Integritetspolicy

Övergripande målsättning

ISGR värnar om din personliga integritet och är fast beslutna om att personuppgifter behandlas på ett korrekt och säkert sätt. All behandling av personuppgifter inom ISGR sker i enlighet med tillämplig dataskyddslagstiftning, i synnerhet EU:s dataskyddsförordning (GDPR), och med respekt för den registrerades grundläggande rättigheter.

Syfte

Denna integritetspolicy förklarar hur ISGR samlar in, använder, lagrar, lämnar ut och skyddar personuppgifter. Policyn gäller för hela verksamheten och riktar sig till elever, vårdnadshavare, personal och övriga som ISGR behandlar uppgifter om.

Personuppgiftsansvarig

Göteborgsregionens Internationella Skola AB (ISGR), organisationsnummer 556527–5657, är personuppgiftsansvarig och ansvarar för att dina personuppgifter behandlas korrekt och lagligt.

Vad är personuppgifter?

Personuppgifter är all information som kan kopplas till en levande individ, direkt eller indirekt. Exempel inkluderar namn, adress och personnummer. Även hälsouppgifter, politiska åsikter, bilder, videor och ljudinspelningar räknas som personuppgifter.

Hur får vi dina personuppgifter?

I de flesta fall lämnar du själv dina personuppgifter i samband med ansökan om plats, inskrivning eller under din tid på skolan. Ibland får vi dina uppgifter från andra parter, såsom myndigheter eller kommuner. För elever under 18 år inhämtas uppgifter även från vårdnadshavare.

Viss data genereras internt på skolan i samband elevers studier, exempelvis närvaroregistrering, pedagogiska bedömningar, åtgärdsprogram och studieplaner. Uppgifter kan även samlas in via skolans plattformar, ansökningssystem och webbplats, exempelvis namn, e-post samt bilder på elever med samtycke.

Vilka uppgifter behandlar vi?

Exempel på personuppgifter som ISGR behandlar:

  • Namn och kontaktuppgifter, inklusive telefonnummer och e-postadress
  • Fotografier från verksamheten och evenemang
  • Hälsouppgifter, exempelvis allergier, medicinska tillstånd och ordinerade läkemedel
  • Närvaro, betyg, pedagogiska bedömningar, åtgärdsprogram och studieplaner
  • Bankkontonummer när lön eller annan ersättning utbetalas till personal

Allmänna handlingar och offentlighetsprincipen

ISGR omfattas av offentlighetsprincipen. Det innebär att personuppgifter som lämnas till oss normalt räknas som allmän handling och kan begäras ut av allmänheten, såvida de inte är sekretessbelagda. Sekretessbelagda uppgifter kan exempelvis röra personliga eller ekonomiska förhållanden, eller hälsouppgifter.

Varför behandlar vi dina personuppgifter?

ISGR behöver dina uppgifter för att kunna bedriva sin skolverksamhet, exempelvis för skolantagning, inskrivning, undervisning, betygsättning och administration. I vissa fall behöver vi dina uppgifter för att fullgöra avtal. Viss data används för statistik, men anonymiseras då.

All behandling sker med ett berättigat ändamål. Vi delar inte dina uppgifter för kommersiella syften. Om vi behöver behandla uppgifter för ett nytt ändamål informerar vi dig innan behandlingen påbörjas.

Rättsliga grunder för behandling

Vid all personuppgiftsbehandling finns en rättslig grund. Vi behandlar inte mer data än nödvändigt. ISGR använder följande rättsliga grunder:

Myndighetsutövning: Behandling krävs för att utföra offentliga uppgifter, t.ex. skolantagning, betygsättning och åtgärdsprogram.

Rättslig förpliktelse: Lagar eller föreskrifter kräver att vi behandlar uppgifterna, t.ex. skollagen, bokföringslagen eller arkivlagen.

Allmänt intresse: Uppgifter som behövs för att ISGR ska kunna bedriva sin skolverksamhet och fullgöra sitt pedagogiska uppdrag.

Avtal: Uppgifter som krävs för att fullgöra avtal eller överenskommelser, t.ex. anställningsavtal.

Vitalt intresse: Behandling nödvändig för att skydda grundläggande intressen för eleven eller annan person.

Samtycke: Om ingen annan rättslig grund är tillämplig krävs ditt aktiva samtycke, t.ex. vid publicering av foton på webbplatsen.

Hur hanterar vi dina uppgifter?

Vi följer GDPR:s grundläggande principer. Det innebär att du har rätt att veta vilka uppgifter vi behandlar om dig, att dina uppgifter är säkra hos oss och att de inte används för andra ändamål än de angivna. Vi behandlar inte fler uppgifter än nödvändigt och lagrar dem inte längre än vad som krävs.

Vem har tillgång till dina uppgifter?

Endast anställda på ISGR som behöver uppgifterna för att utföra sina arbetsuppgifter har tillgång. I vissa fall delas uppgifter med externa aktörer, exempelvis Skatteverket, Skolverket eller Göteborgs stad. Vid utlämnande som allmän handling görs alltid en sekretessprövning enligt offentlighets- och sekretesslagen.

Dina rättigheter som registrerad

När vi behandlar dina personuppgifter har du vissa rättigheter. Vilka rättigheter som gäller beror på den rättsliga grunden. I vissa fall kan vi därför inte uppfylla din begäran.

Rätt till tillgång

Du har rätt att få information om vilka uppgifter vi behandlar om dig och kan begära ett registerutdrag via isgr@isgr.se.

Rätt till rättelse

Du kan begära rättelse av felaktiga uppgifter eller komplettering av ofullständiga uppgifter.

Rätt till radering

Under vissa förutsättningar, exempelvis om du återkallat ett samtycke eller om det inte finns rättslig grund för fortsätt behandling, har du rätt att begära radering. När vi enligt lag är skyldiga att spara uppgifterna gäller inte rätten till radering.

Rätt till begränsning av behandling

Under vissa förutsättningar har du rätt att begära att behandlingen av dina personuppgifter begränsas till att enbart omfatta lagring, exempelvis medan en invändning eller rättelse utreds.

Återkallelse av samtycke

Om du har lämnat samtycke kan du när som helst återkalla det. Tidigare behandling påverkas dock inte av återkallelsen.

Rätt att lämna klagomål

Om du inte är nöjd med hur ISGR behandlar dina personuppgifter kan du kontakta Integritetsskyddsmyndigheten (IMY).

Begränsningar av rättigheter

På grund av regelverk kring allmänna handlingar kan vissa rättigheter vara begränsade. Viss data styrs av annan lagstiftning, exempelvis skollagen, bokföringslagen eller arkivlagen, vilket kan påverka lagringstider.

Register över behandlingar

ISGR för ett register över alla behandlingar av personuppgifter. Registret beskriver behandlingens syfte, rättslig grund, ansvar samt hur data lagras och raderas. Registret är digitalt och kan begäras ut av Integritetsskyddsmyndigheten (IMY).

Hur skyddar vi dina uppgifter?

ISGR arbetar för att uppfylla GDPR:s säkerhetskrav. Skyddsnivån varieras beroende på uppgifternas känslighet och risknivå. Tekniska skyddsåtgärder inkluderar brandväggsskydd, säkerhetskopior, kryptering och åtkomstkontroll. Organisatoriska åtgärder anpassas därefter.

Överföring till tredje land

Om personuppgifter behandlas utanför EU/EES informerar vi dig om detta. Om du kontaktar oss via sociala medier överförs informationen till en tredjepartsaktör utanför EU/EES. Plattformens egna villkor gäller därefter, och ISGR kan inte garantera hantering enligt GDPR i dessa kanaler.

Känsliga personuppgifter

E-post är inte alltid en säker kanal. Undvik att skicka känsliga uppgifter såsom personnummer, bankuppgifter eller inloggningsdetaljer via e-post. Särskilda

kategorier av personuppgifter, exempelvis hälsa, religion, etnicitet eller facklig tillhörighet, måste hanteras med extra skydd. Rättslig grund eller uttryckligt samtycke krävs. Uppgifter som samlas in för specifika tillfällen, t.ex. matpreferenser vid evenemang, raderas efter tillfället om inget annat anges.

Kontaktuppgifter

För frågor om registerutdrag, rättelse, radering eller invändning mot behandling kontaktar du oss på isgr@isgr.se eller +46 (0)31 708 92 50. Vi kommer att begära legitimation för att verifiera din identitet. Registerutdrag skickas till din folkbokföringsadress.

För frågor om hur ISGR behandlar dina personuppgifter kan du kontakta vårt dataskyddsombud på dpo@staff.isgr.se.

Privacy Policy

Overall Objective

ISGR values your personal privacy and is committed to ensuring that personal data is processed correctly and securely. All processing of personal data within ISGR is carried out in accordance with applicable data protection legislation, in particular the EU General Data Protection Regulation (GDPR), and with respect for the fundamental rights of the data subject.

Purpose

This privacy policy explains how ISGR collects, uses, stores, discloses, and protects personal data. The policy applies to the entire organisation and is directed at students, guardians, staff, and others whose data ISGR processes.

Data Controller

Gothenburg Region International School AB (ISGR), company registration number 556527–5657, is the data controller and is responsible for ensuring that your personal data is processed correctly and lawfully.

What is Personal Data?

Personal data is any information that can be linked to a living individual, directly or indirectly. Examples include name, address, and personal identity number. Health data, political opinions, photographs, videos, and audio recordings are also considered personal data.

How Do We Obtain Your Personal Data?

In most cases, you provide your personal data yourself in connection with applying for a place, enrolment, or during your time at the school. In some cases, we receive your data from other parties, such as authorities or municipalities. For students under the age of 18, information is also collected from guardians.

Some data is generated internally at the school in connection with students’ education, such as attendance records, educational assessments, action programmes, and study plans. Information may also be collected through the school’s platforms, application systems, and website, such as names, email addresses, and photographs of students where consent has been given.

What Data Do We Process?

Examples of personal data processed by ISGR include:

  • Names and contact details, including telephone numbers and email addresses
  • Photographs from school activities and events
  • Health information, such as allergies, medical conditions, and prescribed medication
  • Attendance, grades, educational assessments, action programmes, and study plans
  • Bank account details when salary or other compensation is paid to staff

Public Records and Public Access Principle

ISGR is subject to the Swedish principle of public access to official records. This means that personal data submitted to us is normally considered a public document and may be requested by the public, unless covered by confidentiality. Confidential information may, for example, concern personal or financial circumstances, or health information.

Why Do We Process Your Personal Data?

ISGR requires your data in order to carry out its educational operations, for example for admissions, enrolment, teaching, grading, and administration. In some cases, we require your data to fulfil contractual obligations. Certain data is used for statistics, in which case it is anonymised.

All processing is carried out for a legitimate purpose. We do not share your data for commercial purposes. If we need to process data for a new purpose, we will inform you before the processing begins.

Legal Basis for Processing

All processing of personal data must have a legal basis. We do not process more data than necessary. ISGR relies on the following legal bases:

Exercise of official authority: Processing required to carry out public duties, such as school admissions, grading, and action programmes.

Legal obligation: Laws or regulations require us to process the data, for example the Education Act, Accounting Act, or Archives Act.

Public interest: Data necessary for ISGR to carry out its educational activities and fulfil its pedagogical mission.

Contract: Data required to fulfil contracts or agreements, such as employment contracts.

Vital interests: Processing necessary to protect the fundamental interests of the student or another individual.

Consent: If no other legal basis applies, your active consent is required, for example for publishing photographs on the website.

How Do We Handle Your Data?

We follow the fundamental principles of GDPR. This means that you have the right to know what data we process about you, that your data is kept secure with us, and that it is not used for purposes other than those stated. We do not process more data than necessary and do not retain it longer than required.

Who Has Access to Your Data?

Only ISGR employees who need the data to perform their duties have access to it. In some cases, data is shared with external parties, such as the Swedish Tax Agency, the Swedish National Agency for Education, or the City of Gothenburg. When information is disclosed as a public document, a confidentiality assessment is always carried out in accordance with the Public Access to Information and Secrecy Act.

Your Rights as a Data Subject

When we process your personal data, you have certain rights. Which rights apply depends on the legal basis for processing. In some cases, we may therefore not be able to fulfil your request.

Right of Access

You have the right to receive information about what data we process about you and may request an extract from the register via isgr@isgr.se.

Right to Rectification

You may request correction of inaccurate data or completion of incomplete information.

Right to Erasure

Under certain conditions, for example if you withdraw consent or if there is no legal basis for continued processing, you have the right to request deletion. Where we are legally required to retain the data, the right to erasure does not apply.

Right to Restriction of Processing

Under certain conditions, you have the right to request that the processing of your personal data be restricted to storage only, for example while an objection or correction is being investigated.

Withdrawal of Consent

If you have given consent, you may withdraw it at any time. However, this does not affect processing already carried out before the withdrawal.

Right to Lodge a Complaint

If you are not satisfied with how ISGR processes your personal data, you may contact the Swedish Authority for Privacy Protection (IMY).

Limitations of Rights

Due to regulations concerning public records, some rights may be limited. Certain data is governed by other legislation, such as the Education Act, Accounting Act, or Archives Act, which may affect retention periods.

Register of Processing Activities

ISGR maintains a register of all personal data processing activities. The register describes the purpose of processing, legal basis, responsibility, and how data is stored and deleted. The register is maintained digitally and may be requested by the Swedish Authority for Privacy Protection (IMY).

How Do We Protect Your Data?

ISGR works to meet GDPR security requirements. The level of protection varies depending on the sensitivity of the data and the level of risk. Technical security measures include firewall protection, backups, encryption, and access controls. Organisational measures are adapted accordingly.

Transfer to Third Countries

If personal data is processed outside the EU/EEA, we will inform you of this. If you contact us via social media, the information may be transferred to a third-party provider outside the EU/EEA. The platform’s own terms will then apply, and ISGR cannot guarantee GDPR-compliant handling in those channels.

Sensitive Personal Data

Email is not always a secure channel. Please avoid sending sensitive information such as personal identity numbers, bank details, or login credentials by email.

Special categories of personal data, such as health, religion, ethnicity, or trade union membership, must be handled with additional protection. A legal basis or explicit consent is required.

Data collected for specific occasions, such as dietary preferences for events, will be deleted after the event unless otherwise stated.

Contact Information

For questions regarding access requests, correction, deletion, or objections to processing, please contact us at isgr@isgr.se or +46 (0)31 708 92 50.

We will request identification to verify your identity. Register extracts will be sent to your registered home address.

For questions about how ISGR processes your personal data, you may contact our Data Protection Officer at dpo@staff.isgr.se.