Gymnasiefællesskabet

SKOLEHÅNDBOG I BEHANDLING AF PERSONOPLYSNINGER

Skabelon til skolehåndbog i behandling af personoplysninger (Version marts 2023) *

*Denne version af skolehåndbogen afløser den hidtidige (som kan fås ved henvendelse til GF). I den nye version er målgrupperne for indholdet mere tydelige og der er indarbejdet flere bud på forretningsgange til forskellige processer og medarbejdergrupper (fx. "Optag, rekruttering, studievejledning, kommunikation, oprydning, sletteårshjul) 

I håndbogen findes blandt andet bud på skabeloner/inspiration til følgende emner:

Kapitel 1 - Retningslinjer for behandling af personoplysninger, der gælder for alle medarbejderne på [*] Gymnasium

1 [*] Gymnasiums leveregler for datasikkerhed (alle)

2 Tavshedspligt (alle)

3 Handlepligt i tilfælde, hvor der kan være sket brud på datasikkerheden (bl.a. læk) (alle)

4 Instruks om adfærd til forebyggelse og håndtering af hackerangreb (alle)

5 Disse it-systemer må du bruge som medarbejder (”Positivliste”) (alle)

6 Mailpolitik (alle)

7 Dette må du bruge Lectio til fremover (alle)

8 Password-politik (alle)

9 Instruks om beskyttelse af persondata udenfor [*] Gymnasiums lokaler (hjemmearbejdsplads) (alle)

10 Instruks om sletning af datamedier ifbm. privat køb af udtjente arbejdsredskaber (alle)

11 Instruks om hvordan man sletter personoplysninger i usikre systemer (alle)

Kapitel 2 Tjeklister og beskrivelser til specifikke medarbejdergrupper

12 Instruks om brug af administrative systemer. Brugeradgange og rettigheder (TAP)

13 Instruks om brug af CPR-numre (TAP)

14 Instruks om brug af Sikker Mail til CPR og andre fortrolige og følsomme personoplysninger (TAP)

15 Elevoplysninger – generel info til skolens elevadministrative medarbejdere (TAP)

16 Tjekliste – Elever, Optag (TAP)

17 Tjekliste – Brobygningselever (TAP)

18 Tjekliste – Elever, skolegang (TAP)

19 Tjekliste – Elever, dimission (TAP)

20 Medarbejderoplysninger – generel info til skolens personaleadministrative medarbejdere (TAP)

21 Tjekliste – rekruttering og nyansættelser (TAP)

22 Tjekliste – Ansatte medarbejdere (nye og nuværende) (TAP)

23 Tjekliste – fratrædende medarbejder (TAP)

24 Studievejledning – sådan arbejder vi med personoplysninger

25 Kommunikation og sociale medier – sådan arbejder vi med personoplysninger

26 Studierejser – sådan behandler vi personoplysninger (TAP og rejselærer)

27 TV-overvågning – interne retningslinjer (TAP)

28 Plan for oprydning i gamle personoplysninger (bagudrettet) (TAP)

29 Outsourcing af it-drift til eksterne it-leverandører (databehandlere) (IT-administrator)

30 [*] Gymnasiums netværk og brugen heraf (IT-administrator)

31 IT-systemer og it-services som [*] Gymnasium selv ejer, hoster og/eller vedligeholder

32 Ansvar og plan for implementering og ajourføring af databeskyttelse (Ledelse)

33 Risikovurdering (Ledelse)

Kapitel 3 – FAQ

34 Hvilke personoplysninger kommer en skole typisk i kontakt med og hvad er de vigtigste opmærksomhedspunkter?

35 Hvad er ”personoplysninger?”

36 Hvad vil det sige, at ”behandle” personoplysninger?

37 Hvad er ”almindelige personoplysninger” og hvornår må en skole behandle dem?

38 Er nogen typer af data i relation til medarbejderne, som arbejdsgiveren ikke må gemme på?

39 Hvilke behandling af almindelige personoplysninger kræver samtykke?

40 Hvad er ” følsomme personoplysninger” og hvornår må en skole behandle dem?

41 Hvor i STX-lovgivningen er der hjemmel til behandling af følsomme personoplysninger uden samtykke?

42 Hvilke følsomme medarbejderoplysninger må behandles uden samtykke?

43 Hvilke særlige it-sikkerhedskrav er der ved behandling af følsomme personoplysninger?

44 Hvilke personoplysninger er ”fortrolige”?

45 Hvilke særlige it-sikkerhedskrav er der ved behandling af fortrolige personoplysninger?

46 Må et skolen offentliggøre fotos af sine elever på sin hjemmeside, på sociale medier, i en årbog eller på en plakat?

47 Hvad er ”den registreredes rettigheder”?

48 Hvad betyder det, at den registrerede person har ”indsigtsret”?

49 Hvad ligger der i, at ”retten til berigtigelse”?

50 Hvad ligger der i ”retten til indsigelse”?

51 Hvad ligger der i ”retten til sletning”?

52 Hvad er betingelserne for et gyldigt samtykke (til fx behandling af følsomme personoplysninger)?

53 Hvornår er man ”dataansvarlig” og hvad ligger der i ansvaret?

54 Hvad er en ”databehandler” og hvad betyder det for dataansvaret at bruge en databehandler?

55 Hvad er en ”databehandleraftale” og hvad er dens formål?

56 Skolens sletning af personoplysninger – hvordan og hvornår?

57 Hvad skal den såkaldte ”Fortegnelse over skolens behandlingsaktiviteter” indeholde?

58 Hvad betyder det, at man skal ”håndtere brud på datasikkerheden for personoplysninger”?

59 Hvad skal anmeldelsen til Datatilsynet indeholde?

60 Hvornår skal de berørte registrerede personer underrettes om læk af deres personoplysninger?

61 Hvornår ser loggen over sikkerhedshændelser ud og hvem fører den?

62 Hvad er en DPO/databeskyttelsesrådgiver – og hvordan bruger vi ham/hende?

63 Hvad ligger der i at sikre skolens ”behandlingssikkerhed vedr. personoplysninger”?