Evt. underoverskrift
Retningslinje for god databehandlingsskik på Grenaa Gymnasium
Anvendelsesområde
Retningslinje om god databehandlingsskik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende) og gælder for alle ansatte på Grenaa Gymnasium, der behandler personoplysninger.
Formål
Formålet med denne retningslinje er at sikre, at Grenaa Gymnasium behandler personoplysninger i overensstemmelse med god databehandlingsskik.
Definitioner
Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.
Almindelige/fortrolige personoplysninger er alle oplysninger om en identificeret eller identificerbar person, der ikke er omfattet af nedenstående kategori, eksempelvis navn, adresse, CPR-nummer, e-mail, billeder, telefonnummer.
Følsomme personoplysninger er oplysninger om helbredsforhold, fagforening, racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuelle forhold og genetiske oplysninger. Der er tale om en udtømmende liste.
Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.
Databeskyttelsesrådgiveren (DPO) er en uafhængig person med ekspertise i databeskyttelsesret og –praksis, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler hos Grenaa Gymnasium. Databeskyttelsesrådgiverens funktion er at understøtte, at den Grenaa Gymnasium overholder reglerne i forordningen. Databeskyttelsesrådgiveren er en integreret del af Grenaa Gymnasium, og kan efter omstændighederne have andre arbejdsopgaver.
God databehandlingsskik
Grenaa Gymnasium skal sikre, at vi behandler personoplysninger på en lovlig, rimelig og gennemsigtig måde.
Lovlig henviser til, at Grenaa Gymnasium sikrer, at der er et lovligt hjemmelsgrundlag, se endvidere retningslinje om behandlingsgrundlag.
Rimelig henviser til, at Grenaa Gymnasium kun må behandle personoplysninger, hvis behandlingens formål med rimelighed ikke kan opfyldes på anden måde.
Gennemsigtig indebærer, at Grenaa Gymnasium skal oplyse den registrerede om den behandling, vi foretager om vedkommende. Behandlingen af personoplysninger skal således ske på en åben og oplyst måde.
Formålsbegrænsning
Når der indsamles oplysninger, skal Grenaa Gymnasium gøre sig klart, hvilke formål oplysningerne indsamles til, og det skal være saglige formål. Vi må således ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne.
Dataminimering
Når Grenaa Gymnasium behandler personoplysninger, skal vi sikre, at behandlingen begrænses til det, der er nødvendigt for at opfylde formålet.
Vi skal således vurdere, om den konkrete behandling kan opfyldes ved at behandle færre personoplysninger.
Opbevaringsbegrænsning
Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for Grenaa Gymnasium at have oplysningerne.
Integritet og fortrolighed
Grenaa Gymnasium skal beskytte oplysningerne mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget. Dette sikrer vi ved at etablere passende tekniske og organisatoriske sikkerhedsforanstaltninger
Grenaa Gymnasium må således ikke behandle personoplysninger, førend det er sikret, at der er tilstrækkelig sikkerhed til stede ved behandlingen.
Kontrol og dokumentation
Grenaa Gymnasium skal sikre, at der løbende foretages en dokumenteret kontrol af, at denne retningslinje efterleves. Kontrollen godkendes af bestyrelsen for Grenaa Gymnasium.
Grenaa Gymnasium dokumenterer:
Dokumentejer, godkender og versionering
Ejer: Vicerektor Vagn Rohde
Godkender: Helene Bendorff Kristensen
Dato Version Forfatter Ændringsbeskrivelse
15.maj 2018 1.0 Vagn Rohde
I medfør af databeskyttelsesforordningen er offentlige myndigheder forpligtet til at have en databeskyttelsesrådgiver.
Databeskyttelsesrådgiveren for Grenaa Gymnasium er Kristian Howhü Nielsen. Hans kontaktoplysninger er:
VIA University College
Att: Databeskyttelsesrådgiver
Kristian Howhü Nielsen
Hedeager 2
8200 Aarhus N
Telefon: +45 8755 1824
Mail: kh@via.dk
Anvendelsesområde
Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende) og gælder for alle ansatte på Grenaa Gymnasium, der behandler personoplysninger, samt for samarbejdspartnere (databehandlere), der udfører opgaver på vegne af Grenaa Gymnasium.
Formål
Formålet med denne retningslinje er at sikre, at Grenaa Gymnasium håndterer eventuelle brud på persondatasikkerheden korrekt og i overensstemmelse med forordningens krav. Dette indebærer bl.a., at der sker anmeldelse til Datatilsynet, og at den registrerede underrettes i de tilfælde, hvor det er påkrævet.
Definitioner
Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
Den registrerede er den fysiske person, som personoplysningerne vedrører, eksempelvis medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan eksempelvis være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.
Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.
Brud på persondatasikkerheden: dækker over alle tilfælde, der fører til hændelig eller ulovlig tilintetgørelse, tab, eller ændring af personoplysninger såvel som uautoriseret videregivelse af eller adgang til personoplysninger.
Databeskyttelsesrådgiveren (DPO) er en uafhængig person med ekspertise i databeskyttelsesret og –praksis, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler hos Grenaa Gymnasium. Databeskyttelsesrådgiverens funktion er at understøtte, at Grenaa Gymnasium overholder reglerne i forordningen. Databeskyttelsesrådgiveren er en tilknyttet del af Grenaa Gymnasium, og kan efter omstændighederne have andre arbejdsopgaver.
Tekniske og organisatoriske sikkerhedsforanstaltninger skal vurderes ved en risikovurdering af behandlingen af personoplysninger.
Tekniske sikkerhedsforanstaltninger er blandt andet antivirusprogrammer og firewalls, som sikrer, at uvedkommende ikke kan få adgang til it-systemer med personoplysninger.
Organisatoriske sikkerhedsforanstaltninger består blandt andet i, at vores medarbejdere er instrueret i og uddannet til at håndtere behandlingen af personoplysningerne korrekt og sikkert.
Hvordan håndterer Grenaa Gymnasium et brud på persondatasikkerheden?
Det kan have omfattende konsekvenser for den registrerede, hvis et brud på persondatasikkerheden ikke håndteres på en passende og rettidig måde. Konsekvenserne kan eksempelvis være tab af kontrol over den registreredes personoplysninger, forskelsbehandling, identitetstyveri, finansielle tab, tab af omdømme eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person.
Det skal derfor sikres, at Grenaa Gymnasium har en klar procedure for håndtering af brud på persondatasikkerheden, når Grenaa Gymnasium er henholdsvis dataansvarlig og databehandler.
Når Grenaa Gymnasium er dataansvarlig
Hvis der sker et brud på persondatasikkerheden, skal Grenaa Gymnasium, som hovedregel, og senest inden for 72 timer fra Grenaa Gymnasium er blevet bekendt med bruddet, anmelde det til Datatilsynet.
Såfremt Grenaa Gymnasium kan dokumentere, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ikke ske anmeldelse til Datatilsynet.
Grenaa Gymnasium skal således foretage en risikovurdering af hvad bruddet har haft af betydning for den registrerede.
I vurderingen af risikoen skal der tages udgangspunkt i de konsekvenser sikkerhedsbruddet kan have for den registrerede, samt hvad sandsynligheden for disse konsekvenser er.
Afhængigt af hvilken grad af risici vores risikovurdering kommer frem til, skal følgende procedurer følges:
Risici og procedurer
Bruddet indebærer ingen risiko for den registrerede. Procedure: Ej anmeldelsespligt til Datatilsynet.
Bruddet indebærer en risiko for den registrerede. Procedure: Anmeldelsespligt til Datatilsynet.
Bruddet indebærer en høj risiko for den registrerede. Procedure: Anmeldelsespligt til Datatilsynet samt underretningspligt over for den registrerede.
Bruddet indebærer ingen risiko for den registrerede:
I de tilfælde hvor den udførte risikovurdering viser, at det er usandsynligt, at bruddet på persondatasikkerheden har indebåret en risiko for den registreredes rettigheder, er bruddet ikke anmeldelsespligtigt til Datatilsynet.
Bruddet indebærer en risiko for den registrerede
Hvis risikovurderingen viser, at sikkerhedsbruddet indebærer en risiko for den registrerede, er Grenaa Gymnasium forpligtet til at anmelde bruddet til Datatilsynet. Anmeldelsen skal ske hurtigst muligt, og senest 72 timer fra Grenaa Gymnasium er blevet bekendt med bruddet.
Anmeldelsen til Datatilsynet skal som minimum indeholde:
Bruddet indebærer en høj risiko for den registrerede
I de tilfælde hvor den udførte risikovurdering viser, at bruddet på persondatasikkerheden har indebåret en høj risiko for den registreredes rettigheder, skal bruddet anmeldes til Datatilsynet og de registrerede skal desuden, som hovedregel, underrettes – se dog undtagelser for underretning nedenfor.
Hvis det skulle ske, at Grenaa Gymnasium i vores risikovurdering er nået frem til, at bruddet ikke indebærer en høj risiko for den registrerede, kan Grenaa Gymnasium i visse tilfælde alligevel blive pålagt at underrette den registrerede, såfremt Datatilsynet i deres undersøgelse af bruddet vurderer, at der har været tale om en høj risiko.
Anmeldelsen til Datatilsynet skal som minimum indeholde:
1. Beskrivelse af karakteren af bruddet, samt hvor det er muligt:
2. Navn og kontaktoplysninger på Grenaa Gymnasiums databeskyttelsesrådgiver
3. Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
4. Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Grenaa Gymnasium har truffet eller foreslår truffet for at mindske skaden.
Anmeldelsen kan sendes til dt@datatilsynet.dk eller via Datatilsynets hjemmeside.
Se endvidere bilag 1, som indeholder en skabelon til brug for anmeldelse.
Underretningen til den registrerede skal som minimum indeholde:
1. Beskrivelse af karakteren af bruddet
2. Navn og kontaktoplysninger på Grenaa Gymnasiums databeskyttelsesrådgiver
3. Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
4. Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Grenaa Gymnasium har truffet eller foreslår truffet for at mindske skaden.
Se endvidere bilag 2, som indeholder en skabelon til brug for underretning af den registrerede.
Situationer hvor Grenaa Gymnasium, på trods af høj risiko, ikke er forpligtet til at underrette den registrerede.
Én af følgende betingelser skal være opfyldt:
1. Grenaa Gymnasium har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
2. Grenaa Gymnasium har efter bruddet truffet foranstaltninger, der sikrer, at den høje risiko for den registreredes rettigheder sandsynligvis ikke længere er reel
3. Det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved den registrerede underrettes på en tilsvarende effektiv måde.
Databeskyttelsesrådgiveren
Grenaa Gymnasiums databeskyttelsesrådgiver inddrages altid, når der sker et brud på persondatasikkerheden.
Når Grenaa Gymnasium er databehandler
I de tilfælde, hvor Grenaa Gymnasium er databehandler for en anden dataansvarlig, underretter vi -uden unødig forsinkelse – den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Det er vigtigt, at Grenaa Gymnasium ligeledes instruerer vores databehandlere i, at underrette Grenaa Gymnasium, såfremt der skulle ske et brud på persondatasikkerheden.
Fortegnelse over sikkerhedsbrud
Grenaa Gymnasium er forpligtet til at dokumentere alle brud på persondatasikkerheden. Efter anmodning fra Datatilsynet, skal vi udlevere denne dokumentation.
Dokumentationen skal som minimum indeholde følgende:
1. Beskrivelse af karakteren af bruddet, samt hvor det er muligt:
2. Navn og kontaktoplysninger på Grenaas databeskyttelsesrådgiver
3. Beskrivelse af mulige konsekvenser af sikkerhedsbruddet
4. Beskrivelse af de tekniske og organisatoriske foranstaltninger, som Grenaa Gymnasium har truffet eller foreslår truffet for at mindske skaden.
5. Dokumentation for anmeldelse til Datatilsynet og evt. underretning til den registrerede.
Kontrol og dokumentation
Grenaa Gymnasium sikrer, at vi løbende foretager en dokumenteret kontrol af, at denne retningslinje overholdes. Kontrollen godkendes af Grenaa Gymnasiums bestyrelse.
Grenaa Gymnasium skal kunne dokumentere (påvise), at:
Dokumentejer, godkender og versionering
Ejer: Jesper Dau Simonsen, Uddannelseschef
Godkender: Helene Bendorff Kristensen, Rektor
Dato
25.04.2025
Version: 2.0
Forfatter: DAU
Ændringsbeskrivelse –
