Anvendelsesområde

Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende) og gælder for alle ansatte på Rosborg Gymnasium & HF, der behandler personoplysninger, samt for samarbejdspartnere (databehandlere), der udfører opgaver på vegne af Rosborg Gymnasium & HF.

 

Formål

Formålet med denne retningslinje er at sikre, at Rosborg Gymnasium & HF håndterer eventuelle brud på persondatasikkerheden korrekt og i overensstemmelse med forordningens krav. Dette indebærer bl.a., at der sker anmeldelse til Datatilsynet, og at den registrerede underrettes i de tilfælde, hvor det er påkrævet.

 

Definitioner

Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

 

Den registrerede er den fysiske person, som personoplysningerne vedrører, eksempelvis medarbejdere, elever, leverandører, samarbejdspartnere og andre.

 

Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan eksempelvis være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.

 

Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

 

Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.

 

Brud på persondatasikkerheden dækker over alle tilfælde, der fører til hændelig eller ulovlig tilintetgørelse, tab, eller ændring af personoplysninger såvel som uautoriseret videregivelse af eller adgang til personoplysninger.

 

Databeskyttelsesrådgiveren (DPO) er en uafhængig person med ekspertise i databeskyttelsesret og –praksis, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler hos Rosborg Gymnasium & HF. Databeskyttelsesrådgiverens funktion er at understøtte, at Rosborg Gymnasium & HF overholder reglerne i forordningen. 

 

Tekniske og organisatoriske sikkerhedsforanstaltninger skal vurderes ved en risikovurdering af behandlingen af personoplysninger. 

Tekniske sikkerhedsforanstaltninger er blandt andet antivirusprogrammer og firewalls, som sikrer, at uvedkommende ikke kan få adgang til it-systemer med personoplysninger.

Organisatoriske sikkerhedsforanstaltninger består blandt andet i, at vores medarbejdere er instrueret i og uddannet til at håndtere behandlingen af personoplysningerne korrekt og sikkert.

 

Hvordan håndterer Rosborg Gymnasium & HF et brud på persondatasikkerheden?

Det kan have omfattende konsekvenser for den registrerede, hvis et brud på persondatasikkerheden ikke håndteres på en passende og rettidig måde. Konsekvenserne kan eksempelvis være tab af kontrol over den registreredes personoplysninger, forskelsbehandling, identitetstyveri, finansielle tab, tab af omdømme eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person.

Det skal derfor sikres, at Rosborg Gymnasium & HF har en klar procedure for håndtering af brud på persondatasikkerheden, når Rosborg Gymnasium & HF er henholdsvis dataansvarlig og databehandler.

 

Når Rosborg Gymnasium & HF er dataansvarlig

Hvis der sker et brud på persondatasikkerheden, skal Rosborg Gymnasium & HF, som hovedregel, og senest inden for 72 timer fra Rosborg Gymnasium & HF er blevet bekendt med bruddet, anmelde det til Datatilsynet.

Såfremt Rosborg Gymnasium & HF kan dokumentere, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ikke ske anmeldelse til Datatilsynet.

Rosborg Gymnasium & HF skal således foretage en risikovurdering af, hvad bruddet har haft af betydning for den registrerede.

I vurderingen af risikoen skal der tages udgangspunkt i de konsekvenser sikkerhedsbruddet kan have for den registrerede, samt hvad sandsynligheden for disse konsekvenser er.

Afhængigt af hvilken grad af risici vores risikovurdering kommer frem til, skal følgende procedurer følges:

 

RisiciProcedure
Bruddet indebærer ingen risiko for den registreredeEj anmeldelsespligt til Datatilsynet
Bruddet indebærer en risiko for den registreredeAnmeldelsespligt til Datatilsynet
Bruddet indebærer en høj risiko for den registreredeAnmeldelsespligt til Datatilsynet samt underretningspligt over for den registrerede.

 

Bruddet indebærer ingen risiko for den registrerede:

I de tilfælde hvor den udførte risikovurdering viser, at det er usandsynligt, at bruddet på persondatasikkerheden har indebåret en risiko for den registreredes rettigheder, er bruddet ikke anmeldelsespligtigt til Datatilsynet.

 

Bruddet indebærer en risiko for den registrerede

Hvis risikovurderingen viser, at sikkerhedsbruddet indebærer en risiko for den registrerede, er Rosborg Gymnasium & HF forpligtet til at anmelde bruddet til Datatilsynet. Anmeldelsen skal ske hurtigst muligt, og senest 72 timer fra Rosborg Gymnasium & HF er blevet bekendt med bruddet.

Anmeldelsen til Datatilsynet skal som minimum indeholde:

  1. Beskrivelse af karakteren af bruddet, samt hvor det er muligt;
  2. Kategorier af registrerede
  3. Antal af berørte registrerede
  4. Kategorier af personoplysninger
  5. Antal af berørte registreringer af personoplysninger
  6. Navn og kontaktoplysninger på Rosborg Gymnasium & HFs databeskyttelsesrådgiver (DPO)
  7. Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
  8. Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Rosborg Gymnasium & HF har truffet eller foreslår truffet for at mindske skaden.

 

Bruddet indebærer en høj risiko for den registrerede

I de tilfælde hvor den udførte risikovurdering viser, at bruddet på persondatasikkerheden har indebåret en høj risiko for den registreredes rettigheder, skal bruddet anmeldes til Datatilsynet og de registrerede skal desuden, som hovedregel, underrettes – se dog undtagelser for underretning nedenfor.

Hvis det skulle ske, at Rosborg Gymnasium & HF i vores risikovurdering er nået frem til, at bruddet ikke indebærer en høj risiko for den registrerede, kan Rosborg Gymnasium & HF i visse tilfælde alligevel blive pålagt at underrette den registrerede, såfremt Datatilsynet i deres undersøgelse af bruddet vurderer, at der har været tale om en høj risiko.

Anmeldelsen til Datatilsynet skal som minimum indeholde:

  1. Beskrivelse af karakteren af bruddet, samt hvor det er muligt;
  2. Kategorier af registrerede
  3. Antal af berørte registrerede
  4. Kategorier af personoplysninger
  5. Antal af berørte registreringer af personoplysninger
  6. Navn og kontaktoplysninger på Rosborg Gymnasium & HFs databeskyttelsesrådgiver (DPO)
  7. Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
  8. Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Rosborg Gymnasium & HF har truffet eller foreslår truffet for at mindske skaden.

Anmeldelsen kan sendes til dt@slet-dette.datatilsynet.dk eller via Datatilsynets hjemmeside.

 

Underretningen til den registrerede skal som minimum indeholde:

  1. Beskrivelse af karakteren af bruddet
  2. Navn og kontaktoplysninger på Rosborg Gymnasium & HFs databeskyttelsesrådgiver (DPO)
  3. Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
  4. Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Rosborg Gymnasium & HF har truffet eller foreslår truffet for at mindske skaden.

 

Situationer hvor Rosborg Gymnasium & HF, på trods af høj risiko, ikke er forpligtet til at underrette den registrerede.

Én af følgende betingelser skal være opfyldt:

  1. Rosborg Gymnasium & HF har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
  2. Rosborg Gymnasium & HF har efter bruddet truffet foranstaltninger, der sikrer, at den høje risiko for den registreredes rettigheder sandsynligvis ikke længere er reel.
  3. Det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved den registrerede underrettes på en tilsvarende effektiv måde.

 

Databeskyttelsesrådgiveren

Rosborg Gymnasium & HFs databeskyttelsesrådgiver (DPO) inddrages altid, når der sker et brud på persondatasikkerheden.

I de tilfælde, hvor Rosborg Gymnasium & HF er databehandler for en anden dataansvarlig, underretter vi, uden unødig forsinkelse, den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

Det er vigtigt, at Rosborg Gymnasium & HF ligeledes instruerer vores databehandlere i, at underrette Rosborg Gymnasium & HF, såfremt der skulle ske et brud på persondatasikkerheden.

  

Fortegnelse over sikkerhedsbrud

Rosborg Gymnasium & HF er forpligtet til at dokumentere alle brud på persondatasikkerheden. Efter anmodning fra Datatilsynet, skal vi udlevere denne dokumentation.

Dokumentationen skal som minimum indeholde følgende:

  1. Beskrivelse af karakteren af bruddet, samt hvor det er muligt;
  2. Kategorier af registrerede
  3. Antal af berørte registrerede
  4. Kategorier af personoplysninger
  5. Antal af berørte registreringer af personoplysninger
  6. Navn og kontaktoplysninger på Rosborg Gymnasium & HFs databeskyttelsesrådgiver (DPO)
  7. Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
  8. Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Rosborg Gymnasium & HF har truffet eller foreslår truffet for at mindske skaden.
  9. Dokumentation for anmeldelse til Datatilsynet og evt. underretning til den registrerede.

 

Kontrol og dokumentation

Rosborg Gymnasium & HF skal sikre, at vi løbende foretager en dokumenteret kontrol af, at denne retningslinje overholdes. Kontrollen skal godkendes af Rosborg Gymnasium & HFs bestyrelse.

Rosborg Gymnasium & HF skal kunne dokumentere (påvise), at:

  • Det er  foretaget den nødvendige risikovurdering i forhold til den registreredes rettigheder
  • Anmelde af brud på persondatasikkerheden sker i de tilfælde, hvor det er påkrævet
  • Anmeldelsen indeholder de minimumskrav, som forordningen stiller
  • Den registrerede bliver underrettet om brud persondatasikkerheden i de tilfælde, hvor bruddet har indebåret en høj risiko for den registrerede
  • Rosborg Gymnasium & HFs databehandlere er instrueret i at underrette os, hvis der sker et brud
  • Den løbende kontrol overholdes

 

Dato: 1. maj 2018

Navn: Hanne Hautop, rektor

1. Rosborg Gymnasium & HF er den dataansvarlige – hvordan kontakter du os?

Rosborg Gymnasium & HF er dataansvarlig for behandlingen af de personoplysninger, som vi har modtaget om dig.

Du finder vores kontaktoplysninger nedenfor.

Rosborg Gymnasium & HF
Vestre Engvej 61
7100 Vejle
Tlf. 75832322
Mail: rosborg@slet-dette.rosborg-gym.dk 

 

2. Kontaktoplysning til databeskyttelsesrådgiver

Hvis du har spørgsmål til vores behandling af dine oplysninger, er du altid velkommen til at kontakte vores databeskyttelsesrådgiver.

Du kan kontakte vores databeskyttelsesrådgiver, Anders Normann-Nielsen
 på følgende måder:

Telefon: +45 65434991
Mobil: +45 20216554
Email: anon@esis.dk 
Web: www.esis.dk 

 

3. Formålene med og retsgrundlaget for behandlingen af dine personoplysninger

Rosborg Gymnasium & HF behandler dine oplysninger for at kunne opfylde vores forpligtigelser som skole, der følger af lov om de gymnasiale uddannelser. Eksempelvis personoplysningerne om dig med det formål at dokumentere, at du opfylder betingelserne for at blive indstillet til eksamen samt at du opfylder betingelserne for at blive student. Nogle af disse oplysninger er vi forpligtede til at videresende til Undervisningsministeriet, SU-styrelsen, Kommune, region og dine forældre (hvis du er under 18 år).

Rosborg Gymnasium & HF kan også få brug for oplysninger som er følsomme personoplysninger om dig. Dette sker kun, hvis oplysningerne har relevans for din skolegang. Det kan være tilfældet, hvis oplysningerne handler om din trivsel eller dit helbred, fx lægelige oplysninger som led i fravær.

Retsgrundlaget for vores behandling af dine personoplysninger følger af:

  • Lov om de gymnasiale uddannelser
  • Bekendtgørelsen om optagelse på ungdomsuddannelser
  • Lov om taxametertilskud
  • Bekendtgørelse om særlige tilskud til specialpædagogisk bistand ved ungdomsuddannelser m.v.
  • Bekendtgørelse af lov om statens uddannelsesstøtte (SU-loven)

 

Legitime interesser, der forfølges med behandlingen

Som nævnt ovenfor sker vores behandling af dine personoplysninger på baggrund af interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, st. 1, litra f. De legitime interesser, der begrunder behandlingen, er at eleverne gennemfører en ungdomsuddannelse.

 

4. Kategorier af personoplysninger

Rosborg Gymnasium & HF behandler følgende kategorier af personoplysninger om dig:

Som elev på Rosborg Gymnasium & HF registrerer og behandler vi data om dig. Det er oplysninger, som du har oplyst i dit ansøgningsskema samt oplysninger fra tidligere skolegang. Vi registrerer oplysninger om dit fravær, dit studieforløb og dine karakterer.

 

5. Modtagere eller kategorier af modtagere

Rosborg Gymnasium & HF videregiver eller overlader dine personoplysninger til følgende modtagere:

  • Offentlige myndigheder (Undervisningsministeriet, SU-styrelsen, Kommunen, Regionen).
  • Lectio
  • It-Support
  • IMS
  • Undervisningsportaler
  • Facebook
  • Microsoft
  • Dine forældre, hvis du er under 18 år

 

6. Hvor dine personoplysninger stammer fra

Oplysninger om dig stammer fra:

  • Din ansøgning som vi modtager fra optagelse.dk.
  • Ved overflytning fra anden skole, modtager vi oplysninger om dig fra  afsenderskolen.

 

7. Opbevaring af dine personoplysninger

  • Oplysninger til brug for kopi af eksamensbevis gemmes i 30 år.
  • Oplysninger til brug for merit gemmes i 10 år.
  • Oplysninger til brug for rigsrevisionen gemmes i 5 år.
  • Efter endt uddannelse slettes øvrige oplysninger senest efter 12 måneder.
  • For udmeldte elever uden afsluttet eksamen slettes øvrige oplysninger senest efter 12 måneder.

 

8. Retten til at trække samtykke tilbage

Du har til enhver tid ret til at trække dit samtykke tilbage.

Dette kan du gøre ved at kontakte os på de kontaktoplysninger, der fremgår ovenfor i punkt 1.

Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af vores behandling af dine personoplysninger på baggrund af dit tidligere meddelte samtykke og op til tidspunktet for tilbagetrækningen. Hvis du tilbagetrækker dit samtykke, har det derfor først virkning fra dette tidspunkt.

 

9. Dine rettigheder

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til Rosborg Gymnasium & HFs behandling af oplysninger om dig.

Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.

Ret til at se oplysninger (indsigtsret)
Du har ret til at få indsigt i de oplysninger, som vi behandler om dig, samt en række yderligere oplysninger.

Ret til berigtigelse (rettelse)
Du har ret til at få urigtige oplysninger om dig selv rettet.

Ret til sletning
I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.

Ret til begrænsning af behandling
Du har visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle oplysningerne – bortset fra opbevaring – med dit samtykke, eller med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser.

Ret til indsigelse
Du har i visse tilfælde ret til at gøre indsigelse mod vores ellers lovlige behandling af dine personoplysninger.

Du kan også gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring.

Ret til dataportabilitet
Du har i visse tilfælde ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format samt at få overført disse personoplysninger fra én dataansvarlig til en anden uden hindring.

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.

 

10. Klage til Datatilsynet 

Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, Rosborg Gymnasium & HF behandler dine personoplysninger på.

Du finder Datatilsynets kontaktoplysninger på www.datatilsynet.dk.