EU:s allmänna dataskyddsförordning - GDPR
Hantering av personuppgifter
Personuppgifter är information som kan knytas till en identifierad eller identifierbar person som exempelvis namn, adress, personnummer, e-postadress, bilder och registreringsnummer på fordon.
Personuppgifter får behandlas när:
- Man har fått ett tydligt samtycke
- För att uppfylla ett avtal
- För att uppfylla en rättslig förpliktelse
- För att skydda vitala (livsavgörande) intressen
- För att utföra en uppgift av allmänt intresse (myndighetsutövning)
- Man har ett berättigat intresse som väger tyngre än individens behov av skydd
Göteborgsregionens Internationella Skola AB, hädanefter benämnt ISGR, behandlar personuppgifter i enlighet med dataskyddsförordningen GDPR (EU) nr 2016/679). Den registrerades personliga integritet är mycket viktig för oss och vi har ett stort fokus på att samtliga personuppgifter hanteras i enlighet med principerna om sekretess, integritet, tillgänglighet och hållbarhet. Vi är medvetna om att det inte är lämpligt att skicka känsliga personuppgifter eller personnummer via e-post utan att innehållet krypteras. Vi vidtar också övergripande behörighetsskapande åtgärder i organisationen för att säkerställa en trygg och kontrollerad behandling av personuppgifter. Endast behöriga personer ska ha rätten och möjligheten att behandla personuppgifterna för det specifika syftet.
Om en säkerhetsöverträdelse inträffar som kan utgöra en allvarlig risk för våra elevers, vårdnadshavares eller för vår personals rättigheter, rapporterar vi detta till den drabbade och till Datainspektionen i enlighet med GDPR.
Varför och hur behandlar vi personuppgifter?
Syftet med vår behandling av personuppgifter är att identifiera elever, vårdnadshavare eller personal. Vår behandling av personuppgifter hanteras av kompetenta medarbetare. Vi använder professionella program och system med hög säkerhet för att lagra, behandla och skydda de registrerades personuppgifter.
Det är endast ett fåtal personer med rätt behörighet som hanterar och har tillgång till eventuellt känsliga uppgifter i våra system. Fysiska dokument med känsliga personuppgifter förvaras inlåsta på säker plats när de inte behandlas av en behörig medarbetare.
Anställda på ISGR omfattas av tystnadsplikt. Arbetstagaren är pålagd en tystnadsplikt både mot externa personer och mot verksamheter, men även internt mellan kollegor. Tystnadsplikten upphör inte när anställningen avslutas.
Vilka personuppgifter behandlar ISGR?
Uppgifter som behandlas kan kategoriseras enligt följande:
- Administrativa uppgifter om elever, vårdnadshavare och personal såsom namn, adress, telefonnummer, e-postadress och personnummer. Dessa innefattar bl. a uppgifter som är nödvändiga för att bedriva skolverksamhet samt uppgifter som är en del av myndighetsutövningen (allmänt intresse). Här ingår också uppgifter som behandlas i funktioner såsom ekonomi-, löne- och personaladministration etc.
- Hälsoinformation om elever
Vilka behandlingsgrunder använder sig ISGR av?
Vissa personuppgifter är nödvändiga att behandla för att utföra myndighetsutövningen. Detta gäller bland annat namn, personnummer, kontaktuppgifter, betygsunderlag och betyg. Det gäller även personuppgifter i avtal och personuppgifter som krävs för att uppfylla rättsliga förpliktelser.
Om ett avtal mellan en registrerad och oss kräver att vi behandlar hälsoinformation eller andra känsliga personuppgifter om den registrerade, kommer vi före behandlingen att inhämta ett samtycke. Den registrerade kan när som helst dra tillbaka sitt samtycke, och behandlingen av personuppgifterna upphör. Behandling av personuppgifter som ägde rum när samtycket var aktivt kommer inte att påverkas av återkallandet. Vi kommer emellertid att radera de aktuella personuppgifterna om vi inte har några andra lagliga grunder eller rättsliga förpliktelser för att fortsätta lagringen.
Vem levererar vi personuppgifter till?
Personuppgifter kan lämnas till offentliga myndigheter, om detta följer av lagstadgad rapporterings- upplysnings- eller utlämningsplikt.
Vi kan lämna ut personuppgifter till tredje part om personuppgiftsregelverket tillåter detta. I vissa fall är det nödvändigt för oss att lämna ut personuppgifter om en registrerad som en del av myndighetsutövningen eller för att uppfylla rättsliga förpliktelser. När vi lämnar ut personuppgifter till tredje part i enlighet med regelverket, informeras den registrerade om utlämningen.
Om det är nödvändigt för oss att anlita och använda ett personuppgiftsbiträde, behandlar personuppgiftsbiträdet endast personuppgifter enligt detaljerade instruktioner från ISGR. Detta för att säkerställa den registrerades rättigheter och skydda dennes integritet. Eventuella tredje parter som mottar personuppgifter från oss omfattas av tystnadsplikt enligt avtal.
Hur länge lagrar vi personuppgifter om en registrerad?
Vi lagrar inte personuppgifter längre än vad som är nödvändigt för att uppfylla syftet med behandlingen eller längre än vad myndighetsutövningen kräver. Personuppgifter raderas så snart myndighetsutövningens regelverk tillåter, rättsliga förpliktelser är uppfyllda och syftet med behandlingen av uppgiften har uppfyllts.
Rätt till insyn, rättning, radering och dataöverföring
Rätt att kräva insyn:
En registrerad har rätt att få insyn över de uppgifter vi behandlar om denne. Det innebär att den identifierade har rätt att få veta vilket syfte och behandlingsgrund vi använder oss av, vilka specifika uppgifter som vi behandlar, vilka mottagare eller kategorier av mottagare till vilka personuppgifterna vidareförmedlats till, vilken tid personuppgifterna lagras samt var uppgifterna inhämtats ifrån.
Rätt att kräva rättning och radering:
Om en registrerad tror att ISGR har registrerat uppgifter om denne som är oriktiga eller ofullständiga, har personen rätt att begära rättelse av de aktuella personuppgifterna.
Den registrerade kan kräva att vi tar bort personuppgifter om denne om uppgifterna inte längre är nödvändiga för att uppfylla syftet med behandlingen; om den registrerade drar tillbaka sitt samtycke om samtycke har använts som grund för behandling; om den registrerade motsätter sig behandlingen och det inte finns några andra lagliga grunder för att fortsätta behandlingen; eller om uppgifterna har behandlats olagligt. Den registrerade har också rätt att invända mot behandlingen av dennes personuppgifter om personen ifråga anser att det är något vi inte gör rätt i förhållande till personuppgifterna.
Rätt till dataöverföring:
En registrerad har rätt att motta de personuppgifter vi har lagrat om denne på ett strukturerat sätt och i ett maskinläsbart format. Den registrerade har också rätt att kräva att vi överför uppgifter som vi har mottagit från denne till en annan personuppgiftsansvarig om det är tekniskt möjligt och behandlingen av personuppgifterna är baserad på samtycke, avtal eller allmänt intresse.
Kontaktinformation
Data Protection Officer (DPO) / Dataskyddsombud:
Eventuella frågor om hur vi behandlar personuppgifter eller vilka rättigheter en registrerad person har enligt denna policy besvaras av vårt dataskyddsombud via e-post eller telefon:
DPO@isgr.se
031-708 92 23
DPO är pålagd tystnadsplikt och har som uppgift att aktivt arbeta för att hindra andra från att få tillgång till eller kunskap om personlig information såvida inte samtycke har erhållits. Sekretess gäller också efter avslutat arbete.
Personuppgiftsansvarig
Den personuppgiftsansvarige, ISGR, bestämmer syftet med behandlingen av personuppgifter utöver behandlingar som inte regleras i lag som en del av myndighetsutövningen. ISGR, i rollen som personuppgiftsansvarig, för översikt och register över de processer och system som behandlar personuppgifter, samt genomför interna kontroller och riskbedömningar för att säkerställa att dataskyddsförordningen GDPR efterlevs.
ISGR säkerställer att samtliga eventuella personuppgiftsbiträden och leverantörer följer GDPR och vidtar alla nödvändiga åtgärder för att hantera personuppgifter på ett tryggt och säkert sätt.
Personuppgiftsansvarig kan kontaktas per post:
Göteborgsregionens Internationella Skola AB
Att: Firmatecknare
Molinsgatan 6
411 33 Göteborg
Ansvarig tillsynsmyndighet?
Datainspektionens uppgift är att kontrollera att dataskyddsförordningen GDPR följs. Vid misstanke om brott mot regelverket skickas en skriftlig förfrågan till Datainspektionen. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.