Personuppgifter – information om hur skolan hanterar och behandlar dina uppgifter

Målsättningen med den nya dataskyddsförordningen (25.5.2018) är att ge varje enskild individ insyn i hur hans eller hennes personuppgifter används. Individen har också större möjlighet att själv påverka hur uppgifterna hanteras. Det är därför varje skolas skyldighet att informera studerande och vårdnadshavare om hur personuppgifterna behandlas.

Skolan kan hantera personuppgifter på basen av olika grunder. De vanligaste grunderna är:

  • tvingande lagstiftning
  • myndighetsutövning
  • utförande av uppgift av allmänt intresse.

I fall där det inte finns någon grund begär skolan in samtycke av vårdnadshavaren (eller studerande själv beroende på ålder).

Grunden för behandling – och rätten att dra tillbaka eventuellt samtycke

Behandlingen av personuppgifter i skolan är beroende av vilka uppgifter som samlas in och för vilket ändamål.

De grunder som finns är:

  • Avtal där den registrerade är part, till exempel användaravtal.
     
  • Rättslig förpliktelse (=tvingande lagstiftning), till exempel insamling av uppgifter som är nödvändig för att ordna den utbildning den studerande har rätt till.
     
  • Skydd av persons grundläggande intressen, till exempel där en studerande kan lida allvarlig skada om uppgifterna inte samlas in.
     
  • Myndighetsutövning eller utförande av uppgift av allmänt intresse, till exempel uppgifter som samlas in för att det ska vara möjligt att ordna den utbildning elever/den studerande har rätt till samt betyg och stöd.
     
  • Personuppgiftsansvariges berättigade intressen, till exempel förhindrande av bedrägeri, direktmarknadsföring.

När insamling och behandling av den studerandes/vårdnadshavarens personuppgifter är baserad på samtycke kan hen när som helst ta tillbaka sitt samtycke.

Tillgång till sina uppgifter – att korrigera, begränsa eller neka till behandling

En studerande/vårdnadshavare har rätt att få tillgång till sina uppgifter och få eventuella felaktigheter rättade inom en månad. En studerande/vårdnadshavare har också rätt att begränsa och neka till behandling av personuppgifter ifall hanteringen inte har någon grund för behandlingen.

Dataskyddsförordningen begränsar i vissa fall rätten till rättelse av behandling.

Personuppgiftsansvarig

Personuppgiftsansvarig är Ålands gymnasium.

Behandlingens ändamål

De uppgifter vi samlar in behövs för att bedriva en god undervisning och för att ge:

  • studerande optimala förutsättningar för att uppfylla målen för utbildningen
  • möjlighet till en trygg och trivsam skolgång.

Vissa uppgifter samlas också in för att kunna värna om personens säkerhet.

Personuppgiftskategorier

Kategorier för personuppgifter är:

  • studerandeadministration (namn, kontaktuppgifter, vårdnadshavare)
  • studieprestationer, känsliga uppgifter (hälsa, trossamfund).

Mottagare – om uppgifterna överförs till utomstående

Skolan använder ibland pedagogiska applikationer och program i undervisningen. Syftet med användning är att öka studerandes förutsättningar för lärande samt att individualisera skolgången. Därutöver ingår det i skolans uppdrag att guida studerande i interaktiva och sociala medier.

I sitt pedagogiska arbete använder skolan applikationer och program från olika leverantörer, vilka i sin tur, i regel, lämnar uppgifter till tredje part. Leverantörernas licensavtal granskas med jämna mellanrum liksom vid införskaffandet av nya program. Inga känsliga personuppgifter används eller uppges vid användning av dessa typer av pedagogiska verktyg. I regel handlar det om studerandes förnamn, efternamn och årskurs. 

Om mottagaren av uppgifter i en applikation eller i ett program flyttas till ett tredje land har speciella åtgärder tagits för att garantera att dessa i sin tur har utfört tillräckliga åtgärder för att fylla kraven för personuppgiftshantering. I de fall mottagaren är utanför EU, EES, säkra länder samt länder som fyller avtalet för Privacy Shield[1] eller om säkerheten inte konstaterats på annat sätt har skolan begärt in samtycke för överföring.  

[1] Privacy Shield framwork, https://www.privacyshield.gov/participant_search

Lagringstid och kriterier för borttagning

Skolan följer fastställda lagrings- och arkiveringstider. Analogt material, som inte styrs av arkivlagen och som producerats i skolan skickas antingen hem med studerande eller raderas av skolpersonalen vid studiernas slut.

Skolan pseudonymiserar[2] personuppgifterna i den mån det är möjligt och ändamålsenligt.

[2] GDPR beskriver pseudonymisering så här: Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person

Övervakande myndighet

Övervakande myndighet är Datainspektionen, www.di.ax

Personuppgiftsinsamling

Personuppgifter samlas in via det gemensamma antagningssystemet eller skolans eget antagningssystem samt via studieanmälan i början av varje läsår.

Personuppgifter som skolan lämnar ut

Skolan lämnar i regel inte ut personuppgifter utan vårdnadshavares samtycke. Men vissa undantag gäller och handlar då om exempelvis statliga myndigheters statistikinsamling och överföring av skolprestationer (skiljebetyg) vid skolbyte.

Information om eventuell automatiserat beslutsfattande

Inom skolvärlden förekommer inte automatiskt beslutsfattande[3] i någon högre grad men om sådan förekommer informeras studerande om detta.

[3] Automatiserat beslutsfattande innebär att en maskin fattar beslut som har rättsliga eller liknande effekter om en person, baserat på uppgifter om den personen. Beslut kan röra saker som tillstyrkande/avslag av låneansökningar, tecknande av försäkring, utvärdering av arbetsprestationer med mera.

Bilagor: