Konsekvensbedömning (DPIA)
21 (21)
Konsekvensbedömning (DPIA)
Juridiskt bolag1 inom AcadeMedia-koncernen (personuppgiftsansvarig) som personuppgiftsbehandlingen gäller:
|
Varumärke: |
|
Extern leverantör som tillhandahåller verktyg för personuppgiftsbehandlingen2:
|
Kontaktperson hos leverantören: |
|
Datum: |
Kontaktperson hos AcadeMedia:
|
|
Dataskyddsombud: |
||
Instruktioner till konsekvensbedömningen
En konsekvensbedömning (DPIA) är ett krav i dataskyddsförordningen (”GDPR”) som trädde ikraft den 25 maj 2018. Innehållet i denna mall följer artikel 29-gruppens riktlinjer som anses utgöra ett komplement till GDPR. Mallen består av tre delar som ska fyllas i. Konsekvensbedömningen har en kompletterande rutin som finns här. Observera att del 3 och 4 ska fyllas i av ditt dataskyddsombud. Mallen består även av fem olika bilagor som utgör ett stöd för när mallen ska fyllas i.
Hanteringen av personuppgifter är en process som börjar med information till den registrerade3 och avslutas med arkivering/gallring. Hanteringen består av flera olika moment där varje moment juridiskt sett ses som en personuppgiftsbehandling.
Av artikel 35.1 I GDPR följer att den personuppgiftsansvarige ska utföra en konsekvensbedömning om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Detta innebär att om ni behandlar barn/elever/vårdnadshavare/deltagares personuppgifter i sådan utsträckning att behandlingen av personuppgifterna medför en hög risk för deras personliga integritet, ska en konsekvensbedömning genomföras. Konsekvensbedömningen ska som huvudregel utföras innan en behandling påbörjas. Den personuppgiftsansvarige måste alltid göra en självständig bedömning av den planerade behandlingen för att avgöra om en konsekvensbedömning är nödvändig i det enskilda fallet.
Ifylld konsekvensbedömning ska skickas till dataskyddsombudet angett ovan. Utgångspunkten är att invänta dataskyddsombudets synpunkter och rekommendationer innan behandlingen påbörjas. Denna mall ägs och förvaltas av koncernens dataskyddsombud. Har du synpunkter på mallen och dess innehåll, kontakta koncernens dataskyddsombud. För vidare frågor och vägledning, kontakta ditt dataskyddsombud.
Hur mallen ska användas
Denna mall för konsekvensbedömning ska användas under hela konsekvensbedömningsprocessen och fyllas i med stöd av ditt dataskyddsombud. Boka gärna in ett uppstartsmöte med ditt dataskyddsombud för att gå igenom mallens innehåll. Informationen ska lämnas löpande och kan upprepas i mallen. Om ni har skickat mallen till dataskyddsombudet och därefter genomför nya ändringar i mallen, ska en ny version skickas till dataskyddsombudet. Invänta dataskyddsombudets synpunkter innan ni går vidare med den tilltänkta personuppgiftsbehandlingen. Konsekvensbedömningen ska godkännas innan något avtal med en ny leverantör ingås. Anledningen till detta är att konsekvensbedömningen kan påvisa risker eller andra aspekter som kan påverka avtalsförhandlingen, leverantörens lämplighet och beslutet att gå vidare med leverantören.
Bilagor
Bilaga 1 Övergripande process vid genomförandet av en konsekvensbedömning
Bilaga 2 Kategorier av personuppgifter
Bilaga 3 Kartläggning av vilka personuppgifter som inhämtas
Bilaga 4 Riskbedömning och handlingsplan
Bilaga 5 Tredjelandsöverföringar
Del II – Beskrivning
Syftet med denna del av konsekvensbedömningen är att dataskyddsombudet ska få en bättre förståelse för hur den tilltänkta personuppgiftsbehandlingen ska gå till. Beskriv personuppgiftsbehandlingen så utförligt som möjligt. Tveka inte att kontakta ditt dataskyddsombud för vidare vägledning.
Beskrivning av omfattning |
Beskrivning |
||||
2.1 |
Ange ytterligare information om omfattningen (projekt, applikationer, processer, föreskrifter, etc.) för att klargöra varför personuppgiftsbehandlingen kommer att genomföras. Motivera varför personuppgifterna kommer att behandlas. |
|
|||
2.2 |
Ange deltagarna och kontaktpersoner för denna konsekvensbedömning. Ange även om dataskyddsombudet är involverad i konsekvensbedömningen. |
|
|||
2.3 |
Beskriv i korthet hur konsekvensbedömningen kommer att/har utförts (under vilken tidsperiod, utförda workshops, etc.). |
|
|||
Systematisk beskrivning av personuppgiftsbehandlingen |
Beskrivning |
||||
2.4 |
Ange ändamål/syfte, omfattning, sammanhang för personuppgiftsbehandlingen (punkt 2.2 i rutinen)4. |
|
|||
2.5 |
Ange laglig grund för respektive personuppgiftsbehandling.5 Ange även motivering till val av laglig grund. |
|
|||
2.5.1 |
Om samtycke har angetts som laglig grund, hur ska samtycket inhämtas?6 |
|
|||
2.5.2 |
Vilken information lämnas till de registrerade?7 |
|
|||
2.6 |
Ange vilka kategorier av registrerade som omfattas av personuppgiftsbehandlingen.8 |
|
|||
2.7 |
Ange antal registrerade som omfattas av personuppgiftsbehandlingen. |
☐ 1-10 ☐ 11-100 ☐ 101-1000 ☐ 1001-10 000 ☐ 00 000-000 000 ☐ 100 001-500 000 ☐ 500 001-1 000 000 ☐ Över 1 000 000 |
|||
2.8 |
Ange vilka personuppgifter som är nödvändiga att samla in för ändamålet, inbyggt dataskydd9, (punkt 2.3 i rutinen).10 Ange samtliga personuppgifter som kommer att behandlas. |
Fyll i bilaga 3. |
|||
2.9 |
Ange hur många personuppgifter om de registrerade som personuppgiftsbehandlingen omfattas. |
☐ 1-10 ☐ 11-100 ☐ 101-1000 ☐ 1001-10 000 ☐ 00 000-000 000 ☐ 100 001-500 000 ☐ 500 001-1 000 000 ☐ Över 1 000 000 |
|||
2.10 |
Ange hur personuppgifterna ska inhämtas för personuppgiftsbehandlingen (punkt 2.4 i rutinen).11 |
|
|||
2.11 |
Kommer de registrerade att informeras om personuppgiftsbehandlingen? Om ja, vilken information kommer att lämnas och hur?12 |
|
|||
2.12 |
Ange vilka andra mottagare som personuppgifterna kommer att delas med.13 |
|
|||
2.13 |
Ange en tidsfrist för hur länge personuppgifterna kommer att lagras (punkt 2.5 i rutinen).14 Ange en motivering till aktuell tidsfrist. |
|
|||
2.14 |
Ange var och hur personuppgifterna kommer att lagras (punkt 2.6 i rutinen).15 Om personuppgifterna ska lagras i ett befintligt system inom AcadeMedia-koncernen, bifoga även relevant dokumentation? |
|
|||
2.15 |
En funktionell beskrivning av behandlingen tillhandahålls.16 |
|
|||
2.16 |
Ange de identifierade verktygen (tillgångar) som är nödvändiga för personuppgiftsbehandlingen (maskinvara, programvara, nätverk, personer, papper eller spridningskanaler för papper).17 |
|
|||
2.17 |
Har en riskbedömning genomförts för att analysera hur brott mot sekretess, integritet och tillgänglighet påverkar de registrerade? Till exempel obehörig åtkomst, obehörig/oönskad ändring eller förlust av personuppgifter (inkl risker/hot som kan leda till detta). Svara Ja/Nej. Om ja, bifoga relevanta dokument. Om nej, fyll i bilaga 4. |
☐ JA Följande dokument bifogas:
☐ NEJ Fyll i bilaga 4. |
|||
2.18 |
Har en bedömning genomförts för att analysera säkerhetsriskerna och har en plan för att hantera dessa risker utvecklats?18 Svara Ja/Nej. Om ja, bifoga relevanta dokument. Om nej, fyll i bilaga 4. |
☐ JA Följande dokument bifogas:
☐ NEJ Fyll i bilaga 4. |
|||
2.19 |
Ange vilka tekniska säkerhetsåtgärder19 som har vidtagits eller planeras att vidtas för att skydda personuppgifterna. Motivera val av säkerhetsåtgärd. |
|
|||
2.20 |
Ange vilka organisatoriska säkerhetsåtgärder20 som har vidtagits eller planeras att vidtas för att skydda personuppgifterna. Motivera val av säkerhetsåtgärd. |
|
|||
2.21 |
Ange vilka legala säkerhetsåtgärder21 som har vidtagits eller planeras att vidtas för att skydda personuppgifterna. |
|
|||
2.22 |
Uppfyller personuppgiftsbehandlingen AcadeMedias gällande regler och policyer22 (inklusive standarder för tekniska och säkerhetsåtgärder23)? Svara Ja/Nej. |
☐ JA ☐ NEJ Kontakta Risk and Security Lead. |
|||
2.23 |
Utförs personuppgiftsbehandlingen av en tredje part (extern leverantör)? Om ja, har ett personuppgiftsbiträdesavtal tecknats?24 Fyll i namn och kontaktuppgifter till leverantören. |
☐ JA Fyll i namn och kontaktuppgifter till leverantören: ☐ NEJ Gå vidare till punkt 2.24. |
|||
2.23.1 |
Vilken organisation bestämmer om personuppgifter överhuvudtaget ska samlas in? Ange Academedia eller leverantören samt en motivering till varför en viss part bestämmer detta. |
☐ AcadeMedia ☐ Leverantören
Motivering;
|
|||
2.23.2 |
Vilken organisation bestämmer vad som ska göras med personuppgifterna? Ange Academedia eller leverantören samt en motivering till varför en viss part bestämmer detta. |
☐ AcadeMedia ☐ Leverantören
Motivering;
|
|||
2.23.3 |
Vilken organisation bestämmer vilka individer man ska samla in data från? Ange Academedia eller leverantören samt en motivering till varför en viss part bestämmer detta. |
☐ AcadeMedia ☐ Leverantören
Motivering;
|
|||
2.23.4 |
Vilken organisation bestämmer om personuppgifterna ska delas, och varför de ska delas? Ange Academedia eller leverantören samt en motivering till varför en viss part bestämmer detta. |
☐ AcadeMedia ☐ Leverantören
Motivering;
|
|||
2.23.5 |
Vilken organisation bestämmer hur länge personuppgifterna ska sparas? Ange Academedia eller leverantören samt en motivering till varför en viss part bestämmer detta. |
☐ AcadeMedia ☐ Leverantören
Motivering;
|
|||
2.23.6 |
Ange vilka nödvändiga regler och rutiner leverantören har implementerat för att säkerställa dataskydd och regelefterlevnad.25 |
|
|||
2.23.7 |
Ange om leverantören har drabbats av några personuppgiftsincidenter det senaste året.26 |
☐ JA ☐ NEJ ☐ Inte säker |
|||
2.24 |
Överförs personuppgifterna utanför EU/EES? Antingen inom AcadeMedia-koncernen eller genom tredje part? Ange ja/nej |
☐ JA Kontakta ditt dataskyddsombud för att få stöd i att fylla i bilaga 5. ☐ NEJ
Motivering;
|
|||
Medverkan från berörda parter |
JA |
NEJ |
Kommentar |
||
2.25 |
Kommer förhandssamråd från tillsynsmyndigheten att efterfrågas?27 Om nej, ange skäl i kommentarsfältet, om ja, kontakta dataskyddsombudet. |
☐ |
☐ |
|
|
2.26 |
Har dataskyddsombudet rådfrågats? Ange dataskyddsombudets råd under punkt 2.22.28 |
☐ |
☐ |
|
|
2.27 |
Har de registrerades eller deras företrädares synpunkter efterfrågats? |
☐ |
☐ |
|
|
Dataskyddsombudets råd och rekommendationer |
Kommentar |
||||
2.28 |
Ange dataskyddsombudets råd i kommentarfältet. |
|
|||
Del III – Bedömning – denna del fylls i av dataskyddsombudet
BEDÖMNING – DEL 1 |
JA |
NEJ |
Kommentar |
|
Åtgärder som bidrar till att personuppgiftsbehandlingen är proportionell och nödvändig |
||||
3.1 |
Personuppgiftsbehandlingens ändamål är uttryckligt angivna. |
☐ |
☐ |
|
3.2 |
Laglig grund för personuppgiftsbehandlingen är tydligt angiven. |
☐ |
☐ |
|
3.3 |
Om samtycke används som laglig grund, har det säkerställts att samtycket är giltigt och följer lagkrav. |
☐ |
☐ |
|
3.4 |
Om berättigat intresse (intresseavvägning) används som laglig grund så har det säkerställts att syftena är legitima och att intresseavvägningen finns dokumenterad. |
☐ |
☐ |
|
3.5 |
Personuppgiftsbehandlingen är relevant för angivet ändamål och endast relevanta personuppgifter samlas in. |
☐ |
☐ |
|
3.6 |
Lagringstiden för personuppgifterna framgår tydligt och gallring genomförs i enlighet med Academedias arkiveringsplan.29 |
☐ |
☐ |
|
Åtgärder som stärker de registrerades rättigheter |
||||
3.7 |
Information om personuppgiftsbehandlingen till de registrerade är transparent, har lämnats i tid och finns lättillgänglig för de registrerade. De registrerade informeras om eventuella ändringar i informationen. |
☐ |
☐ |
|
3.8 |
Identiteten på de registrerade har kontrollerats på ett tillförlitligt sätt innan några personuppgifter har lämnats ut. |
☐ |
☐ |
|
3.9 |
De registrerades rätt till dataportabilitet, begränsning av personuppgiftsbehandlingen, göra invändningar, bli bortglömd, rättelse, och radering och rätt till tillgång, har övervägts.30 |
☐ |
☐ |
|
3.10 |
Rutin för att hantera klagomål från de registrerade finns. |
☐ |
☐ |
|
3.11 |
Om det förekommer automatiserat beslutsfattande: det finns möjlighet för de registrerade att motsätta sig beslutet och få det omprövat. |
☐ |
☐ |
|
3.12 |
En bedömning om det föreligger en biträdessituation har gjorts. |
☐ |
☐ |
|
3.13 |
Tillräckliga skyddsåtgärder för internationella överföringar (tredjelandsöverföring) har vidtagits. |
☐ |
☐ |
|
3.14 |
Förhandssamråd från tillsynsmyndigheten har begärts in. |
☐ |
☐ |
|
BEDÖMNING – DEL 2 |
JA |
NEJ |
Kommentar |
|
Risker för de registrerades rättigheter och friheter |
||||
3.15 |
Är riskerna för de registrerades rättigheter och friheter tydligt angivna och förstådda? Ange riskerna i kommentarsfältet. |
☐ |
☐ |
|
3.16 |
Har åtgärder vidtagits för att hantera/minimera dessa risker för de registrerades rättigheter och friheter? Ange vidtagna åtgärder i kommentarsfältet. |
☐ |
☐ |
|
3.17 |
En bedömning har gjorts av personuppgifternas känslighetsgrad. |
☐ |
☐ |
|
3.18 |
Behandlingen av nationella identifikationsnummer är under kontroll. |
☐ |
☐ |
|
3.19 |
Behandlingen av känsliga personuppgifter är under kontroll. |
☐ |
☐ |
|
3.20 |
Behandlingen av personuppgifter om barn är under kontroll. |
☐ |
☐ |
|
BEDÖMNING – DEL 3 |
JA |
NEJ |
Kommentar |
|
Säkerhet och incidenthantering |
||||
3.21 |
Åtgärder vidtas för att säkerställa säkerheten för de personuppgifter som behandlas. |
☐ |
☐ |
|
3.22 |
Principen om inbyggt dataskydd och dataskydd som standard finns med i arbetet från start. |
☐ |
☐ |
|
3.23 |
Systemanvändares åtkomst till personuppgifter styrs med lämplig behörighet. |
☐ |
☐ |
|
3.24 |
Aktiviteter inom IT-systemen är spårbara. |
☐ |
☐ |
|
3.25 |
En etablerad process för incidenthantering finns. |
☐ |
☐ |
|
3.26 |
Eventuella personuppgiftsbiträden har en etablerad process för incidenthantering. |
☐ |
☐ |
|
3.27 |
Om personuppgifter röjs finns en rutin för hur riskerna för de registrerade begränsas. |
☐ |
☐ |
|
3.28 |
Värsta tänkbara scenario finns i åtanke vid bedömningar av åtgärder som vidtas. |
☐ |
☐ |
|
Del IV – Resultat och uppföljning – denna del fylls i av dataskyddsombudet
RESULTAT: Resultat av konsekvensbedömningen |
JA |
NEJ |
Kommentar |
|
4.1 |
Resultatet av denna konsekvensbedömning visar att hanteringen av riskerna till de registrerades rättigheter och friheter är tillräckliga. Om nej, ange vilka åtgärder som ska vidtas nedan. |
☐ |
☐ |
|
4.2 |
Rekommendationer/Villkor från relevanta roller inom AcadeMedia-koncernen har inhämtats (dataskyddsombud). |
☐ |
☐ |
|
4.3 |
Kommer konsekvensbedömningen att delas med tillsynsmyndigheten? |
☐ |
☐ |
|
UPPFÖLJNING: Sammanställning av uppföljningsåtgärder |
Avslutad? |
Kommentar |
|
4.4 |
Beslut om att gå vidare med personuppgiftsbehandlingen. Ange beslutet i kommentarsfältet. |
|
|
4.5 |
[Egen identifierad åtgärd 1] |
|
|
4.6 |
[Egen identifierad åtgärd 2] |
|
|
4.7 |
[Egen identifierad åtgärd 3] |
|
|
|
|
|
|
Bilaga 1 - Övergripande process vid genomförandet av en konsekvensbedömning
Bilaga 2 – kategorier av personuppgifter
Tabellen nedan illustrerar olika kategorier av personuppgifter. Ange samtliga personuppgifter som behandlas i punkt 2.7 i konsekvensbedömningen.
|
Kategorier av personuppgifter |
Personuppgifter |
1 |
HR-uppgifter |
|
2 |
Identifierande personuppgifter |
|
3 |
Relationsuppgifter |
|
4 |
Elevuppgifter |
|
5 |
Media uppgifter |
|
6 |
Känsliga personuppgifter |
|
7 |
Spårningsdata |
|
8 |
Klassificeringsdata |
|
9 |
Data om resursposter |
|
10 |
Extra skyddsvärda personuppgifter |
|
Bilaga 3 – personuppgifter som inhämtas
Person31 |
Kategori av de registrerade32 |
Typ av person-uppgift |
Ändamål och rättslig grund för person-uppgifts-behandling |
Källan som person-uppgiften inhämtas ifrån |
Andra mottagare som person-uppgifterna delas till33 |
Roll i systemet |
Syfte till behandling och åtkomst34 |
Åtkomst och vy, varför skiljer behörighet åt? 35 |
Gallring36 |
Nivå på person-uppgifter37 |
Elev |
Barn i förskolan |
Personnummer |
Allmänt intresse |
Inmatning av elevens skola antingen genom formulär eller importering av excelfiler från Schoolsoft alt annan lärplattform |
SCB |
Ingen inloggning |
Säkerställa rättigheter, rättssäker bedömning, eventuellt särskilt stöd, extra anpassningar. Grund för fakturaunderlag. |
Ingen åtkomst |
|
Nivå 2 integritetskänsliga personuppgifter |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Bilaga 4 – riskbedömning och handlingsplan
Riskvärdet i riskbedömningen beräknas genom att sannolikheten multipliceras med konsekvensen. Summan motsvarar riskvärdet. För respektive risk källa och dess konsekvenser ska sannolikheten och konsekvensen värderas. Detta sker genom att ett värde mellan 1 till 5 anges under sannolikhet respektive konsekvens på respektive risk. Notera att angivna riskkällor och konsekvenser utgör exempel på risker som kan förekomma vid behandling av personuppgifter. Då detta är en mall för att genomföra en riskbedömning, ska riskkällor och konsekvenser ersättas med innehåll som är relevanta för den aktuella personuppgiftsbehandlingen.
Riskbedömning och handlingsplan |
||
Juridiskt bolag: |
Varumärke: |
Datum: |
Deltagare: |
Framtagen av: |
Godkänd av: |
Riskbedömning |
||||
|
Risk källa och konsekvenser38 |
Sannolikhet39 |
Konsekvens40 |
Riskvärde41 |
1 |
[Risk för ostrukturerad data vid design av systemet.] |
Ange ett värde mellan 1-5. |
|
|
2 |
[Risk att nyckel/ID utgör en identifierande personuppgifter.] |
|
|
|
3 |
[Risk för att personuppgifter framgår av loggar.] |
|
|
|
4 |
[Risk för felaktig användning av egna respektive gruppkonton.] |
|
|
|
5 |
[Behörighetsstyrning för respektive roll i systemet.] |
|
|
|
6 |
[Risk för felaktig hantering av personuppgifter då regelverk/förhållningssätt saknas.] |
|
|
|
7 |
[Process för hantering av personuppgiftsincident i biträdessituationer saknas.] |
|
|
|
8 |
[Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. Process för dataportabilitet saknas.] |
|
|
|
9 |
[Risk för att ostrukturerad data behandlas utanför systemet] |
|
|
|
10 |
|
|
|
|
Handlingsplan |
||||
|
Åtgärd42 |
Ansvarig |
Beräknat åtgärdat |
Kontroll utförd (datum) |
1 |
Vid design, beakta och minimera ostrukturerad lagring då datainnehåll inte går att reglera samt ta ställning till vid gallring. Ex. fritextfält och kopplade dokument. |
[Projektledare namn] |
[datum] |
[datum] |
2 |
Säkerställ att personuppgifter inte används som ID-nyckel och på så vis distribueras på fel sätt. Exempelvis referensnummer, medlemsnummer, OCR-nummer. Använd en uppgift som kräver vidare inlogg till ett annat system för identifiering. |
|
|
|
3 |
Vid design, säkerställ att loggning av personuppgifter sker i så liten utsträckning som möjligt. Välj om möjligt annan identifierare. |
|
|
|
4 |
Fastställ utifrån risk-/säkerhet/integritetsaspekt i vilka sammanhang som individuella användarkonton respektive gemensamma konton ska användas. |
|
|
|
5 |
Fastställ vilka funktionärsroller (säkerhetsroller) som ska användas, utifrån principen att användarna endast ska ha åtkomst till de uppgifter som de behöver. Det är av yttersta vikt att löpande utvärdera vidtagna åtgärder för att säkerställa att personuppgifterna som hanteras i systemet utgör ett fullgott skydd. |
|
|
|
6 |
Utarbeta regelverk/förhållningssätt till personuppgifter i dokumentation såsom användarmanualer, utbildningsmaterial, systemdokumentation, utvecklingsverktyg. |
|
|
|
7 |
Om ni blir biträde till någon extern part är det viktigt att projektet tar fram en process för personuppgiftsincidenter. Om detta blir aktuellt, kontakta dataskyddsombuden för att säkerställa PUB-avtalet. |
|
|
|
8 |
Upprätta en automatisk (eller manuell), process för att säkerställa dataportabilitet. |
|
|
|
9 |
Förutse och planera för flöden/lagring av ostrukturerade personuppgifter utanför systemet samt hur dessa säkrast hanteras. |
|
|
|
10 |
|
|
|
|
Bilaga 5 – tredjelandsöverföringar
Utgångspunkten är att personuppgifter inte får behandlas utanför EU/EES. Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES. Att överföra personuppgifter till ett land utanför EU/EES kallas för tredjelandsöverföring.
Exempel på överföring av personuppgifter till tredje land:
När ni skickar dokument som innehåller personuppgifter per e-post till någon i ett land utanför EU/EES.
När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
När ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
När ni lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.
Varför är det höga krav att överföra personuppgifter utanför EU/EES?
GDPR ger individer och dess personuppgifter ett fullgott integritetsskydd då förordningen ställer höga krav på hur personuppgifter får behandlas. Förordningens tillämpningsområde är inom EU. Detta innebär således att länder utanför EU inte har samma krav på hur personuppgifterna får behandlas. För att individerna och dess personuppgifter ska erhålla ett likvärdigt skydd som inom EU behöver ytterligare skyddsåtgärder vidtas för att skydda personuppgifterna.
När är överföring av personuppgifter utanför EU/EES tillåten?
Överföring av personuppgifter till ett tredjeland bara får ske under förutsättning att det aktuella tredjelandet säkerställer en adekvat skyddsnivå för dessa uppgifter. EU-kommissionen kan besluta att tredjelandet i fråga säkerställer en adekvat skyddsnivå. De länder som per den 14 april 2021 enligt EU-kommissionen har en adekvat skyddsnivå43 är;
Andorra
Argentina
Bailiwick of Guernsey
Färöarna
Isle of Man
Israel
Japan
Jersey
Nya Zeeland
Schweiz
Uruguay
EU-kommissionen har tidigare bedömt att skyddsnivån är adekvat i USA, om mottagaren har anslutit sig till så kallade Privacy Shield. Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. Enligt ett beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield. Schrems II domen44 från juli 2020 innebär att regelverket Privacy Shield har ogiltigförklarats, vilket innebär att någon annan laglig grund för, s.k. överföringsmekanism, behöver nyttjas vid tredjelandsöverföringar.
Utöver länderna som angetts ovan finns det andra sätt att överföra personuppgifter till ett land utanför EU/EES trots att EU-kommissionen inte har säkerställt en adekvat skyddsnivå. För att överföringen ska vara tillåten enligt GDPR krävs det att lämpliga skyddsåtgärder vidtas. Följande lämpliga skyddsåtgärder finns att tillgå:
bindande företagsbestämmelser
Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av Integritetsskyddsmyndigheten eller någon annan tillsynsmyndighet i EU.
standardavtalsklausuler som EU-kommissionen har beslutat om
EU-kommissionen har godkänt vissa standardavtalsklausuler som handlar om dataskydd (Standard Contractual Clauses, SCC). Observera dock att ni inte får ändra i klausulerna. Om det är nödvändigt kan ni få lägga till klausuler om affärsrelaterade frågor, men sådana får då inte strida mot någon standardavtalsklausul. Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga som vill föra över personuppgifter till länder utanför EU/EES, dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter. Klausulerna reglerar också andra frågor kring överföringen, till exempel de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas. Det finns tre alternativ att välja mellan när det gäller standardavtalsklausuler. Alla tre har godkänts av EU-kommissionen.45
godkända uppförandekoder eller certifieringsmekanismer
Om ni ansluter er till en godkänd uppförandekod eller godkänd certifieringsmekanism kan det vara tillåtet att överföra personuppgifter till länder utanför EU/EES. Detta gäller under förutsättning att dessa medför rättsligt bindande och verkställbara skyldigheter även för mottagaren av personuppgifterna.
rättsligt bindande instrument mellan myndigheter
Det är tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Ett sådant instrument mellan myndigheter kan vara ett samförståndsavtal eller ett informationsutbytesavtal inom till exempel skatteområdet.
Syftet med detta avsnitt är att förtydliga för dataskyddsombudet hur personuppgifterna ska överföras utanför EU och om överföringen är tillåten. Dataskyddsombudet förväntas få en övergripande bild av hur personuppgifterna i den tilltänka behandlingen kommer att skyddas. Vilka skyddsåtgärder som leverantören vidtar kan framgå av personuppgiftsbiträdesavtalet och dess bilagor.
ÖVERFÖRINGSMEKANISM |
Kommentar |
Ange vilken överföringsmekanism som används.46 |
|
Ange motivering till val av överföringsmekanism. |
|
Ange vilka skyddsåtgärder47 har ni vidtagit/planerat att vidta för att säkerställa skyddet för personuppgifterna. Motivera val av skyddsåtgärd. |
|
1 Personuppgiftsansvarig är det juridiska bolaget som ansvarar för personuppgifterna, antingen huvudmannen för den skola som avses eller AcadeMedia Support AB. De bolag som ingår i AcadeMedia-koncernen är; AcadeMedia Eductus AB, AcadeMedia Fria Grundskolor AB, Academedia Support AB, Coaching och Matchning i Sverige AB, Didaktus Skolor AB, Didaktus Utbildningar AB, DBGY Kronan AB, EC-Utbildning AB, Framtidsgymnasiet i Göteborg AB, Framtidsgymnasiet i Sverige AB, Framtidsgymnasiet Öst AB, Hagströmska Gymnasiet AB, Hermods AB, KLARA Gymnasium Bildning AB, NTI Gymnasiet Ellips AB, NTI Gymnasiet Helix AB, KLARA Gymnasium Kunskap AB, Komptensutvecklingsinstitutet Sverige AB, Ljud & Bildskolan LBS AB, KLARA Gymnasium Lärande AB, Movant AB, NTI Gymnasiet AB, NTI-skolan AB, Designgymnasiet i Sverige AB, DBGY Juvelen AB, Plushögskolan AB, Praktiska i Sverige AB, Procivitas Privata Gymnasium AB, Primaskolan AB, Pysslingen Förskolor och Skolor AB, Rytmus AB, Sjölins Gymnasium AB, Sälj- och marknadshögskolan i Sverige AB, TGA Utbildning AB, Omniway AB och Vittraskolorna AB.
2 Om personuppgifterna behandlas i exempelvis ett system som tillhandahålls av en extern leverantör, ange bolagets namn. Till exempel SchoolSoft, CGM (PMO).
3 Exempelvis barn i förskolan, elever i grundskolan, vårdnadshavare, elever i gymnasieskolan, deltagare inom vuxenutbildning, medarbetare, konsulter och leverantörer.
4 Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Därför måste du ha klart för dig varför du ska behandla personuppgifterna redan när du börjar samla in dem. Ändamålet sätter ramarna för vad du får och inte får göra.
5 Det finns sex lagliga grunder. AcadeMedia grundar stora delar av sin personuppgiftsbehandling på allmänt intresse. (1) Samtycke: Den registrerade har sagt ja till personuppgiftsbehandlingen. Undvik denna lagliga grund i största möjliga mån. (2) Avtal: Den registrerade har ett avtal eller ska ingå ett avtal med AcadeMedia. (3) Intresseavvägning: En bedömning av vårt intresse att behandla personuppgifterna för det aktuella ändamålet vägs mot de registrerades personliga integritet. (4) Rättslig förpliktelse: Det finns lagar eller regler som gör att vi måste behandla vissa personuppgifterna. (5) Myndighetsutövning och uppgift av allmänt intresse: Personuppgiftsbehandlingen måste genomföras för att myndighetsuppgifter ska utföras eller för att utföra en uppgift av allmänt intresse. (6) Grundläggande intresse: Personuppgiftsbehandlingen måste ske för att skydda en registrerad som inte kan lämna samtycke, till exempel om den är medvetslös.
6 Kraven för att inhämta korrekt, frivilligt, samtycke är högt ställda. Beskriv tydligt hur det tilltänkta samtycket ska inhämtas.
7 Hur ett samtycke ska vara utformat och vilken information som ska lämnas till de registrerade framgår här. Om nya informationstexter tas fram eller om befintliga texter omarbetas, ska texten skickas till ditt dataskyddsombudditt dataskyddsombud för granskning.
8 Olika kategorier av registrerade; (a) medarbetare, (b) barn (förskola), (c) elever (grundskola, gymnasiet), (d) vuxendeltagare, (e) kunduppgifter, (f) HR-relaterad information, (g) känsliga personuppgifter. Se även bilaga 2 Kategorier av personuppgifter.
9 Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas. Se bilaga 2 för förteckning över olika kategorier av personuppgifter.
10 Se bilaga 3, kartläggning av personuppgifter som inhämtas.
11 Personuppgifter som vi hämtar in ska vara riktiga och korrekta, därför är det viktigt att tänka på hur du vill hämta in personuppgifterna. Om det är från de registrerade själva eller en annan källa. Ange om personuppgifterna inhämtas från de registrerade eller extern källa och i så fall från vilken extern källa. Det kan exempelvis vara ett befintligt system som SchoolSoft, PMO, Omniway eller Novo.
12 De registrerade har rätt att få information om hur deras personuppgifter behandlas. Om någon ny text tas fram eller om en befintlig text omarbetas, ska texten skickas till ditt dataskyddsombud för granskning.
13 Med andra mottagare avses exempelvis Skatteverket, Finansinspektionen, Polismyndigheten, Pensionsmyndigheten, andra myndigheter, dotterbolag inom AcadeMedia. För vidare vägledning kontakta ditt dataskyddsombud. Ange samtliga mottagare som personuppgifterna delas till.
14 Vi har en skyldighet att radera personuppgifterna när de inte längre behövs, därför måste du tänka på hur länge du behöver uppgifterna för att uppnå syftet med behandlingen. Fundera på hur personuppgifterna ska raderas/gallras, vem ansvarar för att gallring sker och hur ofta ska gallring ske. Jmf med AcadeMedias arkiveringsplan.
15 Fundera över var du ska förvara personuppgifterna, om det är på någon plattform vi redan använder eller om de förvaras hos ett annat företag som vi anlitar. Fundera över vilka behörigheter som krävs för hanteringen av personuppgifterna. Vi har en skyldighet att skydda personuppgifterna, till exempel att förhindra obehörig tillgång och att de inte förloras eller förstörs.
16 Beskriv hur personuppgiftsbehandlingen sker i praktiken.
17 Ange vilka verktyg som är nödvändiga för personuppgiftsbehandlingen. En konsekvensbedömning/riskanalys kan behöva genomföras för en teknisk produkt, till exempel maskinvara eller programvara, som sannolikt kommer att användas för att behandla olika personuppgifter. Det kan vara så att extern programvara används för att behandla personuppgifterna. Maskinvara, programvara, nätverk, personer, papper eller spridningskanaler för papper är endast exempel på verktyg som kan användas i personuppgiftsbehandlingen och samtliga alternativ är inte nödvändigtvis applicerbara på samtliga personuppgiftsbehandlingar.
18 Grundläggande krav kring IT-säkerhet finns här; xxxxx://xxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XX/xxxxx/000000000/XxxxxxxxXX-xxxxxxxxxxxxxxxxxxxxxxx. För åtkomst till dokumentet kontakta Risk and Security Lead.
19 Med tekniska åtgärder avses exempelvis: (1) cybersäkerhet, exempelvis brandväggar, genomsökningar av skadlig programvara, antivirusskydd, korrigeringar och uppdatering av programvaran vid behov, (2) kryptering och pseudonymisering, (3) fysisk säkerhet, åtgärder och protokoll för att säkra åtkomst till alla kontor eller byggnader, larm och åtkomstloggar, (4) lämplig gallring, dokument och enheter som innehåller personuppgifter måste gallras på ett sätt som innebär att personuppgifter inte sprids till obehörig person, varken avsiktligt eller oavsiktligt. Överväg att strimla dokument och säker kassering av digitala databaser och hårdvaruenheter, (5) säkra lösenord, se till att dokument som innehåller känsliga data är lösenordsskyddade. Behöver ni hjälp med säkra lösenord, kontakta IT, (6) Åtkomsträttigheter, se till att åtkomst till databaser som innehåller personuppgifter beviljas på ett behov-att-veta-basis och att det inte finns någon fullständig tillgång till alla anställda. Detta är väldigt viktigt med tanke på de senaste sanktionsavgifterna till vårdgivare, som inte bedömde vilka anställda som behöver tillgång till vissa uppgifter och gav allmän tillgång till alla anställda.
20 Organisatoriska åtgärder kan bestå av interna policyer, organisationsmetoder eller standarder, kontroller och revisioner som kan tillämpas för att säkerställa säkerheten för personuppgifter. De kan inkludera, men är inte begränsade till: (1) informationssäkerhetspolicy, (2) kontinuitetsplan som innehåller policyer och åtgärder för att säkerhetskopiera affärsdata (som inkluderar personuppgifter) och se till att den kan återställas och underhållas i händelse av en incident. (3) riskbedömningar, utöver att det kan vara ett rättsligt krav, kan riskbedömningar som utvecklar mildringslösningar utgöra en effektiv förebyggande åtgärd. (4) medvetenhet och utbildning, det finns en kultur av säkerhet och medvetenhet om dataskydd säkerställer att anställda känner till de juridiska kraven och vad som förväntas av dem. Regelbunden och fortlöpande utbildning samt att öka medvetenhetsaktiviteter kan vara en effektiv åtgärd. (5) granskningar och revisioner, det är viktigt att säkerställa att policyer och rutiner är effektiva. Därför är det viktigt att upprätta kontroller och revisioner för att utvärdera effektiviteten, korrigera vad som inte fungerar och förbättra vad som kunde ha gjorts bättre. (6) Due diligence, säkerställ att eventuella leverantörer (biträden) som anlitas är lämpliga. Kontakta ditt dataskyddsombud för stöd i att bedöma lämpligheten i en leverantör som ni anlitar.
21 Med legala åtgärder avses exempelvis PUB-avtal, rutiner och riktlinjer samt annan dokumentation.
22 AcadeMedias policyer finns här; xxxxx://xxxxxxxxxxx.xxxxxxxxxx.xx/xx-xxxxxxxxxx/xxxxxxxx/.
23 AcadeMedias tekniska riktlinjer finns här; xxxxx://xxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XX/xxxxx/000000000/Xxxxxxxxxxxxxxxxxxx. För åtkomst till dokumentet kontakta Risk and Security Lead.
24 Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. AcadeMedias mall för personuppgiftsbiträdesavtal kommer i två olika versioner. För vägledning, kontakta ditt dataskyddsombud.
25 Säkerställ att följande rutiner finns på plats: (1) dataskyddspolicy, (2) incidentidenfiering, (3) incidentrapportering, (4) gallringspolicy, (5) hantering av individers rättigheter, (6) informationssäkerhet, (7) IT säkerhet och (8) cyber security.
26 En incident är en situation där personuppgifter genom misstag eller uppsåt kan ha blivit förstörda, förlorade, ändrade, röjda eller tillgängliga för obehöriga parter.
27 I konsekvensbedömningen ska ni tydligt dokumentera vad ni ska göra för att garantera säkerheten i personuppgiftsbehandlingen. Om ni ändå anser att det finns hög risk med personuppgiftsbehandlingen ska ni kontakta dataskyddsombudet för att samråda med tillsynsmyndigheten innan behandlingen påbörjas. Det kan till exempel vara att riskerna inte kan begränsas tillräckligt genom åtgärder som är rimliga med tanke på tillgänglig teknik och kostnader. Förhandssamråd samordnas av dataskyddsombudet.
30 De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. Läs mer här.
31 Vems personuppgifter behandlas?
32 Ange en av följande kategorier; (1) barn i förskolan, (2) elev i grundskolan, (3) elev i gymnasieskolan, (4) studerande inom vuxenutbildning, (5), vårdnadshavare i förskola/grundskola/gymnasieskola, (6) leverantör.
33 Med andra mottagare avses exempelvis Skatteverket, Finansinspektionen, Polismyndigheten, Pensionsmyndigheten, andra myndigheter, dotterbolag inom AcadeMedia. För vidare vägledning kontakta ditt dataskyddsombud.
34 Ange syfte med personuppgifterna och varför en viss åtkomst är nödvändig.
35 Har systemet förinställda roller som exempelvis elev, vårdnadshavare, ska dessa anges här.
36 När gallras personuppgifterna från systemet? Ange tidsfrist här. Jmf med AcadeMedias arkiveringsplan.
37 Nivå 0 är offentliga personuppgifter. Nivå 1 är okänsliga personuppgifter, exempelvis namn, adress, betyg eller skola. Nivå 2 är integritetskänsliga personuppgifter, exempelvis personnummer, hemförhållanden, ekonomi. Beteenden, kränkande behandling eller utdrag ur belastningsregistret. Nivå 3 är känsliga personuppgifter, personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
38 Angivna riskkällor och konsekvenser utgör endast exempel på vad riskbedömningen kan innehålla. Samtliga punkter ska ersätta med risker och konsekvenser som är applicerbara för den specifika personuppgiftsbehandlingen som denna konsekvensbedömning avser.
39 Sannolikhet kan beräknas utifrån följande: (1) om liknande risker har infallit tidigare, (2) hur stor exponeringen av risken är och (3) statistik från omvärldsbevakning.
40 Konsekvens om risk infaller kan beräknas utifrån följande: (1) antal personer som kan bli drabbade, (2) hur allvarligt personer kan bli drabbade, (3) hur stor kostnad det kan bli för AcadeMedia-koncernen och (4) om det finns risk för anseende och medial skada.
41 Sannolikhet * Konsekvens = Riskvärde. Sannolikhet eller konsekvens kan ha maxpoäng 5 vilket innebär att riskvärde kan ha maxpoäng 25. Desto högre riskvärde desto allvarligare risk.
42 Angivna åtgärder utgör endast exempel på vad handlingsplanen kan innehålla. Samtliga punkter ska ersätta med åtgärder som är applicerbara för den specifika personuppgiftsbehandlingen som denna konsekvensbedömning avser.
43 xxxxx://xxx.xxx.xx/xxxxx--xxxxxx/xxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxx/xxx-xxx-xx-xx-xxx-xxxxxx-xxxx-xxx-xxxxxxx-xxxxxxxxxx/
45 Standardavtalsklausulerna finns här: xxxxx://xxx.xxx.xx/xxxxx--xxxxxx/xxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxx/xxx-xxxxxx-xx-xxxxxxxx-xxxxxxxxxxxxxx/
46 Följande överföringsmekanismer finns tillgängliga: (1) Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå, (2) ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC) och (3) särskilda situationer och enstaka fall, läs mer här. Notera att alternativ 3 ska tillämpas restriktivt och endast i enstaka fall. Om det är en återkommande överföring till tredje land kan alternativ 3 inte tillämpas. Kontakta ditt dataskyddsombud om du behöver stöd i vilken överföringsmekanism som är aktuell.
47 Med tekniska åtgärder avses exempelvis: (1) cybersäkerhet, exempelvis brandväggar, genomsökningar av skadlig programvara, antivirusskydd, korrigeringar och uppdatering av programvaran vid behov, (2) kryptering och pseudonymisering, (3) fysisk säkerhet, åtgärder och protokoll för att säkra åtkomst till alla kontor eller byggnader, larm och åtkomstloggar, (4) lämplig gallring, dokument och enheter som innehåller personuppgifter måste gallras på ett sätt som innebär att personuppgifter inte sprids till obehörig person, varken avsiktligt eller oavsiktligt. Överväg att strimla dokument och säker kassering av digitala databaser och hårdvaruenheter, (5) säkra lösenord, se till att dokument som innehåller känsliga data är lösenordsskyddade. Behöver ni hjälp med säkra lösenord, kontakta IT, (6) Åtkomsträttigheter, se till att åtkomst till databaser som innehåller personuppgifter beviljas på ett behov-att-veta-basis och att det inte finns någon fullständig tillgång till alla anställda. Detta är väldigt viktigt med tanke på de senaste sanktionsavgifterna till vårdgivare, som inte bedömde vilka anställda som behöver tillgång till vissa uppgifter och gav allmän tillgång till alla anställda.
Organisatoriska åtgärder kan bestå av interna policyer, organisationsmetoder eller standarder, kontroller och revisioner som kan tillämpas för att säkerställa säkerheten för personuppgifter. De kan inkludera, men är inte begränsade till: (1) informationssäkerhetspolicy, (2) kontinuitetsplan som innehåller policyer och åtgärder för att säkerhetskopiera affärsdata (som inkluderar personuppgifter) och se till att den kan återställas och underhållas i händelse av en incident. (3) riskbedömningar, utöver att det kan vara ett rättsligt krav, kan riskbedömningar som utvecklar mildringslösningar utgöra en effektiv förebyggande åtgärd. (4) medvetenhet och utbildning, det finns en kultur av säkerhet och medvetenhet om dataskydd säkerställer att anställda känner till de juridiska kraven och vad som förväntas av dem. Regelbunden och fortlöpande utbildning samt att öka medvetenhetsaktiviteter kan vara en effektiv åtgärd. (5) granskningar och revisioner, det är viktigt att säkerställa att policyer och rutiner är effektiva. Därför är det viktigt att upprätta kontroller och revisioner för att utvärdera effektiviteten, korrigera vad som inte fungerar och förbättra vad som kunde ha gjorts bättre. (6) Due diligence, säkerställ att eventuella leverantörer (biträden) som anlitas är lämpliga. Kontakta ditt dataskyddsombud för stöd i att bedöma lämpligheten i en leverantör som ni anlitar.
