opfylde formålet med behandlingen. Når personoplysningerne ikke længere er nødvendige for det angivne formål, sikres det, at de enten slettes, eller at der træffes andre tekniske og organisatoriske foranstaltninger, eksempelvis anonymisering, således at den registrerede ikke længere kan identificeres ud fra oplysningerne.
Såfremt Københavns Skole & Idrætsakademi bliver gjort opmærksomme på at de omfattede personoplysninger er urigtige eller mangelfulde i forhold til det angivne formål, ajourføres oplysningerne.
Kravene for god databehandlingsskik er uddybet i ”Retningslinje om god databehandlingsskik”.
Hjemmelsgrundlag
Formålet er at sikre, at Københavns Skole & Idrætsakademi behandler personoplysninger på baggrund af et fyldigt hjemmelsgrundlag, jf. databeskyttelsesforordningens kapitel 2 samt databeskyttelseslovens kapitel 3.
Københavns Skole & Idrætsakademi behandler kun personoplysninger, når der er et lovligt grundlag.
Behandling af almindelige personoplysninger sker i overensstemmelse med databeskyttelsesforordningens artikel 6.
Behandling af følsomme personoplysninger sker i overensstemmelse med reglerne i databeskyttelses-forordningens artikel 9.
Kravene til behandlingsgrundlag er uddybet i ”Retningslinje om behandlingsgrundlag”.
Overførsel til 3. lande
Formålet er at sikre, at Københavns Skole & Idrætsakademi ikke overfører personoplysninger til lande uden for EU/EØS, uden der foreligger et lovligt overførselsgrundlag, jf. databeskyttelsesforordningens kapitel 5.
Københavns Skole & Idrætsakademi overfører kun personoplysninger til lande uden for EU/EØS i de tilfælde, hvor vi har et lovligt overførselsgrundlag.
Ansatte på Københavns Skole & Idrætsakademi, kan til enhver tid søge rådgivning om overførselsgrundlag hos skolens databeskyttelsesvejleder.
Kravene til overførsel af personoplysninger til tredjelande er uddybet i ”Retningslinje om overførsel til 3. lande”.
Fortegnelser over behandlingsaktiviteter
Formålet er at sikre, at Københavns Skole & Idrætsakademi fører de lovpligtige fortegnelser over behandlingsaktiviteter, som efter anmodning skal stilles til rådighed for Datatilsynet, jf. databeskyttelsesforordningens artikel 30.
Fortegnelserne kan ligeledes anvendes som hjælp til at sikre, at der foreligger et grundlag for vurdering af risici for behandling af personoplysninger.
Københavns Skole & Idrætsakademi fører en fortegnelse over de behandlinger af personoplysninger, der foretages, og sørger aktivt for at holde fortegnelsen opdateret.
Københavns Skole & Idrætsakademis medarbejdere er forpligtede til at underrette den procesansvarlige om ændringer og lignende i forhold til den måde, hvorpå personoplysninger behandles.
Kravene til fortegnelsen er uddybet i ”Retningslinje om fortegnelse over behandlingsaktiviteter”.
Den registreredes rettigheder
Formålet er at sikre, at behandlingen af personoplysninger tage hensyn til den registreredes ret til at kontrollere omfanget af behandling af dennes personoplysninger, jf. databeskyttelsesforordningens kapitel 3.
Når Københavns Skole & Idrætsakademi behandler personoplysninger, overholdes oplysningspligten, således at behandlingen sker på en åben og oplyst måde, samt at den registrerede kender sine rettigheder.
Københavns Skole & Idrætsakademi bistår den registrerede med at udøve sine rettigheder, herunder:
- Indsigt i de behandlinger af personoplysninger, Københavns Skole & Idrætsakademi foretager om personen
- Berigtigelse, såfremt personoplysningerne er forkerte eller mangelfulde
- Sletning af de personoplysninger, der behandles
- Begrænsning af behandlingen af personoplysninger
- Dataportabilitet
- Behandling af indsigelse mod behandling af personoplysninger
Kravene til opfyldelse af den registreredes rettigheder er uddybet i ”Retningslinje om den registreredes rettigheder”.
Dataansvarlig og databehandler
Formålet er at sikre, at det er afklaret, hvorvidt Københavns Skole & Idrætsakademi agerer som dataansvarlig eller som databehandler, jf. databeskyttelsesforordningens kapitel 4. Endvidere er formålet at anskueliggøre hvilke databehandlere Københavns Skole & Idrætsakademibenytter, samt at sikre at der er indgået databehandler-aftale med disse.
Når Københavns Skole & Idrætsakademi er dataansvarlig, sikres det, at eventuelle databehandlere kan leve op til forordningens krav og stille de fornødne garantier for behandling af personoplysninger på vegne af Københavns Skole & Idrætsakademi. Det sikres, at databehandleren er instrueret i, hvordan denne skal behandle de personoplysninger, som Københavns Skole & Idrætsakademi er dataansvarlige for. Endvidere sikres det, at der er indgået databehandleraftaler med alle databehandlere.
Når Københavns Skole & Idrætsakademi er databehandlere på vegne af en anden dataansvarlig, sikres det, at der udelukkende behandles personoplysninger på baggrund af den dataansvarliges instruks. Det sørges endvidere for, at Københavns Skole & Idrætsakademi ikke benytter sig af underdatabehandlere, der ikke er godkendt af den dataansvarlige.
Risikovurdering
Formålet er at sikre, at eventuelle risici for den registrerede identificeres forud for behandlingen af dennes personoplysninger.
Københavns Skole & Idrætsakademi foretager altid en risikovurdering i forbindelse med behandling af personoplysninger. Risikovurderingen tager udgangspunkt i behandlingens karakter, omfang, sammenhæng og formål, samt de anvendte systemer.
Risikovurdering er baseret på en konsekvensvurdering for den registrerede samt en sandsynlighedsvurdering for at konsekvensen indtræffer.
Risikovurderingerne dokumenteres og godkendes af den daglige ledelse.
Kravene til risikovurderingerne er uddybet i ”Retningslinje om risikovurderinger”.
Konsekvensanalyser
Formålet er at sikre, at Københavns Skole & Idrætsakademi udarbejder en konsekvensanalyse forud for behandling af personoplysninger, der sandsynligvis indebærer en høj risiko for den registrerede, jf. databeskyttelsesforordningens kapitel 4 afdeling 2.
Hvis det vurderes i den almindelige risikovurdering, at en behandling af personoplysninger sandsynligvis vil indebære høj risiko for den registreredes rettigheder, udfører Københavns Skole & Idrætsakademi en konsekvensanalyse. Konsekvensanalysen skal hjælpe med at fastlægge de foranstaltninger, der påtænkes, at imødegå disse risici.
Behandlingssikkerhed
Formålet er at sikre, at Københavns Skole & Idrætsakademi, med udgangspunkt i en risikovurdering, yder tilstrækkelig sikkerhed ved behandling af personoplysninger, jf. databeskyttelsesforordningens kapitel 4 afdeling 2.
På baggrund af den udarbejdede risikovurdering og eventuelle konsekvensanalyse fastlægges, hvilke sikkerhedsforanstaltninger, der skal implementeres, således det sikres, at der er et tilstrækkeligt sikkerhedsniveau, når Københavns Skole & Idrætsakademi behandler personoplysninger.
De fastlagte sikkerhedsforanstaltninger revurderes løbende.
Københavns Skole & Idrætsakademi sikrer ligeledes at it-løsninger, der anvendes til behandling af personoplysninger, er designet hertil.
Kravene til behandlingssikkerhed er uddybet i ”Retningslinje om behandlingssikkerhed”.
Brud på persondatasikkerheden
Formålet er at sikre, at brud på persondatasikkerheden håndteres korrekt, jf. databeskyttelsesforordningens artikel 33 og 34.
I det tilfælde, at der sker brud på persondatasikkerheden, anmelder Københavns Skole & Idrætsakademi bruddet til Datatilsynet uden unødig forsinkelse, og senest 72 timer efter at bruddet er blevet opdaget, medmindre det er usandsynligt, at bruddet indebærer en risiko for den registrerede.
Hvis bruddet sandsynligvis indebærer en høj risiko for den registrerede, underretter Københavns Skole & Idrætsakademi den registrerede om bruddet.
Kravene til håndtering af brud på persondatasikkerheden er uddybet i ”Retningslinje om brud på persondatasikkerheden”.
Ansatte på Københavns Skole & Idrætsakademi, der er i tvivl om indholdet i denne persondatapolitik eller de tilhørende retningslinjerne, kan til enhver tid kontakte skolelederen.
Datatilsynet
Formålet er at sikre, at henvendelser fra Datatilsynet omkring tilsyn og andre forespørgsler håndteres korrekt, herunder at Datatilsynet modtager den relevante dokumentation, jf. databeskyttelsesforordningens kapitel 6.
Københavns Skole & Idrætsakademis skoleleder bistår Datatilsynet i forbindelse med tilsynssager og andre forespørgsler.
Kontrol og dokumentation
Skolebestyrelsen sikrer, at overholdelsen af denne persondatapolitik er dokumenteret, og at dokumentationen løbende opdateres.
Den registreredes rettigheder
1. Formålene med behandlingen af dine personoplysninger
Københavns Skole & Idrætsakademi behandler personoplysninger i overensstemmelse med persondataforordningen til følgende formål:
Eleven
Københavns Skole & Idrætsakademi opbevarer oplysninger om eleven i forbindelse med optagelse, registrering af optagelse og gennemførelse af skolegangen.
Forældre/myndighedsindehavere
Der opbevares personoplysninger på forældre/myndighedsindehavere i forhold til skolehjemsamarbejdet.
Medarbejdere
Københavns Skole & Idrætsakademi opbevarer og behandler medarbejdernes personoplysninger i forbindelse med ansøgning og ansættelse, lønkørsel samt eventuelt sygdom.
2. Kategorier af personoplysninger
Københavns Skole & Idrætsakademi behandler følgende kategorier af personoplysninger:
Eleverne
Almindelige personoplysninger: Navn, CPR-nr., kontaktoplysninger, forældrenes/myndighedsindehaverens kontaktoplysninger, oplysninger vedrørende undervisningsportalerne Clioonline.dk, Gyldendal.dk, Grammatip.com, ordbogen.com, projektportalen trello.com, uddannelsesportalen optagelse.dk, UNIlog.dk, skoleintra.dk, Microsoft, skolehistorik, eksamensprotokol, kommunikation med skolen i e-mail og fysisk form, projektportalen trello.com, rejsebureau/flyselskab/hotel ved lejrskoler.
Medarbejderne
Almindelige personoplysninger: Navn, CPR-nr., kontaktoplysninger, ansøgning/CV, dokumentation for uddannelse, skriftlig kommunikation med ledelsen. Følsomme personoplysninger: I tilfælde af barsel/længerevarende sygdom kan det være nødvendigt at opbevarer helbredsoplysninger i en kortere periode. Ved overenskomstmæssig konflikt/lockout kan det være nødvendigt at opbevare fagforeningsoplysninger.
3. Modtagere eller kategorier af modtagere
Københavns Skole & Idrætsakademi videregiver eller overlader personoplysninger om medarbejderne til følgende modtagere: UVM vedrørende gennemførelse af eksamen, SKAT/Dansk Skoledata vedrørende udbetaling af løn, undervisningsportalerne Clioonline.dk, Gyldendal.dk, Grammatip.com, ordbogen.com, UNIlog.dk, skoleintra.dk, Microsoft, projektportalen trello.com, rejsebureau/flyselskab/hotel ved lejrskoler.
4. Opbevaring af dine personoplysninger
Københavns Skole & Idrætsakademi opbevarer medarbejdernes personoplysninger i den periode, hvor man er ansat på skolen.
Eleverne/forældrene (myndighedsindehaverne)
Oplysninger om elever/forældre (myndighedsindehavere) vil blive slettet 3 måneder efter endt skolegang eller skoleåret ud. Hvis der er verserende elevsag, vil alt information blive gemt til sagen er afsluttet. Eksamener opnået på Københavns Skole & Idrætsakademi vil blive opbevaret fem år efter eksamensafslutningen.
Medarbejderne
Oplysninger om medarbejdere slettes et år efter endt ansættelse. Ved verserende personalesag opbevares oplysningerne op til et år efter sagen er afsluttet.
Orientering om behandling af personoplysninger i forbindelse med ansøgning om optagelse
I forbindelse med ansøgning om optagelse på Københavns Skole & Idrætsakademi indsamles der oplysninger om ansøgeren og ansøgerens forældre (myndighedsindehaverne), jf. artikel 6, stk. 1, og artikel 9, stk. 1, i databeskyttelsesforordningen.
Københavns Skole & Idrætsakademi tilstræber at behandle så få personoplysninger om ansøgeren og ansøgerens forældre (myndighedsindehaverne) som muligt, ligesom der kun foretages en behandling af de personoplysninger, skolen har, hvis behandlingen er nødvendig, sagligt begrundet og proportionel.
Københavns Skole & Idrætsakademi indsamler og behandler derfor som et altovervejende udgangspunkt de personoplysninger, der er nødvendige for, at skolen kan overholde sine pligter i henhold til gældende lovgivning.
Oplysninger er:
- Stamoplysninger på ansøgeren, dvs. ansøgerens og ansøgerens forældres navn, bopælsadresse, CPR-numre, telefonnummer, mailadresse
- Oplysninger ansøgeren og dennes forældre har givet om sig selv i sin ansøgning, herunder eventuelle oplysninger om børnehave- eller tidligere skoleaktiviteter, begrundelser i friteksten i ansøgningen for at søge om optagelse Københavns Skole & Idrætsakademi, eventuelle nationaltest og/eller karakterer fra anden skole, eventuelle bilag med udtalelser, diverse erklæringer, udredningspapirer og oplysninger om særlige forhold
- Vurdering af prøvetræningen
- Eventuelle vurderinger fra Ungdommens Uddannelsesvejledning om uddannelsesparathed
- Eventuelle resultater fra en optagelsesprøve foretaget af Københavns Skole & Idrætsakademi
- Vurderingen af optagelsessamtalen
Indsamling og behandling af personoplysninger om ansøgeren og ansøgerens forældre (myndighedsindehaverne) foregår fortroligt. Hvis man ikke bliver optaget på Københavns Skole & Idrætsakademi, slettes ens personoplysninger i august året efter, at skolen har modtaget din ansøgning. Dette undtages dog, såfremt man står på skolens venteliste med henblik på optagelse.
Ansøgerens og dennes forældres rettigheder
Som ansøger har man ret til at få indsigt i, hvilke personoplysninger der behandles om ansøgeren og ansøgerens forældre. Formålet med behandlingen er at få oplyst, hvor længe skolen opbevarer personoplysningerne, hvor skolen har oplysningerne fra (såfremt de ikke er modtaget fra ansøgeren), samt hvem skolen eventuelt videregiver personoplysningerne til.
Retten til indsigt kan dog være begrænset, hvis hensynet til private interesser, fortrolighed om andres oplysninger eller tavshedspligt i den offentlige forvaltning kræver det, jf. databeskyttelseslovens § 22.
Retten til berigtigelse
Man kan få rettet eller suppleret personoplysninger, som er forkerte eller ufuldstændige, jf. artikel 16 i databeskyttelsesforordningen.
Retten til begrænsning af behandlingen
Man har ret til at få begrænset skolens behandling af skolens personoplysninger, hvis der er særlige grunde til det, jf. artikel 18 i databeskyttelsesforordningen.
Retten til sletning
Københavns Skole & Idrætsakademi opbevarer personoplysninger så længe, det er nødvendigt af hensyn til skolens dokumentation for optagelsesproceduren.
Hvis man ikke optages, sletter udgangspunkt alle oplysninger med udgangen af august året efter, såfremt man ikke står på venteliste.
Hvis man bliver optaget, gemmes oplysningerne fra optagelsesproceduren i indtil 3 år efter, at man er gået ud af Københavns Skole & Idrætsakademi.
Sådan gør du brug af dine rettigheder
Ansøgeren og ansøgerens forældre skal kontakte skolen, jf. nedenstående afsnit om ”Formalia” og oplyse, hvilken ret, man ønsker at gøre brug af og hvorfor. Københavns Skole & Idrætsakademi vil herefter undersøge, om man er enige i, at retten kan udøves. Hvis skolen ikke umiddelbart er enig, gives der en begrundelse for det, og man vil så få lejlighed til at udtale sig, før skolen træffer endelig afgørelse om, hvorvidt retten kan udøves.
Formalia
Københavns Skole & Idrætsakademi er dataansvarlig for de behandlinger af personoplysninger, skolen har beskrevet ovenfor.
Hvis man har spørgsmål eller ønsker at gøre brug af de rettigheder, der er beskrevet ovenfor, kan skolen kontaktes på følgende mailadresse kbh.akademiet@gmail.com eller telefonnummer 50 50 87 93.
Klageadgang Københavns Skole & Idrætsakademis behandling af personoplysninger kan påklages til Datatilsynet, Borgergade 28, 5, 1300 København K.
Retningslinjer om brud på persondatasikkerheden
Anvendelsesområde
Retningslinjer om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende) og gælder for alle ansatte på Københavns Skole & Idrætsakademi, der behandler personoplysninger, samt for samarbejdspartnere (databehandlere), der udfører opgaver på vegne af Københavns Skole & Idrætsakademi.
Formål
Formålet med retningslinjerne er at sikre, at Københavns Skole & Idrætsakademi håndterer eventuelle brud på persondatasikkerheden korrekt og i overensstemmelse med forordningens krav. Dette indebærer bl.a., at der sker anmeldelse til Datatilsynet, og at den registrerede underrettes i de tilfælde, hvor det er påkrævet.
Definitioner
Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
Den registrerede er den fysiske person, som personoplysningerne vedrører, eksempelvis medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan eksempelvis være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.
Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.
Brud på persondatasikkerheden: dækker over alle tilfælde, der fører til hændelig eller ulovlig tilintetgørelse, tab, eller ændring af personoplysninger såvel som uautoriseret videregivelse af eller adgang til personoplysninger.
Tekniske og organisatoriske sikkerhedsforanstaltninger skal vurderes ved en risikovurdering af behandlingen af personoplysninger. Tekniske sikkerhedsforanstaltninger er blandt andet antivirusprogrammer og firewalls, som sikrer, at uvedkommende ikke kan få adgang til it-systemer med personoplysninger. Organisatoriske sikkerhedsforanstaltninger består blandt andet i, at skolens medarbejdere er instrueret i og uddannet til at håndtere behandlingen af personoplysningerne korrekt og sikkert.
Hvordan håndterer vi et brud på persondatasikkerheden?
Det kan have omfattende konsekvenser for den registrerede, hvis et brud på persondatasikkerheden ikke håndteres på en passende og rettidig måde. Konsekvenserne kan eksempelvis være tab af kontrol over den registreredes personoplysninger, forskelsbehandling, identitetstyveri, finansielle tab, tab af omdømme eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person.
Det skal derfor sikres, at Københavns Skole & Idrætsakademi har en klar procedure for håndtering af brud på persondatasikkerheden, når vi er henholdsvis dataansvarlig og databehandler.
Når Københavns Skole & Idrætsakademi er dataansvarlig
Hvis der sker et brud på persondatasikkerheden, skal Københavns Skole & Idrætsakademi, som hovedregel, og senest inden for 72 timer fra at skolen er blevet bekendt med bruddet, anmelde det til Datatilsynet.
Såfremt Københavns Skole & Idrætsakademi kan dokumentere, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ikke ske anmeldelse til Datatilsynet.
Vi skal således foretage en risikovurdering af hvad bruddet har haft af betydning for den registrerede.
I vurderingen af risikoen skal der tages udgangspunkt i de konsekvenser sikkerhedsbruddet kan have for den registrerede, samt hvad sandsynligheden for disse konsekvenser er.
Afhængigt af hvilken grad af risici risikovurderingen kommer frem til, skal følgende procedurer følges:
| Risici | Procedure |
| Bruddet indebærer ingen risiko for den registrerede | Bruddet indebærer ingen risiko for den registrerede |
| Ej anmeldelsespligt til Datatilsynet | Ej anmeldelsespligt til Datatilsynet |
| Bruddet indebærer en risiko for den registrerede Anmeldelsespligt til Datatilsynet | Bruddet indebærer en risiko for den registrerede Anmeldelsespligt til Datatilsynet |
Bruddet indebærer ingen risiko for den registrerede:
I de tilfælde hvor den udførte risikovurdering viser, at det er usandsynligt, at bruddet på persondatasikkerheden har indebåret en risiko for den registreredes rettigheder, er bruddet ikke anmeldelsespligtigt til Datatilsynet.
Bruddet indebærer en risiko for den registrerede
Hvis risikovurderingen viser, at sikkerhedsbruddet indebærer en risiko for den registrerede, er Københavns Skole & Idrætsakademi forpligtet til at anmelde bruddet til Datatilsynet. Anmeldelsen skal ske hurtigst muligt, og senest 72 timer fra Københavns Skole & Idrætsakademi er blevet bekendt med bruddet.
Anmeldelsen til Datatilsynet skal som minimum indeholde:
- Beskrivelse af karakteren af bruddet, samt hvor det er muligt:
a. Kategorier af registrerede
b. Antal af berørte registrerede
c. Kategorier af personoplysninger
d. Antal af berørte registreringer af personoplysninger - Navn og kontaktoplysninger på Københavns Skole & Idrætsakademis dataansvarlige, dvs. skolelederen
- Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
- Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Københavns Skole & Idrætsakademi har truffet eller foreslår truffet for at mindske skaden. (Se endvidere bilag 1, som indeholder en skabelon til brug for anmeldelse).
Retten til indsigelse
Man kan gøre indsigelse mod skolens behandling af personoplysninger, hvis ansøgerens og ansøgerens forældre interesser, ikke kan få behandlet personoplysninger i tilfredsstillende grad, idet oplysningerne går forud for Københavns Skole & Idrætsakademis legitime interesser i at kunne foretage en behandling, jf. artikel 21 i databeskyttelsesforordningen.
Bruddet indebærer en høj risiko for den registrerede
I de tilfælde hvor den udførte risikovurdering viser, at bruddet på persondatasikkerheden har indebåret en høj risiko for den registreredes rettigheder, skal bruddet anmeldes til Datatilsynet, og de registrerede skal desuden, som hovedregel, underrettes – se dog undtagelser for underretning nedenfor.
Hvis det skulle ske, at skolens risikovurdering er nået frem til, at bruddet ikke indebærer en høj risiko for den registrerede, kan skolen i visse tilfælde alligevel blive pålagt at underrette den registrerede, såfremt Datatilsynet i deres undersøgelse af bruddet vurderer, at der har været tale om en høj risiko.
Anmeldelsen til Datatilsynet skal som minimum indeholde:
- Beskrivelse af karakteren af bruddet, samt hvor det er muligt:
a. Kategorier af registrerede
b. Antal af berørte registrerede
c. Kategorier af personoplysninger
d. Antal af berørte registreringer af personoplysninger - Navn og kontaktoplysninger på Københavns Skole & Idrætsakademis dataansvarlige, dvs. skoleledere
- Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
- Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Københavns Skole & Idrætsakademi har truffet eller foreslår truffet for at mindske skaden.
Anmeldelsen kan sendes til dt@datatilsynet.dk eller via Datatilsynets hjemmeside.
Se endvidere bilag 1, som indeholder en skabelon til brug for anmeldelse.
Underretningen til den registrerede skal som minimum indeholde:
- Beskrivelse af karakteren af bruddet
- Navn og kontaktoplysninger på Københavns Skole & Idrætsakademis dataansvarlige, dvs. skolelederen
- Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
- Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Københavns Skole & Idrætsakademi har truffet eller foreslår truffet for at mindske skaden.
Se endvidere bilag 2, som indeholder en skabelon til brug for underretning af den registrerede.
Situationer hvor Københavns Skole & Idrætsakademi, på trods af høj risiko, ikke er forpligtet til at underrette den registrerede.
Én af følgende betingelser skal være opfyldt:
- Københavns Skole & Idrætsakademi har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
- Københavns Skole & Idrætsakademi har efter bruddet truffet foranstaltninger, der sikrer, at den høje risiko for den registreredes rettigheder sandsynligvis ikke længere er reel
- Det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved den registrerede underrettes på en tilsvarende effektiv måde.
Den dataansvarlige på Københavns Skole & Idrætsakademi, dvs. skolelederen, inddrages altid, såfremt der sker et brud på persondatasikkerheden.
Når Københavns Skole & Idrætsakademi er databehandler
I de tilfælde, hvor Københavns Skole & Idrætsakademi er databehandler for en anden dataansvarlig, underretter skolen, uden unødig forsinkelse, den dataansvarlige databehandler efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Det er ligeledes vigtigt for Københavns Skole & Idrætsakademi, at instruere skolens databehandlere i, at underrette Københavns Skole & Idrætsakademi, såfremt der skulle ske et brud på deres persondatasikkerhed.
Fortegnelse over sikkerhedsbrud
Københavns Skole & Idrætsakademi er forpligtet til at dokumentere alle brud på persondatasikkerheden. Efter anmodning fra Datatilsynet, udleveres dokumentationen.
Dokumentationen skal som minimum indeholde følgende:
- Beskrivelse af karakteren af bruddet, samt hvor det er muligt:
a. Kategorier af registrerede
b. Antal af berørte registrerede
c. Kategorier af personoplysninger
d. Antal af berørte registreringer af personoplysninger
- Navn og kontaktoplysninger på Københavns Skole & Idrætsakademis dataansvarlige, dvs. skolelederen.
- Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
- Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Københavns Skole & Idrætsakademi har truffet eller foreslår truffet for at mindske skaden.
- Dokumentation for anmeldelse til Datatilsynet og evt. underretning til den registrerede
- Kontrol og dokumentation
Københavns Skole & Idrætsakademi skal sikre, at skolen løbende foretager en dokumenteret kontrol af, at denne retningslinje overholdes. Kontrollen skal godkendes af Københavns Skole & Idrætsakademis bestyrelse.
Københavns Skole & Idrætsakademi skal kunne dokumentere (påvise), at:
- Vi foretager den nødvendige risikovurdering i forhold til den registreredes rettigheder
- Vi anmelder brud på persondatasikkerheden i de tilfælde, hvor det er påkrævet
- Anmeldelsen indeholder de minimumskrav, som forordningen stiller
- Vi underretter den registrerede om brud persondatasikkerheden i de tilfælde, hvor bruddet har indebåret en høj risiko for den registrerede
- Vi har instrueret vores databehandlere i at underrette os, hvis der sker et brud
- Vi overholder den løbende kontrol
