Forfatters navn [Dato]
Forfatters navn [Dato]
|
XX efterskole -Skolenavn |
Dokumentation i medfør af EU's persondataforordning |
Kapitelinddeling
Indhold
3. Oplysningspligt overfor medarbejder 8
3.1. Oplysningspligt for elev 9
4. Samtykke for medarbejder 12
6. Databehandlere og databehandleraftale 15
8. Xxxx på persondatasikkerhed og anmeldelse til Datatilsynet 19
9. Vejledninger fra skoleforeningerne og Datatilsynet 21
Introduktion til Persondatamappen:
I samarbejde med de øvrige skoleforeninger på det frie område har Efterskoleforeningen udarbejdet en vejledning til EU's Forordning om beskyttelse af persondata (GDPR 2016/679).
Denne mappe er et værktøj til at skabe overblik over de processer, skolen skal igennem for at leve op til forordningen, samt oplyse om de standardskabeloner og eksempler, der er udarbejdet fra skoleforeningerne. Der er linket til de relevante hjemmesider, hvor standardskabeloner kan downloades.
Persondatamappen kan danne grundlag for dokumentation af efterskolens forskellige pligter og krav til behandlingen af persondata. Herunder er der udarbejdet skabeloner til formulering af de oplysninger, skolen skal give til elever, forældre, medarbejdere og myndigheder.
I denne mappe er der indsat billeder af excel-værktøjet, som ikke kan udfyldes. Vi anbefaler, at skolen udfylder dokumenterne i den oprindelige version og herefter samler disse i en mappe. Standarddokumenterne skal tilrettes den enkelte efterskole.
Der tages forbehold for fremtidig fortolkning fra Datatilsynet m.m. og ændringer det må medføre for indholdet af persondatamappen. Persondatamappen kan ikke erstatte juridisk rådgivning om konkrete juridiske problemstillinger, men kan bruges som inspiration.
1. Datastrømsanalyse
Excelark fra skoleforeningerne med beskrivelse af datastrømsanalyse:
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xx/Xxxxxxxx/XX/Xxxxxxxxxxxxxxxxxxxxxx
Arket omfatter også en skabelon til fortegnelse, se pkt. 2 i persondatamappen, samt et ark til overblik over databehandlere og dato for indgåelse af databehandleraftaler.
Hvilken type personoplysning indsamles? |
Hvilke af skolens 'målgrupper' er der tale om? |
Med hvilket formål behandles oplysningerne? |
Hvor kommer oplysningen fra? |
Hvordan er oplysningen indhentet? |
Hvordan opbevares oplysningen og hvor mange steder? |
Deles oplysningen med nogen? I givet fald, hvem? |
Hyppighed |
I hvor lang tid opbevares oplysningen? |
Type: Hvilken type personoplysning er der tale om? Almindelig eller følsom. Angiv som type, fx navn, adresse, cpr-nr, indkomstoplysninger, helbredsoplysninger, civilstatus, religiøs eller etnisk oprindelse, sociale problemer, mv. |
Ansatte, forældre, elever, andre som fx leverandører eller samarbejdspartnere |
Der skal angives et formål med behandlingen af personoplysningerne. Formålet skal være tilstrækkeligt præcist, og der må som udgangspunkt ikke ske behandling til andre formål. |
Personen selv eller via tredjepart som SKAT, afgivende skole, UU-vejledning, mfl.? |
Pr. tlf., mail, mundtligt, træk i database hos andre myndigheder, mv. |
Pr. mail, i personalesystem, økonomisystem, mv.? Hvis manuelt, hvordan opbevares data? |
Internt og eksternt (med andre afdelinger/medarbejder og eksternt med fx kommune, UU, sundhedspersonale, mv. Vær opmærksom på at eksempelvis ekstern hosting og cloudbaseret opbevaring er deling med ekstern databehandler. |
Hvor ofte/hyppigt behandles denne oplysning? - dagligt, månedligt, ved indskrivning/udmelding, lejlighedsvist eller anden frekvens? |
Ved registreringen tages udgangspunkt i nuværende praksis. Hvis I ikke sletter noget, så skriv det. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. Fortegnelse
Excelark med fortegnelse
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xx/Xxxxxxxx/XX/Xxxxxxxxxxxxxxxxxxxxxx
Vejledning fra datatilsynet vedrørende fortegnelse, herunder eksempel.
xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxx/
Fortegnelse - Dataansvarlig (Skolen) |
Eksempel på udfyldning |
Bemærkning fra skoleforeningerne vedrørende besvarelse |
Institutionsnavn, adresse, CVR-nr. |
XXX
skole |
|
Kontaktperson
vedr. persondatabeskyttelse i virksomheden |
Xxxxxx
Xxxxxxxx, |
Frie skoler er ikke omfattet af kravet om udnævnelse af DPO (Data Protection Officer, Datasikkerhedsansvarlig). Men det fritager ikke skolen for dataansvaret. Angiv leder eller anden person med særligt ansvar for sikkerhed ifm. databehandling. |
Formål(-ene) |
Skoledrift, herunder elev-og personaleadministration |
(Der skal angives ét samlet logisk sammenhængende formål med behandlingerne, som udspringer af virksomhedens (Skolens formål). |
ategorierne af registrerede |
Der behandles
oplysninger om følgende kategorier af registrerede personer: c)
Ansatte |
Her angives hvilke persongrupper, skolen behandler data om. ”Andre” kan fx være samarbejdspartnere i kommuner, andre skoler, foredragsholdere, m.fl. Andre er også besøgende på skolens hjemmeside, hvis adfærd registreres med anvendelse af cookies.
|
Oplysninger som behandles om de registrerede (kategorier og enkeltvis) |
Sæt X |
|
|
Identifikationsoplysninger |
|
Almindelige oplysninger |
Oplysninger ifm. ansættelsesforholdet til brug for administration, fx betalingsoplysninger, stilling, tjenestested, lønforhold, herunder oplysninger til brug for lønindeholdelse, personalepapirer, uddannelse og sygefravær |
|
Almindelige oplysninger |
Cookies om besøgende på skolens hjemmeside. |
x. Skal oplyses på hjemmesiden ved 'tick-box' |
Følsom oplysning |
Race eller etnisk oprindelse |
Følsomme oplysninger er i udgangspunktet forbudt at registrere. For alle følsomme oplysninger skal skolen være ekstra opmærksom på behandlinger og opbevaring. Ved angivelse af tillægstakst for indvandrere og efterkommere anvendes elevens nationalitet, som er en almindelig oplysning. Der skal dermed ikke registreres etnisk oprindelse. |
Følsom oplysning |
Politisk, religiøst eller filosofisk overbevisning |
|
Følsom oplysning |
Fagforeningsmæssigt tilhørsforhold |
|
Følsom oplysning |
Helbredsoplysninger, herunder genetiske data |
Se vejledning om samtykke |
Følsom oplysning |
Biometriske data mhp. Identifikation |
|
Følsom oplysning |
Seksuelle forhold |
|
Følsom oplysning |
Strafbare forhold. |
Børneattest og straffeattest for medarbejdere. Bør slettes straks efter indhentelse. Herefter opbevares alene kvittering for indhentelse. |
|
|
|
Databehandlere m.m. og sletning |
|
|
Modtagerne af
personoplysninger, |
1. SKAT 3.
Styrelsen for it og læring 7.
Modtagende skole (når eleven skifter) 12. mv. |
|
Oplysninger om overførelse af personoplysninger til tredjelande eller internationale organisationer |
Skriv ja/nejHvis ja, angiv navn og formål |
Obs. Cloud-løsninger indebærer overførsel til tredjelande (Fx icloud, dropbox) Nogle leverandører af digitale læringsmidler anvender også udviklings- og servertjenester i tredjelande. I disse tilfælde skal leverandøren (Databehandleren) tage ansvar for overførselsgrundlaget (den lovgivning og de øvrige regler, som bl.a. regulerer sikkerhedskrav, fortrolighed og begrænsninger i anvendelsen). Overførsel til tredjelande skal altid fremgå af databehandleraftalen. |
Sletning |
Henvis evt. til oversigt i fanebladet 'skema til registrering'. Alternativt se separat ark herom. |
Hvis muligt,
indsæt gerne lidt generel tekst, som fx: |
Tekniske og organisatoriske sikkerhedsforanstaltninger (Hvis muligt skal der gives en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger, jf. art. 32, stk. 1) |
Behandling af personoplysninger i forbindelse med personaleadministration sker i overensstemmelse med interne retningslinjer, som bl.a. fastsætter rammerne for autorisation og adgangsstyring og logning. Elevadministration varetages i XX-system og oplysningerne opbevares i ......Fysisk materiale opbevares aflåst. Der anvendes flg. sikkerhedsstandard: ISO XXXX |
Beskrives generelt, hvis muligt. Start evt. med følgende spørgsmål: Har skolen udarbejdet politik for: (Ja/Nej)- Behandling af personoplysninger ifm. Personaleadministration? (Hvem må hvad? Hvordan og hvorfor? Og hvordan sikrer vi, at oplysningerne ikke kommer til uvedkommendes kendskab? Hvem gør hvad i tilfælde af, at der sker brud på datasikkerheden?) - Behandling af personoplysninger ifm. Elevadministration? (Hvem må hvad? Hvordan og hvorfor? Og hvordan sikrer vi, at oplysningerne ikke kommer til uvedkommendes kendskab?- Hvilke tiltag og værktøjer understøtter it-sikkerhed på skolen? Som minimum firewalls og aktiv virusbeskyttelse. Har I kodeord på PC'er, systemer og mapper med personoplysninger? Bruger I logning på centrale systemer? - Hvem gør hvad i tilfælde af brud på datasikkerheden?) OBS! Forordningen stiller krav om advisering af Datatilsynet, hvis der sker brud på datasikkerheden, som medfører høj risiko for de registrerede (fx hacker-angreb, tab af data, mv. ) Her skal angives, hvem der kontakter datatilsynet og der bør være en plan for kommunikation til de berørte personer, hvis data er blevet kompromitteret. |
3. Oplysningspligt overfor medarbejder
Efterskoleforeningen har udarbejdet en standardformulering til oplysningspligten for en medarbejder. Denne kan også indgå i personalemappen.
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xx/Xxxxxxxx/XX/Xxxxxxxxxxxxxxxxxxxxxx
3.1. Oplysningspligt for elev
Skolens oplysningspligt ved indsamling af personoplysninger
EKSEMPEL på opfyldelse af oplysningspligten – fx til at lægge på skolens hjemmeside og til at sende med som bilag i forbindelse med indhentelse af personoplysninger. Xxx også indgå i skolens eksterne persondatapolitik.
[Efterskole] er etableret på følgende adresse:
XXX xxxx 0
1111 By
1. Vi er den dataansvarlige - hvordan kontakter du os?
Vi kan kontaktes på telefon nummer _______________ samt på e-mail adresse ______________________.
Skolens CVR. nr. er ____.
2. Formålene med og retsgrundlaget for behandling af dine personoplysninger
Vi behandler dine oplysninger for at kunne opfylde vores forpligtigelser som skole, der følger af efterskoleloven og dertil hørende regler. Eksempelvis indhenter vi elev- og forældreoplysninger i forbindelse med en elevs optagelse på skolen for at kunne søge statstilskud og statslig elevstøtte.
Vi indhenter også personoplysninger om medlemmer af skolens bestyrelse, fordi det kræver lovgivningen, og vi anvender oplysninger om eksterne samarbejdspartnere i henhold til den kontrakt, som vi har med disse.
3. Kategorier af personoplysninger
Vi behandler almindelige oplysninger som fx navn, adresse, alder, køn, mv. Vi behandler også indkomstoplysninger om forældre, evt. samlevere og elever over 18 år til brug for beregning af statslig elevstøtte. Vi behandler også cpr-numre til brug for skolens administration. Når det er nødvendigt, behandler vi følsomme oplysninger, dvs. helbredsoplysninger om eleven. Dette sker efter indhentelse konkret samtykke hertil.
4. Modtagere eller kategori af modtagere
Som udgangspunkt er det alene skolen, der anvender de personoplysninger, som vi har om en elev eller forældre. Skolen har retningslinjer for, hvilke konkrete personoplysninger, og hvornår en medarbejder har adgang til personoplysninger om elever og forældre. Eksempelvis er det som udgangspunkt alene skolens leder, som har adgang til alle oplysninger, og klasselæreren har alene adgang til oplysninger om det barn, som læreren er klasselærer for.
Vi videregiver også oplysninger til Undervisningsministeriet og andre offentlige myndigheder, når vi er forpligtet efter reglerne herom.
Skolen bruger dog også eksterne leverandører i forhold til fx elektroniske behandling af data (se link til
vores databehandlere). Disse eksterne parter behandler alene vores personoplysninger i henhold til den instruks, som fremgår af en databehandleraftale, som skolen har indgået med leverandøren.
5. Opbevaring af personoplysninger
Skolen opbevarer personoplysninger i henhold til retningslinjer på området (se link). Overordnet opbevarer vi alene personoplysninger, så længe det er nødvendigt for at opfylde vores forpligtigelser som skole. Eksempelvis sletter vi som udgangspunkt oplysninger om elever og forældre, når eleven forlader skolen. [indsæt selv, hvis oplysninger – ud over afgangsprøvebeviser – opbevares længere, fx i forhold til overgange for elever med særlige støttebehov. I så fald bør man ved indhentning af samtykke gøre aktivt opmærksom på, at visse oplysninger opbevares længere end de øvrige.]
6. Retten til at trække samtykke tilbage
Du har til enhver tid ret til at trække dit samtykke tilbage. Dette kan du gøre ved at kontakte os på de kontaktoplysninger, der fremgår ovenfor af pkt. 1.
Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af vores behandling af dine personoplysninger på baggrund af dit tidligere meddelte samtykke og op til tidspunktet for tilbagetrækningen. Hvis du tilbagetrækker dit samtykke, har det derfor først virkning fra dette tidspunkt.
7. Dine rettigheder
Efter databeskyttelsesreglerne har du som registreret en række rettigheder i forhold til skolens behandling af personoplysninger.
Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.
Ret til at se oplysninger (indsigtsret)
Du har ret til at få indsigt i de oplysninger, som vi behandler om dig og en række andre oplysninger.
Skolen kan tage et gebyr for dette arbejde. Dette skal være et rimeligt gebyr under hensyn til de administrative omkostninger ved at give de pågældende oplysninger. Datatilsynet skriver på deres hjemmeside, at den private dataansvarlige kan kræve 10 kr. for hver påbegyndt side, men at betalingen ikke kan overstige 200 kr. 1
Ret til berigtigelse
Xx har ret til at få urigtige oplysninger om dig rettet.
Ret til sletning
I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.
Ret til begrænsning af behandling
Du har i visse tilfælde ret til at få begrænset behandlingen af dine oplysninger. Hvis du har ret til at få begrænset behandlingen – må vi fremover kun behandle oplysningerne – bortset fra opbevaring – med dit samtykke eller med henblik på, at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser.
Ret til indsigelse
Du har i visse tilfælde ret til at gøre indsigelse mod vores ellers lovlige behandling af dine personoplysninger. Du kan også gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring.
Ret til at transmittere
Du har i visse tilfælde ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinelt læsbart format samt at få overført disse personoplysninger fra en dataansvarlig til en anden uden hindring.
Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på xxx.xxxxxxxxxxxx.xx.
8. Klage til Datatilsynet
Xx har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, som vi behandler dine personoplysninger på. Du finder Datatilsynets kontaktoplysninger på xxx.xxxxxxxxxxxx.xx.
4. Samtykke for medarbejder
Efterskoleforeningen har udarbejdet en standardformulering til samtykke for en medarbejder. Denne bør indgå i ansættelsesbrevet og opbevares i personalemappen, så længe ansættelsesforholdet er aktuelt.
Der er også et markedsføringsmæssigt spørgsmål, som skolen eventuelt skal indhente samtykke til.
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xx/Xxxxxxxx/XX/Xxxxxxxxxxxxxxxxxxxxxx
4.1 Samtykke for elev
Indsæt skolens samtykkeerklæring til behandling af helbredsoplysninger og billeder, samt til indhentning af oplysninger fra tidligere/nuværende skole og PPR.
Se Efterskoleforeningens vejledning og skabelon til samtykkeerklæring i leksikon på Efterskoleforeningens hjemmeside. xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xx/Xxxxxxxx/XX/Xxxxxxxxxxxxxxxxxxxxxx
5. Bestyrelsesmedlemmer
Ved valg til bestyrelsen skal der indhentes skriftligt samtykke fra bestyrelsesmedlemmet mht. gengivelse af navn, telefonnummer, e-mail og billede på skolens hjemmeside. Samtidigt skal det oplyses, at bestyrelsesmedlemmet vil blive registreret som reel ejer på xxxx.xx. Registreringen er et krav som følge af speciallovgivning.
I medfør af reglerne om hvidvaskning er det endvidere et krav, at cpr-numre på alle tegningsberettigede og dermed alle bestyrelsesmedlemmer, videregives til banken.
Desuden skal skolen meddele, at bestyrelsesmedlemmets personoplysninger vil blive videregivet til relevante myndigheder, hvor der er lovkrav derom.
Ikke relevante personoplysninger vil blive slettet ved udtrædelse af bestyrelsen. Navn og bestyrelsesperiode vil dog forsat være registreret blandt andet via bestyrelsesprotokollen.
Desuden kan det med fordel beskrives, hvordan den enkelte skole behandler personoplysninger i forbindelse med bestyrelsesmøder og hvordan disse bliver opbevaret i bestyrelsesprotokollen. Personoplysninger, fx i personalesager, bør ikke fremgå af bestyrelsesreferater, der offentliggørelse.
Skolen bør desuden have en persondatainstruks for bestyrelsens arbejdsgange. Det gælder fx behandling af personalesager og sager med personoplysninger om elever, forældre og medarbejdere (fx godkendelse af udmøntning af individuel elevstøtte). Sådanne oplysninger bør ikke deles via usikre mailforbindelser eller opbevares decentralt på de enkelte bestyrelsesmedlemmers harddiske, men alene udleveres i papirkopi til efterfølgende sletning/eller via en sikker kanal til udsendelse og opbevaring i et tilstrækkeligt sikret miljø.
Samtykke erklæring for bestyrelsesmedlemmer bør omfatte følgende punkter:
- Behandling af cpr-nr.
- Offentliggørelse af fotos på skolens hjemmeside/intra, osv. (Hvis dette anvendes)
- Offentliggørelse af navn, titel, adresse og kontaktoplysninger (hjemmeside og hvor I ellers skriver den slags på trods af, at det jo er en forudsætning for at stille op og være valgt.)
- Videreformidling af kontaktoplysninger til Efterskoleforeningen (da de jo er automatisk medlemmer her og får tilsendt Efterskolebladet)
Behandling af kontooplysninger ifm. med evt. kørselsafregning og evt. udlæg kræver ikke samtykke, da formålet er at opfylde en retlig forpligtelse, men skal også nævnes under opfyldelse af oplysningspligten.
6. Databehandlere og databehandleraftale
En liste over skolens databehandlere, hvor databehandlers navn, CVR-nr. og dato for indgåelse af seneste databehandleraftale fremgår. Efterskoleforeningen har udarbejdet en excel-fil, som også rummer et ark til registrering af databehandlere og dato for indgåelse af databehandleraftaler. Klik på boksen ’Datastrøm’:
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xx/Xxxxxxxx/XX/Xxxxxxxxxxxxxxxxxxxxxx
Databehandler Navn |
Databehandlingsområde/aktivitet |
Databehandleraftale indgået (angiv dato for indgåelse af gældende version) |
Eksempel: IT-selskabet |
Økonomi- og elevadministration |
05-12-2017 |
Datatilsynet har lavet en standardskabelon til en databehandleraftale.
xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxx/
Databehandler Navn |
Databehandlingsområde/aktivitet |
Databehandleraftale indgået (angiv dato for indgåelse af gældende version) |
Eksempel: IT-selskabet |
Økonomi- og elevadministration |
05-12-2017 |
|
|
|
|
|
|
7. Persondatapolitikker
Efterskoleforeningen har udarbejdet et eksempel på en ekstern persondatapolitik, som skolen kan lade sig inspirere af. I tillæg til de interne processer på skolen, bør I overveje skolens anvendelse af Apps og sociale medier som facebook, snapchat, instagram, osv. Disse tjenester kan man ikke indgå databehandleraftaler med og de har reelt ejerskabet til de personoplysninger, som afgives som led i anvendelsen af tjenesterne. Juridisk kan det ikke anbefales at bruge disse medier til kommunikation eller videregivelse af oplysninger, der er nødvendige for skolens drift.
Datatilsynet har udarbejdet en skabelon til iagttagelse af oplysningspligten og indsigtsretten:
xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxx/
7.1 Instrukser til ansatte
Læse- og brugsvejledning til Instruks til ansatte om behandling af personoplysninger:
Skolens ledelse har pligt til at sikre sig, at alle ansatte har modtaget informationen (/instruks) om, hvordan data/oplysninger der indeholder personoplysninger skal håndteres og opbevares. Information bør også omfatte mere generelle regler om brug af it, mail, intranet m.v.
Formålet med denne inspirations-tekst er at give skolen et udgangspunkt for at udfærdige en information/instruks til medarbejderne, som er tilpasset forholdene på netop jeres skole.
Bemærk, at det kan være aktuelt, at andre end skolens medarbejdere modtager en instruks – fx bestyrelsens medlemmer eller andre med adgang til dokumenter med følsomt indhold herunder personoplysninger.
Den færdige instruks kan med fordel indsættes i skolens Persondatamappe.
Instruks til ansatte på [EFTERSKOLE] om behandling af personoplysninger
Denne instruks beskriver de regler og retningslinjer, der gælder for medarbejdernes omgang med og behandling af personoplysninger om elever og forældre på [EFTERSKOLE].
Tavshedspligt og persondata
Alle ansatte på efterskoler er omfattet af forvaltningslovens regler om tavshedspligt. Det betyder, at oplysninger om elever og forældre, som kommer til ens kendskab i kraft af arbejdet på skolen, ikke må deles med udenforstående. Det er derfor fx ikke tilladt at føre samtaler i det offentlige rum, som gør det muligt for omkringværende at identificere de elever eller forældre samtalen drejer sig om.
Opbevaring af og adgang til personoplysninger
Ansatte har pligt til altid at opbevare dokumenter eller udstyr med personoplysninger forsvarligt og utilgængeligt for uvedkommende.
Det betyder blandt andet at:
Computer og lignende udstyr ikke efterlades uden låst skærm
Computer og lignende udstyr ikke må efterlades på offentlige steder
Dokumenter skal opbevares på en måde, hvor kun relevante personer har adgang
Elektroniske Dokumenter og data indeholdende personoplysninger skal opbevares på udstyr udleveret af skolen – eksempelvis computer, ekstern harddisk, USB, skolens server eller cloudbaserede systemer
Fysiske dokumenter og notater skal opbevares forsvarligt og i videst mulige omfang kun på skolen
Computer og lignende udstyr er sikret med kode.
Krav til kode er, at du skifter mindst X gange årligt. Du må ikke bruge samme kode til din arbejdskonto/mail, som du bruger privat.
Brug af mail og intranet
Det er ikke tilladt at bruge sin private mail til arbejdsrelateret korrespondance.
Personoplysninger skal altid sendes via [skolens sikker mail løsning] eller via skolens intranet[navn]. Skriftlig kommunikation skal desuden altid leve op til skolens politik/instruks på området.
Hvis der modtages personoplysninger, som er tilsendt med ikke sikker mail, skal disse hurtigst muligt overføres til en sikker opbevaringsmetode og mailen slettes. Du må ikke svare på mailen via en usikker forbindelse.
Brug af privat mobiltelefon
Det er ikke tilladt at bruge privat mobiltelefon til sende beskeder indeholdende personoplysninger eller til at tage billeder eller optage videoer af elever og forældre. Såfremt der skal tages billeder eller video af elever og forældre benyttes skolens [kamera/arbejdstelefon].
Brug af sociale medier
Personoplysninger må aldrig deles på sociale medier. Såfremt der skal deles billeder, videoer eller lignende skal det foregå på skolens officielle profiler og sider. [Indsæt procedure for, hvordan det skal gøres, jf. regler om samtykke til brug af billeder].
Sikkerhedsbrud
Ansatte har pligt til, hurtigst muligt, at give skolens ledelse meddelelse om formodede eller konstaterede sikkerhedsbrud.
Skolens IT-politikker
Alle ansatte har pligt til at gøre sig bekendt med skolens IT-politikker [Xxxxxx].
8. Brud på persondatasikkerhed og anmeldelse til Datatilsynet
Sker der et brud på persondatasikkerheden, så følger skolen de retningslinjer som datatilsynet har nedskrevet.
xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxx/
Nedenfor ses et flowchart, hvis der er mistanke om brud og eventuel anmeldelse til Datatilsynet
9. Vejledninger fra skoleforeningerne og Datatilsynet
Efterskoleforeningen har i samarbejde med de øvrige frie skoleforeninger udarbejdet en generel vejledning og et notat om slettepligt på efterskole.
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xx/Xxxxxxxx/XX/Xxxxxxxxxxxxxxxxxxxxxx
Se ’Vejledning’ og ’Slettepligt’.
Datatilsynet har en række vejledninger, herunder en FAQ.
xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxx/