Persondata Kursus for administrationsfolk 16/5 10.20-12.00 Overblik over krav til behandling og dokumentation – hvor langt er I selv? (15 min) Oplysningspligt, samtykke og sletning (15 min) Databehandleraftaler og it-og sikkerhedspolitik (10 min) Sikker post (5 min) Kort snak i grupper og spørgsmål i plenum (ca. 20/30 min)

Så hvad skal I gøre? I står jer godt med at have gjort jer nogle overvejelser, også selv om alt ikke er gjort rigtigt. Hvis I endnu ikke har gjort jer nogen overvejelser – så er det NU, i skal starte.

GDPR: Det skal du have styr på: Oplysning til de registrerede om: Kategorier af oplysninger Formål med behandling Lovgrundlag Behandlinger Rettigheder Samtykke Fysisk og digital sikkerhed: Arbejdsgange og procedurer Fysisk sikkerhed (nøgler, adgang) It-sikkerhed (adgang, firewalls, anti-virus, logning, etc.) Databehandleraftaler Beredskab ved sikkerhedsbrud Retten til at blive glemt: Slettepolitik (som rent faktisk overholdes..) Fortegnelse

GDPR: Disse dokumenter skal du have styr på Oplysning til de registrerede: Persondatapolitik (om behandlingen – hvad, hvordan og hvornår) Samtykkeerklæring (skal opfylde betingelserne til samtykke: utvetydig og helst skriftlig, aktuelt og konkret) Oplysning til de registrerede om deres rettigheder Fysisk og digital sikkerhed: Beskrivelse af fysisk og digital sikkerhed på skolen (Arbejdsdeling, adgang, logning, sikkerhedstiltag i øvrigt) Overblik over databehandlere og databehandleraftaler Overblik over it-services uden databehandleraftale Beredskab ved sikkerhedsbrud (underretning af Datatilsynet) Retten til at blive glemt: Slettepolitik (Hvad slettes hvornår?) Dokumenterne indgår i Fortegnelsen (evt. som bilag).

Samtykke Frivilligt Utvetydigt – tydeligt at skelne fra andre informationer. Bør ikke blandes med samtykke til transport, klatring, kajak, mv. Aktuelt og konkret: Det skal være tydeligt, hvad der er omfattet. Kan trækkes tilbage (OBS! Helbredsoplysninger, kan godt betinge optagelse på skolen..)

Samtykke til helbredsoplysninger Samtykke er reelt betingelse for optag – men vi har ikke andet hjemmelsgrundlag. Derfor kan tilbagetiltrækning reelt føre til afbrydelse. Samtykke kan kun omfatte allerede kendte diagnoser/lidelser/medicinkrævende tilstande. Samtykke er således ikke samtykke til alle situationer, fx akut sygdom. Ved akut sygdom, behandles ud fra hensynet til vitale interesser (art. 9, stk. 2, litra c). Ved mindre akut sygdom – husk at spørge først! Tænk også over, om sygdommen kan være stigmatiserende.

Samtykke til at indhente og dele med andre Indhente og videregive oplysninger fra/til forrige og nye skole. For medarbejdere fx private telefonnumre på intra. Ved nyansættelser, skal der indhentes samtykke til referencer og hvis personen selv har angivet referencer er det god stil at give besked inden disse kontaktes.

Oplysningspligt GDPR artikel 13: ”Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor oplysningerne indsamles, den registrerede alle følgende oplysninger:…” Hvordan? Enten skriftligt som bilag til indmeldelsesblanket eller elektronisk ved link til skolens hjemmeside. Fortegnelse: Dokumentation for forretningsgangen.

Slettepligt GDPR artikel 5 om principper for behandling: stk. 1, litra c: Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Ikke helt klart, hvad der er omfattet af krav til opbevaring af ‘regnskabsmateriale’. Fysisk bortskaffelse (makulering/særlig ordning) – afhænger af konkret, lokal vurdering. Ved opbevaring af oplysninger ud over elevens ophold på skolen, bør der enten søges samtykke eller som minimum oplyses herom med en saglig begrundelse, herunder interesseafvejning (fx ordblindetest)

Sikker post E-boks: 2000 kr. i oprettelse så I både kan sende og modtage via e-boks. Koster ca. 1 kr. pr. elev for at sende og modtage indmeldelse/elevstøtte/samtykke. (obs! Pris er ex. Afhænger af størrelse på filer). Bekendtgørelse om offentlige afsendere. Plug-in til outlook: signering og fletning Alternativ: Intra-løsninger

Mere vejledning? Efterskoleforeningen Datatilsynet DP Solutions..

Persondatamappen giver overblik..

Hvad bliver det næste? Privatlivspolitik Instruktion af medarbejderne i sikker databehandling Andre ønsker?