Page 1

GDPR - på NEXT


Kære kollega I denne folder kan du læse om NEXTs håndtering af persondata­forordningen, GDPR (General Data Protection Regulation). Forordningen betyder et skærpet fokus på beskyttelse af personoplysninger, og det er vores fælles ansvar at håndtere disse på forsvarlig vis. I daglig praksis handler det om at udvise omtanke og handle derefter, når vi har med data, dokumenter og viden at gøre. Det er derfor vigtigt, at du sætter dig ind i GDPR, så du ved, hvordan du håndterer personoplysninger og eksempelvis billeder. God læselyst.

INDHOLD 3.

Hvad er en personoplysning?

4.

Få styr på personoplysningerne

5.

Principper for håndtering af personoplysninger

6.

2

Sådan håndterer du personoplysninger

7.

Der er sket et sikkerhedsbrud – hvad gør jeg?

9.

Brug af billeder – husk en samtykke­ erklæring

10. HUSK god GDPR-adfærd 11. FAQ


Hvad er en personoplysning? Personoplysninger er enhver form for information, der kan henføres til én bestemt person eller data, der direkte eller indirekte kan identificere en person. Personoplysninger inddeles i 3 kategorier:

FØLSOMME OPLYSNINGER

Race, etnisk oprindelse. Politisk, religiøs eller filosofisk overbevisning. Fagforening. Biometriske data mhp entydig identifikation. Helbredsoplysninger. Seksuelle forhold eller orientering. Straffedomme og lovovertrædelser.

SPECIELLE OPLYSNINGER ALM. OPL.

CPR-nummer. Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon. Stamoplysninger: navn, adresse og fødselsdagsdato.

Jo højere oppe i trekanten oplysningerne er, desto strengere betingelser for at behandle dem.

3


Få styr på personoplysningerne Det er vigtigt, at alle personoplysninger behandles forsvarligt og efter de gældende retningslinjer. Det betyder, at når NEXT behandler forskellige personoplysninger, så har NEXT også det overordnede ansvar og er dermed data­ ansvarlig. Det sker også, at NEXT udveksler data med eksterne (diverse leverandører og virksomheder), som dermed får adgang til personoplysningerne. Når det er tilfældet, bliver den pågældende virksomhed databehandler. For at kunne dele og udveksle personoplysninger med andre (den såkaldte databehandler) er det et krav, at der foreligger en aftale her imellem. En sådan aftale kaldes en databehandleraftale. Denne skal ALTID indgås ved alle samarbejder, hvor der forekommer udveksling af personoplysninger. Normalt har ledelsen indgået de nødvendige aftaler, men er du i tvivl, så kontakt din nærmeste leder.

4


Principper for håndtering af personoplysninger Når vi behandler personoplysninger, skal disse: 1. Behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. 2. Indsamles til udtrykkeligt angivne og legitime formål. 3. Være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet. 4. Være korrekte og ajourførte. 5. Ikke behandles i længere tid end nødvendigt. 6. Behandles på en måde som sikrer tilstrækkelig sikkerhed (passende tekniske og organisatoriske foranstaltninger).

5


Sådan håndterer du personoplysninger Mails med personoplysninger skal håndteres hurtigst muligt – enten ved at arkivere dem eller ved at slette dem, når der ikke længere er et legitimt formål med opbevaringen. Hvis du har brugt din mailboks som arkiv, skal du rydde op i mailboksen. Du skal rydde op i både indkommende mails, sendte mails og slettede mails. Når du sender mails internt på NEXT, vil disse automatisk blive sendt som sikker mail. Mails der sendes ud af huset, indeholdende personoplysninger, skal sendes via sikker mail. Er du i tvivl om, hvordan du gør dette, kontakt it.

Opbevaring af personoplysninger Dokumenter med personoplysninger må ikke ligge lokalt på din computer eller på eksterne drev, såsom usb-nøgler og eksterne harddiske. Du skal også være opmærksom på, at du ikke har personop­ lysninger liggende på din smartphone, tablet og/eller bærbare computer, da de kan udgøre en sikkerhedsrisiko, hvis enhederne bliver tabt eller stjålet.

GODE RÅD TIL HÅNDTERING AF PERSONOPLYSNINGER 4 Ryd op i din mailboks 4 Ryd op på netværksdrev 4 Ryd op på dit skrivebord på din computer

6

4 Ryd op på dit fysiske skrivebord


Der er sket et sikkerhedsbrud – hvad gør jeg? I tilfælde af brud på sikkerheden, er det vigtigt, at NEXT straks hører fra dig – også i de tilfælde, hvor du kan være i tvivl om, hvorvidt der er tale om et databrud. I forbindelse med persondataforordningen er der krav om at indrapportere sikkerhedsbrud inden for 72 timer til datatilsynet. Du skal derfor straks skrive til it-sikkerhedsbrud@nextkbh.dk eller ringe på telefon 33 88 08 00, når du bliver opmærksom på bruddet.

Men hvad er egentlig et sikkerhedsbrud? Der er tale om et brud på sikkerheden, når bruddet fører til en hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der sendes, lagres eller på anden måde behandles.

7


Det er ikke alene fysiske eller tekniske sikkerhedsbrud, fx hvis man bliver hacket og data bliver stjålet – men også tilfælde, hvor fx en ansat i strid med reglerne videregiver personoplysninger. Det afgørende er, om personoplysninger på den ene eller anden måde er blevet kompromitteret.

Eksempler på brud: • Man kommer ved en fejl til at sende en mail, der indeholder personoplysninger til en forkert modtager. • Man mister en bærbar PC, smartphone eller anden mobil enhed, der indeholder eller giver adgang til personoplysninger. • Man mister print med personoplysninger.

8


Brug af billeder – husk en samtykkeerklæring Når du tager billeder og disse offentliggøres, skal du være opmærksom på, at der er visse typer af billeder, der skal behandles, som når du håndterer personoplysninger. Datatilsynet opdeler billeder i tre kategorier: 1. Portrætbilleder (billeder hvor personen eller personerne på billedet kan identificeres) 2. Situationsbilleder 3. Billeder af særlig følsom karakter (fx intime eller private situationer samt billeder fra fx natklubber, banker, m.v.) Samtykkeerklæringen er altid nødvendig, når du offentliggører portrætbilleder. Tager du situationsbilleder, der skal bruges på de sociale medier, kræver det også en udfyldt samtykkeerklæring, med særlig godkendelse hertil. Det kan du se mere om på selve samtykkerklæringen. Er du i tvivl, så kontakt din nærmeste leder.

FIND VEJLEDNING OG SAMTYKKEERKLÆRING PÅ 4 INTRA 9


Som en del af databeskyttelsesforordningen, er vi forpligtet til at have en DPO (Data Protection Officer), som rådgiver NEXT og hjælper med at efterleve de databeskyttelsesretlige regler. Denne rolle varetages af en medarbejder hos ESIS (Erhvervsskolernes IT Samarbejde), som NEXT har et samarbejde med.

HUSK god GDPR-adfærd så vidt muligt at printe karakterlister, 3 Undgå holdlister og andre papirer med persondata. du behov for at gemme personoplysninger, 3 Har skal de gemmes på fællesdrev eller i arkivsystemet. at makulere fysiske papirer, hvis du ikke 3 Husk skal bruge dem længere. med persondata skal opbevares i aflåst skab, 3 Papirer når de ikke bruges. 3 Efterlad aldrig dokumenter med persondata. 3 Lås din PC, når du forlader den. altid hvilke oplysninger du sender 3 Overvej – og til hvem. Læs mere kontoret, hvis du er den sidste, 3 Lås om der forlader det. 4G brugen af fysiske 3 Begræns papirer med persondata.

10

DPR på in tra eller på 4datatils ynet.dk


FAQ

Læs den fulde FAQ på 4GDPR på intra

Må jeg gerne printe klasselister med elevnavne? Ja, hvis der er et legitimt formål og det vil der normalt være. Print med personoplysninger skal generelt begrænses til, hvad der er nødvendigt i forhold til formålet. Print med personoplysninger skal opbevares sikkert og makuleres, når der ikke længere er et behov for dette.

Må jeg sende pasnumre til rejsebureauer og fx internationale organisationer, som har det som adgangskrav? Ja, men dette skal sendes som sikker post – kontakt it, hvis du er i tvivl.

Må vi skrive til hinanden i fx lærerteamet og med studievejledere om en elevs personlige eller sociale forhold fx familieforhold? Ja, men mails skal slettes, når sagen er afsluttet og/eller eleven har forladt skolen.

Må jeg notere karakterer til eleverne på min bærbare eller papir, eller må de kun skrives i Lectio ifbm. opgaveafleveringer og afgivelse af standpunkts- og prøvekarakterer? Ja, der må gerne noteres. Foretages en elektronisk notering skal denne slettes når oplysningen ikke længere er nødvenlig i forhold til formålet.

Skal jeg slette mails, hvor der er sendt oplysninger om fx personlige forhold om en elev, eller må de gemmes til eleven har afsluttet sin uddannelse hos os? Hvis informationerne vurderes at være nødvendige i forhold til elevens mulig­ heder for at gennemføre uddannelsen, kan de beholdes ellers skal de slettes.

Må vi informere om navne og evt. personlige forhold om en elev på tværs på NEXT, eller må det kun deles på den konkrete afdeling/ uddannelse? Ja, men kun hvis informationen er relevant for elevens uddannelse.

Må vi indhente information om elever eller potentielle elever hos UU eller folkeskoler? Ja, men kun hvis informationen er relevant for elevens uddannelse. 11


husk, at persondata kun er til lĂĽns

Profile for louisezeutnerpetersen

GDPR – Folder  

GDPR – Folder til NEXT Uddannelse København

GDPR – Folder  

GDPR – Folder til NEXT Uddannelse København

Advertisement