G DPR och informationssäkerhet Nybro intresseförening för Montessori
G
DPR
och informationssäkerhet
Nybro intresseförening för
Montessori
GDPR
– dataskyddsförordningen
Dataskyddsförordningen
eller GDPR som den också kallas, innehåller regler om hur man får
behandla personuppgifter. Förordningen börjar gälla den 25 maj
2018 och ersätter då personuppgiftslagen (PuL).
Dataskyddsförordningen (även kallad GDPR - General Data Protection
Regulation) reglerar hur vi ska behandla personuppgifter. Alla
personuppgiftsbehandlingar måste ha rättslig grund,
till exempel avtal (anställningsavtal), allmänt intresse
(forskning, statistik, arkiv) myndighetsutövning och rättsliga
förpliktelser (till exempel skollagen, socialtjänstlagen). Har
vi ingen rättslig grund kan vi i vissa fall arbeta med samtycken.
Varje verksamhet ansvarar för sina egna personuppgiftbehandlingar.
Rättigheterna stärks för enskilda personer. Det ställs strängare
krav på att vi ska informera om hur vi hanterar medborgarens
personuppgifter. Kraven på IT-system som hanterar personuppgifter
stärks. Personuppgifter ska exempelvis skyddas så att bara de som
är behöriga kan se eller arbeta med uppgifterna. Uppgifterna måste
även skyddas så de inte förstörs genom olyckshändelse.
Vad
är en personuppgift?
En
personuppgift är varje upplysning som avser en identifierad eller
identifierbar fysisk person. En fysisk person är identifierbar
direkt eller indirekt genom uppgifter som exempelvis namn,
personnummer, adress, telefonnummer, bilder, IP-adress eller en eller
flera faktorer som är specifika för den fysiska personens fysiska,
fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller
sociala identitet.
Behandling
av personuppgifter
Hos oss på Nybro
Montessori hanterar vi en mängd olika personuppgifter. Det kan
handla om personuppgifter om
medarbetare,
elever, enskilda som söker en plats i verksamheten m.m.
När
vi hanterar personuppgifter så behöver vi säkerställa att Nybro
Montessoris hantering sker i enlighet med bestämmelserna i EU:s
dataskyddsförordning GDPR.
Registrering
av personuppgiftsbehandlingar
Alla
personuppgiftsansvariga (respektive nämnd) ansvarar för sina
personuppgiftsbehandlingar. Alla behandlingar ska finnas i ett
gemensamt register och de olika enheterna/verksamheterna är i sin
tur ansvariga för att registret både är kvalitetssäkrat och
uppdaterat. Detta gör vi kontinuerligt i vår verksamhet genom att
samla in information om behandlingar som är föremål för
registrering minst 1 gång i månaden vid arbetsplatsträffen.
Registret hjälper oss ha kontroll över vilka personuppgiftsbehandlingar vi utför hos oss på Nybro Montessori. Det hjälper oss också att, på ett systematiskt sätt, kontrollera att vi till exempel har en rättslig grund att behandla uppgifterna.
Registret
är en total kartläggning av alla behandlingar av personuppgifter
som utförs inom respektive verksamhet. Det ger en översikt över
alla register, system och dokument där personuppgifter
förekommer.
Här registrerar vi all behandling av
personuppgifter, både det som sker i system och manuellt.
Vill
du ha tillgång till något i systemet, maila GDPR-ansvarig som
ansvarar för behörighetshantering. Tänk på att endast den som
ansvarar för registreringen, det vill säga den som arbetar aktivt i
systemet (alternativt enhetschefen), som ska ha behörighet.
GDPR-ansvarig gör en bedömning huruvida du är behörig eller inte
att ta del av registrerade personuppgifter.
Informationssäkerhet
Information är en
av Nybro Montessori’s viktigaste tillgångar och hanteringen av den
är en mycket viktig del i arbetet. Med informationstillgångar avses
all information oavsett om den behandlas manuellt eller automatiserat
och oberoende av dess form eller miljön den förekommer i.
Informationssäkerheten omfattar Nybro Montessori’s alla
informationstillgångar.
Säker
e-posthantering
Vid
alla behandlingar av personuppgifter i e-post måste det finnas ett
tydligt ändamål för behandlingen och en laglig grund (det vill
säga stöd i lagen, till exempel myndighetsutövning) alternativt
ett samtycke. Samma regler gäller för intern och extern
e-postkommunikation.
Vi
ansvarar alla för att använda e-posten på ett ansvarsfullt och
etiskt sätt, så att Nybro Montessori eller enskilda personer inte
lider skada. Det är ofta olämpligt att använda e-post för att
behandla personuppgifter långsiktigt, både för myndigheter och för
privata organisationer. E-post är inte en säker förvaring och det
kan vara svårt att hitta uppgifter om en enskild i e-posten eller
säkerställa att uppgifterna blir borttagna när de inte längre
behövs
Här följer några rutiner och tips som hjälp på
vägen.
- Undvik att skicka personuppgifter via mail (Om
du ändå måste göra det, kontakta GDPR-ansvarig för bedömning av
innehållet)
- Om du mottagit ett mail innehållande
personuppgifter bör detta innehåll bedömas huruvida vi går vidare
så att mailet kan raderas så snart som möjligt och uppgifterna
eventuellt registreras i vårt GDPR-register. För att göra det
lättare att följa dataskyddsförordningen kan det därför vara
viktigt att flytta vissa uppgifter från e-posten till ett lämpligare
system, som ett ärendehanteringssystem till exempel. Kö-hantering
av ansökningar. (Kontakta GDPR-ansvarig för bedömning av
innehållet).
Schoolsoft
Vi
använder oss av schoolsoft i skolverksamheten. I förskolan finns
Tyra-appen som liknande tjänst. Genom
ett personuppgiftsbiträdesavtal med schoolsoft samt
samtyckesblankett (elevuppgifter) möter vi de krav som ställs via
Dataskyddsförordningen.