Dansk Skolefoto ApS
Dansk Skolefoto ApS
Egenerklæring vedrørende databehandling
Ledelsens udtalelse 2
Behandling af personoplysninger på vegne af kunden 4
Vores rolle som databehandler 4
Typer af personoplysninger og kategorier af registrerede 5
Brug af underdatabehandlere og lokalitet for behandling 5
Bistand til kunder/dataansvarlige 6
Opbevaringsperiode/Sletterutine 6
Ledelsens udtalelse
Dansk Skolefoto ApS (DSF) behandler personoplysninger på vegne af vore kunder, der er dataansvarlige for visse oplysninger i henhold til EU's forordning vedr. "Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger" (herefter "databeskyttelsesforordningen").
Medfølgende beskrivelse (s. 4-7) er udarbejdet til brug for DSF´s kunder, der benytter sig af produkter fra DSF som er databehandlet af DSF.
Erklæringen er udarbejdet på baggrund af indgået databehandleraftale mellem DSF og kunden.
DSF bekræfter, at:
1. Den medfølgende beskrivelse giver en retvisende beskrivelse af de dele af DSFs workflow, der har behandlet personoplysninger for dataansvarlige, pr. 10. januar 2021. De kriterier, der er anvendt for at give denne udtalelse, er, at den medfølgende beskrivelse:
a.
Redegør for, hvordan DSFs workflow er udformet og implementeret, herunder redegør for:
I
De typer af ydelser, der er leveret, herunder typen af behandlede personoplysninger
ii. Processer i både IT- og manuelle systemer, der er anvendt til behandling af personoplysninger
iii. De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold til kontrakt, instruks eller aftale med den dataansvarlig
iv. De processer, der sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
v. De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarliges valg sker sletning eller tilbagelevering af alle
personoplysninger til den dataansvarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysningerne
vi. De processer, der i tilfælde af brud på persondatasikkerheden understøtter, at den dataansvarlige kan foretage anmeldelse til tilsynsmyndigheden samt underrettelse til de registrerede
vii. De processer, der sikrer passende tekniske og organisatoriske sikringsforanstaltninger for behandlingen af personoplysninger under hensyntagen til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
viii. Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen af personoplysninger
b. ikke udelader eller forvansker oplysninger, der er relevante for omfanget af beskrivelsen af behandling af personoplysninger under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige.
2. De rutiner, der er anvendt, er hensigtsmæssigt udformet pr. 10.01.2021. De kriterier, der er blevet anvendt for at give denne udtalelse, er, at:
a. de risici, der kunne true de opstillede sikkerhedskrav, er identificeret
b. de anvendte rutiner giver en høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af formålet med behandlingen
3. Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehandlere i henhold til databeskyttelsesforordningen
Roskilde, den 19. september 2022
Xxxxxx Xxxxxxx Administrerende direktør Dansk Skolefoto ApS
Beskrivelse af behandling
Indledning
DSFs beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige.
Formålet med DSFs behandling af personoplysninger på vegne af den dataansvarlige er følgende:
At opfylde de på ordrebekræftelsen definerede og af kunden bestilte billedprodukter fra DSF.
Der er indgået databehandleraftale mellem den dataansvarlige og DSF, hvilket er en forudsætning for levering af Billedprodukterne.
I databehandleraftalen med tilhørende bilag er ydelsen og typerne af den databehandling, der finder sted, beskrevet. Desuden er den dataansvarliges instruks til DSF beskrevet heri.
Produkterne leveres til kunden på baggrund af specifikke aftaler indgået direkte mellem den enkelte kunde (skole, institution) og DSF.
Kommunen, som den enkelte kunde bor i, betragtes som dataansvarlig.
Beskrivelse af produkt-leverancer
DSF kan efter kundens specifikke ønske, og efter modtagelse af datafil fra kunden indeholdende data om navne på elever og ansatte, klassebetegnelser samt unikke elevnumre, levere portræt og gruppebilleder af elever og ansatte hos kunden til kundens IT-systemer og DSFs digitale billedarkiv ”Downloadcenter”, Personalekollager med navne og stillingsbetegnelser, ID-kort evt, med cpr.numre og adresser, Elevbøger med klassebilleder og/eller personnavngivne portrætter, evt. med adresser og telefonnumre, printede portrætbilleder og klassebilleder, Blå-bøger med personnavne, Personalehæfter med navngivne portrætter, Liftbilleder, Albums med printede sider bestående af klassebilleder og personnavngivne portrætter af elever og ansatte.
Personoplysninger
I henhold til databehandleraftalen behandles følgende almindelige personoplysninger om de registrerede:
• Fornavn, Efternavn, Stillingsbetegnelse, Initialer, unikt elevnummer, evt. cpr.nummer og klassebetegnelser.
Kategorier af registrerede personer, der helt eller delvist er omfattet af databehandleraftalen:
• Elever
• Lærere
• Øvrige ansatte hos kunden
Workflows-beskrivelse
Kunden sender via DSFs sikre platform en ”Foto-fil” indeholdende personoplysninger på elever og ansatte til DSF.
DSF benytter denne til at omdøbe filnavne på portrætbilleder, som DSF tager af elever og ansatte hos kunden, til den respektive persons elevnummer fra filen.
Desuden anvendes Fotofilen til valideringer af håndskrevne bestillingssedler, og af fotograferne til matchning af optagne billeder og elevdata.
Ophør af behandling
Behandlingen af modtaget data via ”Fotofil” ophører senest 3 måneder efter endt fotografering.
Opbevaring af data
Data gemmes indtil 3 måneder efter elevens skolegang er afsluttet og indtil 3 måneder efter, at en ansat er fratrådt sin stilling hos kunden. Herefter slettes data.
Data slettes desuden senest 3 måneder i et nyt skoleår efter et samarbejdsophør mellem kunden og DSF, eller umiddelbart efter specifikke ønsker fra kunden.
IT-sikkerhed
DSF arbejder målrettet med at sikre fortrolighed, integritet og beskyttelse i vores løsninger og arbejder kontinuerligt for at sikre et passende sikkerhedsniveau, således at sikkerheden i vores workflow og dataopbevaring lever op til både DSFs og kundens forventninger.
DSF vurderer løbende, hvilke praktiske sikkerhedstiltag der skal indgå i vores løsninger. Vi forholder os til aktuelle trusler og mulige forbedrelses-tiltag for at afværge sådanne trusler, ligesom vi løbende vurderer nye typer af sikkerhedssystemer målrettet IT for på den måde at sikre, at vi kontinuerligt tilpasser vores arbejde med sikring af data.
Nedenstående praktiske tiltag er implementeret. Listen udgør de i denne rapport vurderede tiltag, men tiltagene er ikke begrænset hertil.
• Kryptering af data
• Workflows PCer tilgås kun gennem personlige logins
• Test- og udviklingsmiljøer til afprøvning af nye workflowsmæssige systemer
• Backup
• Firewalls
• Antivirussystemer
• 2-faktor godkendelser til login via hjemmearbejdspladser
• Logfiler med data
• Løbende måling og afprøvning af backupsystemer
• Medarbejdertræning og videreuddannelse
• Aflåsning af produkter i proces indeholdende personfølsomme oplysninger
• Automatisk låsning af PC når medarbejderen forlader arbejdsstationen
DSF sikrer høj grad af sikkerhed af hardware og software og opgraderer løbende til de sikreste systemer.
DSF har iværksat en række initiativer for at sikre, at håndtering af personoplysninger sker i overensstemmelse med principperne for behandling af personoplysninger. Der er udarbejdet retningslinjer for brug af IT, herunder awareness om sikker brug af IT, for DSFs medarbejdere. DSFs medarbejdere har alle gennemgået træning i sikker og korrekt håndtering af persondata og er desuden underlagt passende fortrolighed.
DSF har udarbejdet en fortegnelse over behandlingsaktiviteter med udgangspunkt i Datatilsynets vejledning herom. Denne fortegnelse opdateres mindst en gang årligt, og når processer for håndtering af persondata ændres.
DSF er ikke er forpligtet til at have en databeskyttelsesrådgiver, hvorfor vi har nedsat en GDPR- gruppe med relevante medarbejdere fra afdelinger, der varetager sikkerhedsarkitekturen omkring håndtering af persondata. Gruppen mødes regelmæssigt og håndterer det driftsmæssige vedr. GDPR samt prioriterer sikkerhedstiltag i såvel IT- udviklingen som forretningen. Desuden samarbejder GDPR-gruppen med en ekstern advokat med speciale i databeskyttelsesret. Sager vedrørende mistanke om brud på persondatasikkerheden vurderes og analyseres altid i DSFs GDPR-gruppe.
Ved mistanke om brud på persondatasikkerheden analyserer gruppen altid hændelsen og vurderer, om der er tale om brud på persondatasikkerheden, samt hvilken risiko hændelsen måtte udgøre for de registrerede omfattet af hændelsen.
Henvendelser vedr. persondata og GDPR kan altid rettes til xxxx@xxxxxxxxxxxxxx.xx
Medarbejdere hos DSF benytter personlige brugerkonti som giver adgang til de systemer og filer der er nødvendige for udførelsen af arbejdsopgaverne. DSF har egne administratorer, som udfører support og vedligeholdelse af alle it-systemer, og har derfor adgang til hele systemet. DSFs egne it-udviklere har ligeledes adgang til hele systemet.