Register- och dataskyddsbeskrivning
Register- och dataskyddsbeskrivning
Detta är MUSIKINSTITUTET ARKIPELAGS register- och dataskyddsbeskrivning enligt personuppgiftslagen (10 och 24 §) och EU:s allmänna dataskyddsförordning (GDPR). Utarbetad 16.5.2018. Senaste ändringen 17.5.2018.
1. Personuppgiftsansvarig
Understödsföreningen för Musikinstitutet Arkipelag rf. 0433113-0 Fredrikaplan 2a
00000 Xxxxxx
xxxxxx0@xxxxxxxxxxxxxx.xx, 00-0000000 xxx.xxxxxxxxxxxxxx.xx
2. Kontaktperson som ansvarar för registren och dataskyddsansvarig
Xxxxxxxx Xxxxx, xxxxxx@xxxxxxxxxxxxxx.xx, 0400 827 765
3. Registrens namn
Läroanstaltens personregister och undervisningsregister över elever, vårdnadshavare (eller andra närstående till eleven) och anställda.
4. Rättsgrund och ändamål med behandlingen av personuppgifter
Rättsgrunden för personuppgiftsbehandlingen enligt EU:s allmänna dataskyddsförordning är lagen om grundläggande konstundervisning (21.8.1998/633).
Registret förvaltas i Eepos-tjänsten för läroanstaltsadministration och administrationsprogrammet Opus för läroanstalter (tagits ur aktivt bruk 2016). Eepos-tjänsten för läroanstaltsadministration är ett verksamhetsstyrningssystem som tagits fram för den grundläggande konstundervisningen och som vi använder för att administrera elevernas, vårdnadshavarnas och lärarnas uppgifter och för att organisera undervisningsverksamheten. Endast den administrativa personalen och lärarna vid läroanstalten har rätt att använda tjänsten. I ekonomiförvaltningstjänsten Procountor förs ett personalregister som är nödvändigt med tanke på utbetalningen av löner, och i MPT-econet-tjänsten förs ett register som är nödvändigt för faktureringen. Endast den administrativa personalen vid läroanstalten har rätt att använda tjänsterna Procountor och MPT-econet.
Ändamålet med behandlingen av personuppgifter är att organisera undervisningsverksamheten. Registren används för att hantera uppgifter som är nödvändiga för att organisera undervisningen och uppgifter som uppstår i verksamheten. I registren införs uppgifter om elevernas undervisning, undervisningsarrangemang och inlärningsresultat.
Uppgifterna används inte för automatiserat beslutsfattande eller profilering.
Läroanstaltens administration behandlar elevernas studieuppgifter. Elevernas personuppgifter behandlas endast vid behov för att upprätthålla registrets integritet.
Lärarna vid läroanstalten behandlar endast de elevuppgifter som i väsentlig grad anknyter till deras aktuella undervisningsuppgift. Lärarna har inte tillgång till elevernas eller föräldrarnas detaljerade person- eller adressuppgifter.
5. Registrets datainnehåll
Följande uppgifter införs i registret: elevens namn, elevens personbeteckning, elevens kontaktuppgifter (telefonnummer. e-postadress, adress), nätförbindelsens IP-adress, faktureringsuppgifter, elevernas studier och studiehistoria, avlagda studier och betyg, deltagande i lektioner, vårdnadshavarens namn, vårdnadshavarens personbeteckning, vårdnadshavarens kontaktuppgifter (telefonnummer, e-postadress, adress) (med vårdnadshavare avses även en person som har anmälts till läroanstalten, t.ex. en mor- eller farförälder som finansierar studierna), lärarens namn, lärarens personbeteckning, lärarens kontaktuppgifter (telefonnummer, e-postadress, adress), lärarnas undervisningsarbete, anordnade lektioner, statistik över undervisningsverksamheten samt antalet elever.
6. Regelmässiga uppgiftskällor
De uppgifter som införs i registret fås av kunden bl.a. i samband med anmälan via webblanketter, per e-post, per telefon, i samband med kundmöten och i andra situationer där kunden överlåter sina uppgifter. Av de anställda begärs uppgifterna i samband med att arbetsavtalet ingås.
7. Regelmässigt utlämnande av uppgifter och översändande av uppgifter utanför EU eller EES
Uppgifter som rör en enskild person lämnas inte regelmässigt ut till andra parter. Statistik över undervisningsverksamheten (antalet elever och mängden undervisning, som inte inkluderar identifieringsuppgifter) överlåts regelbundet till exempelvis Utbildningsstyrelsen och Statistikcentralen. Uppgifterna kan publiceras till den del kunden har samtyckt till detta.
Inga uppgifter överförs till länder utanför EU eller EES.
8. Period under vilken personuppgifterna lagras
Läroanstalten är skyldig att lagra studieuppgifterna i elevregistret samt elevernas och föräldrarnas personuppgifter permanent. På lagringstiderna för fysiska dokument och kopior tillämpas arkivlagen. Uppgifterna kan anonymiseras på den registrerades begäran. Lagringstiden gör det möjligt för eleverna att tillfälligt avbryta sina studier och inleda dem på nytt utan att elevuppgifterna försvinner. Lagringstiden gör det också möjligt att skriva ut ett intyg över deltagande efter att eleven har avslutat sina studier. Samma principer gäller uppgifterna om personalen.
9. Principer för skydd av registret
Registret hanteras omsorgsfullt och de uppgifter som behandlas med hjälp av informationssystem skyddas på ett ändamålsenligt sätt. Alla känsliga personuppgifter om elever, föräldrar och lärare förvaras i starkt krypterad form i databaser och säkerhetskopior. Då registeruppgifterna förvaras på
servrar på internet säkerställs utrustningens fysiska och digitala informationssäkerhet som sig bör. Den personuppgiftsansvarige ser till att de registrerade uppgifterna och åtkomsträttigheterna till servrarna samt andra uppgifter som är kritiska med tanke på personuppgifternas säkerhet behandlas konfidentiellt och endast av de anställda i vars arbetsbeskrivning detta ingår. Även i fråga om arbetsstationerna tryggas informationssäkerheten på ett ändamålsenligt sätt. Kanslilokalerna skyddas också fysiskt så att man låser dörrarna om ingen anställd stannar kvar i lokalen. I all insamling och förmedling av uppgifter iakttas principen om minimal information: man behandlar så lite information som möjligt, dock så att läroanstalten kan bedriva sin verksamhet.
10. Den registrerades rättigheter
Rätt att kontrollera sina egna personuppgifter
Den registrerade har rätt att be den personuppgiftsansvarige bekräfta huruvida personuppgifter som rör den registrerade behandlas
och kontrollera vilka personuppgifter om honom eller henne som finns i registret. Den registrerade har också rätt att få en kopia av de personuppgifter som behandlas. Denna begäran om insyn ska sändas till den personuppgiftsansvarige i skriftlig form i enlighet med punkt 2, och den ska vara undertecknad. Begäran om insyn kan förvägras på vissa grunder som anges i lag.
Rätt till rättelse av uppgifter
Den personuppgiftsansvarige kan på eget initiativ eller på den registrerades begäran (så att denna kontaktar den personuppgiftsansvarige i enlighet med punkt 2) rätta, radera eller komplettera
en personuppgift som med tanke på ändamålet med behandlingen är felaktig, onödig, bristfällig eller föråldrad. Den registrerade har också rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av hans eller hennes personuppgifter exempelvis i en sådan situation där den registrerade väntar på att den personuppgiftsansvarige ska besvara en begäran om rättelse eller radering av uppgifter.
Rätt att göra invändningar mot behandlingen av personuppgifter
Den registrerade har rätt att göra invändningar mot åtgärder som den personuppgiftsansvarige riktar mot den registrerades
personuppgifter, till den del uppgiftsbehandlingen bygger på den personuppgiftsansvariges berättigade intresse. Den registrerade har rätt att förbjuda att personuppgifter som rör honom eller henne behandlas och lämnas ut för annat ändamål än undervisningsverksamhet genom att meddela den registeransvarige detta i enlighet med punkt 2.
Rätt att återkalla samtycke
Om personuppgifter behandlas utifrån den registrerades samtycke har den registrerade rätt att återkalla sitt samtycke genom att informera den personuppgiftsansvarige om detta i enlighet med punkt 2.
Rätt att överföra uppgifter från ett system till ett annat
Till den del den registrerade själv till registret har lämnat sådana uppgifter som behandlas för att fullgöra en överenskommelse mellan den personuppgiftsansvarige och den registrerade har den registrerade rätt att få ut dessa uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig (om det är tekniskt möjligt).
Rätt att lämna klagomål till tillsynsmyndigheten
Den registrerade har rätt att lämna klagomål till den behöriga tillsynsmyndigheten om den personuppgiftsansvarige inte har iakttagit tillämpliga dataskyddsbestämmelser i sin verksamhet.
11. Andra rättigheter i anslutning till behandlingen av personuppgifter
En person vars uppgifter finns i registret har rätt att begära att personuppgifter som rör honom eller henne raderas ur registret (”rätt att bli bortglömd”). De registrerade har dessutom andra rättigheter enligt EU:s allmänna dataskyddsförordning, såsom rätt att begränsa behandlingen av personuppgifter i vissa situationer. Begäran om begränsning av behandlingen ska skickas i skriftlig form till den personuppgiftsansvarige. Den personuppgiftsansvarige kan vid behov be den som framställer begäran bevisa sin identitet. Den personuppgiftsansvarige ska besvara kundens begäran inom den tid som anges i EU:s dataskyddsförordning (i regel inom en månad).
12. Konsekvensbedömning
I samband med utarbetandet av register- och dataskyddsbeskrivningen genomfördes en konsekvensbedömning (i samband med ett eventuellt dataläckage) bland den administrativa personalen.