Databehandling

Retningslinje for god databehandlingsskik på Grenaa Gymnasium

Anvendelsesområde

Retningslinje om god databehandlingsskik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende) og gælder for alle ansatte på Grenaa Gymnasium, der behandler personoplysninger.

Databehandlingsbeskrivelse for Grenaa Gymnasium

Formål

Formålet med denne retningslinje er at sikre, at Grenaa Gymnasium behandler personoplysninger i overensstemmelse med god databehandlingsskik.

Definitioner

Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.

Almindelige/fortrolige personoplysninger er alle oplysninger om en identificeret eller identificerbar person, der ikke er omfattet af nedenstående kategori, eksempelvis navn, adresse, CPR-nummer, e-mail, billeder, telefonnummer.

Følsomme personoplysninger er oplysninger om helbredsforhold, fagforening, racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuelle forhold og genetiske oplysninger. Der er tale om en udtømmende liste.

Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.

Databeskyttelsesrådgiveren (DPO) er en uafhængig person med ekspertise i databeskyttelsesret og –praksis, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler hos Grenaa Gymnasium. Databeskyttelsesrådgiverens funktion er at understøtte, at den Grenaa Gymnasium overholder reglerne i forordningen. Databeskyttelsesrådgiveren er en integreret del af Grenaa Gymnasium, og kan efter omstændighederne have andre arbejdsopgaver.

God databehandlingsskik

Grenaa Gymnasium skal sikre, at vi behandler personoplysninger på en lovlig, rimelig og gennemsigtig måde.

  • Lovlig henviser til, at Grenaa Gymnasium sikrer, at der er et lovligt hjemmelsgrundlag, se endvidere retningslinje om behandlingsgrundlag.
  • Rimelig henviser til, at Grenaa Gymnasium kun må behandle personoplysninger, hvis behandlingens formål med rimelighed ikke kan opfyldes på anden måde.
  • Gennemsigtig indebærer, at Grenaa Gymnasium skal oplyse den registrerede om den behandling, vi foretager om vedkommende. Behandlingen af personoplysninger skal således ske på en åben og oplyst måde.

Formålsbegrænsning

Når der indsamles oplysninger, skal Grenaa Gymnasium gøre sig klart, hvilke formål oplysningerne indsamles til, og det skal være saglige formål. Vi må således ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne.

Dataminimering

Når Grenaa Gymnasium behandler personoplysninger, skal vi sikre, at behandlingen begrænses til det, der er nødvendigt for at opfylde formålet.
Vi skal således vurdere, om den konkrete behandling kan opfyldes ved at behandle færre personoplysninger.

Opbevaringsbegrænsning

Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for Grenaa Gymnasium at have oplysningerne.

Integritet og fortrolighed

Grenaa Gymnasium skal beskytte oplysningerne mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget. Dette sikrer vi ved at etablere passende tekniske og organisatoriske sikkerhedsforanstaltninger

Grenaa Gymnasium må således ikke behandle personoplysninger, førend det er sikret, at der er tilstrækkelig sikkerhed til stede ved behandlingen.

Kontrol og dokumentation

Grenaa Gymnasium skal sikre, at der løbende foretages en dokumenteret kontrol af, at denne retningslinje efterleves. Kontrollen godkendes af bestyrelsen for Grenaa Gymnasium.

Grenaa Gymnasium dokumenterer

  • At vi har et lovligt formål med behandlingen af personoplysninger
  • At vi overholder kravene til god databehandlingsskik
  • At den løbende kontrol overholdes

Dokumentejer, godkender og versionering

Ejer: Vicerektor Vagn Rohde

Godkender: Helene Bendorff Kristensen

Dato  Version    Forfatter    Ændringsbeskrivelse
 15.maj 2018 1.0  Vagn Rohde