Vores dygtige administrative medarbejdere står altid klar til at besvare spørgsmål.
Herning Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende).
Persondatapolitikken gælder for alle ansatte på Herning Gymnasium, der behandler personoplysninger, samt for samarbejdspartnere (databehandlere), der udfører arbejde på vegne af Herning Gymnasium.
Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Herning Gymnasium.
Ledelse og medarbejdere på Herning Gymnasium er forpligtede til at overholde forordningens krav og regler.
Øverste ledelse (bestyrelsen)
Det er den øverste ledelse, der har det endelige ansvar for, at Herning Gymnasium behandler personoplysninger i overensstemmelse med gældende lovgivning. Bestyrelsens rolle er at foretage dokumenterede ledelsesmæssige beslutninger i relation til beskyttelsen af personoplysninger på Herning Gymnasium.
Den ledelsesmæssige forankring er reguleret i databeskyttelsesforordningens artikel 5, stk. 2.
Daglig ledelse (rektor)
Rektor er ansvarlig for, at formålene med behandling af personoplysninger er i overensstemmelse med gældende lovgivning, samt at retningslinjerne til understøttelse af politikken, er kommunikeret klart og tydeligt til medarbejderne.
Databeskyttelsesrådgiver (DPO)
DPO’ens rolle er at overvåge, at Herning Gymnasium overholder gældende regler for beskyttelse af personoplysninger, herunder at stå til rådighed for hele skolen i forhold til rådgivning på området. DPO’en er endvidere Herning Gymnasiums kontaktperson udadtil – både i forhold til de registrerede og i forhold til Datatilsynet eller andre parter. DPO’en rapporterer til det øverste ledelsesniveau.
Medarbejdere
Når Herning Gymnasium behandler personoplysninger, udviser vi altid ansvarlighed. Det gøres bla. ved at dokumentere de beslutninger, vi træffer, de organisatoriske og tekniske foranstaltninger, vi udfører, samt de retningslinjer og kontroller, vi implementerer i forbindelse med behandlingen af personoplysninger.
Medarbejdere og ledelse er ansvarlige for at gøre sig bekendte med Herning Gymnasiums retningslinjer om behandling af personoplysninger, der er relevante for udførslen af arbejdet.
Formålet er at sætte rammerne, således at Herning Gymnasium behandler personoplysninger forsvarligt og i overensstemmelse med gældende lovgivning, jf. databeskyttelsesforordningens artikel 5.
Herning Gymnasium behandler personoplysninger i overensstemmelse med god databehandlingsskik.
Det indebærer bl.a. at Herning Gymnasium kun behandler personoplysninger til lovlige, rimelige og legitime formål, som kan dokumenteres.
Herning Gymnasium indsamler, opbevarer og behandler kun personoplysninger, der er nødvendige i relation til det angivne formål. Det betyder, at vi aktivt begrænser indsamlingen og behandlingen til det nødvendige.
Herning Gymnasium begrænser behandlingen af personoplysninger, så behandlingen ikke er uforenelig med det oprindelig formål. Endvidere sikrer vi, at personoplysningerne ikke opbevares i et længere tidsrum end det, der er nødvendigt for at opfylde formålet med behandlingen.
Når personoplysningerne ikke længere er nødvendige for det angivne formål, sikrer vi, at de enten slettes, eller der træffes andre tekniske og organisatoriske foranstaltninger, eksempelvis anonymisering, således at den registrerede ikke længere kan identificeres ud fra oplysningerne.
Såfremt Herning Gymnasium bliver gjort opmærksomme på, at de omfattede personoplysninger er urigtige eller mangelfulde i forhold til det angivne formål, ajourfører vi oplysningerne.
Kravene for god databehandlingsskik er uddybet i ”Retningslinje om god databehandlingsskik”.
Formålet er at sikre, at Herning Gymnasium behandler personoplysninger på baggrund af et fyldigt hjemmelsgrundlag, jf. databeskyttelsesforordningens kapitel 2 samt databeskyttelseslovens kapitel 3.
Herning Gymnasium behandler kun personoplysninger, når vi har et lovligt grundlag.
Behandling af almindelige personoplysninger sker i overensstemmelse med databeskyttelsesforordningens artikel 6.
Behandling af følsomme personoplysninger sker i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 9.
Formålet er at sikre, at Herning Gymnasium ikke overfører personoplysninger til lande uden for EU/EØS, uden der foreligger et lovligt overførselsgrundlag, jf. databeskyttelsesforordningens kapitel 5.
Herning Gymnasium overfører kun personoplysninger til lande uden for EU/EØS i de tilfælde, hvor vi har et lovligt overførselsgrundlag.
Ansatte på Herning Gymnasium, kan til enhver tid søge rådgivning om overførselsgrundlag hos skolens databeskyttelsesrådgiver.
Formålet er at sikre, at Herning Gymnasium fører de lovpligtige fortegnelser over behandlingsaktiviteter, som efter anmodning skal stilles til rådighed for Datatilsynet, jf. databeskyttelsesforordningens artikel 30.
Fortegnelserne kan ligeledes anvendes som hjælp til at sikre, at der foreligger et grundlag for vurdering af risici for behandling af personoplysninger.
Herning Gymnasium fører en fortegnelse over de behandlinger af personoplysninger, vi foretager, og sørger aktivt for at holde fortegnelsen opdateret.
Herning Gymnasiums medarbejdere er forpligtede til at underrette den procesansvarlige om ændringer og lignende i forhold til den måde, hvorpå personoplysninger behandles.
Formålet er at sikre, at behandlingen af personoplysninger tage hensyn til den registreredes ret til at kontrollere omfanget af behandling af dennes personoplysninger, jf. databeskyttelsesforordningens kapitel 3.
Når Herning Gymnasium behandler personoplysninger overholder vi vores oplysningspligt, således behandlingen sker på en åben og oplyst måde, samt at den registrerede kender sine rettigheder.
Herning Gymnasium bistår den registrerede med at udøve sine rettigheder, herunder:
Formålet er at sikre, at det er afklaret, hvorvidt Herning Gymnasium agerer som dataansvarlig eller som databehandler, jf. databeskyttelsesforordningens kapitel 4.
Endvidere er formålet at anskueliggøre, hvilke databehandlere Herning Gymnasium benytter, samt at sikre, at der er indgået databehandleraftale med disse.
Når Herning Gymnasium er dataansvarlig, sikrer vi, at eventuelle databehandlere kan leve op til forordningens krav og stille de fornødne garantier for behandling af personoplysninger på vegne af Herning Gymnasium.
Herning Gymnasium sikrer, at databehandleren er instrueret i, hvordan denne skal behandle de personoplysninger, som Herning Gymnasium er dataansvarlig for. Endvidere sikrer vi, at der er indgået databehandleraftaler med alle databehandlere.
Når Herning Gymnasium er databehandlere på vegne af en anden dataansvarlig, sikrer vi, at vi udelukkende behandler personoplysninger på baggrund af den dataansvarliges instruks. Vi sørger endvidere for, at Herning Gymnasium ikke benytter sig af underdatabehandlere, der ikke er godkendt af den dataansvarlige.
Formålet er at sikre, at eventuelle risici for den registrerede identificeres forud for behandlingen af dennes personoplysninger.
Herning Gymnasium foretager altid en risikovurdering i forbindelse med behandling af personoplysninger. Risikovurderingen tager udgangspunkt i behandlingens karakter, omfang, sammenhæng og formål samt de anvendte systemer.
Risikovurdering er baseret på en konsekvensvurdering for den registrerede samt en sandsynlighedsvurdering for at konsekvensen indtræffer.
Risikovurderingerne dokumenteres og godkendes af den daglige ledelse.
Kravene til risikovurderingerne er uddybet i ”Retningslinje om risikovurderinger”.
Formålet er at sikre, at Herning Gymnasium udarbejder en konsekvensanalyse (DPIA) forud for behandling af personoplysninger, der sandsynligvis indebærer en høj risiko for den registrerede, jf. databeskyttelsesforordningens kapitel 4 afdeling 2.
Hvis det vurderes i den almindelige risikovurdering, at en behandling af personoplysninger sandsynligvis vil indebære høj risiko for den registreredes rettigheder, udfører Herning Gymnasium en konsekvensanalyse. Konsekvensanalysen skal hjælpe med at fastlægge de foranstaltninger, vi påtænker, kan imødekomme disse risici.
Formålet er at sikre, at Herning Gymnasium med udgangspunkt i en risikovurdering, yder tilstrækkelig sikkerhed ved behandling af personoplysninger, jf. databeskyttelsesforordningens kapitel 4 afdeling 2.
På baggrund af den udarbejdede risikovurdering og eventuelle konsekvensanalyse fastlægges hvilke sikkerhedsforanstaltninger, der skal implementeres, således det sikres, at der er et tilstrækkeligt sikkerhedsniveau, når Herning Gymnasium behandler personoplysninger.
De fastlagte sikkerhedsforanstaltninger revurderes løbende.
Herning Gymnasium sikrer ligeledes at IT-løsninger, der anvendes til behandling af personoplysninger, er designet hertil.
Formålet er at sikre, at brud på persondatasikkerheden håndteres korrekt, jf. databeskyttelsesforordningens artikel 33 og 34.
I det tilfælde, at der sker brud på persondatasikkerheden, anmelder Herning Gymnasium bruddet til Datatilsynet uden unødig forsinkelse, og senest 72 timer efter, bruddet er blevet opdaget, medmindre det er usandsynligt at bruddet indebærer en risiko for den registrerede.
Hvis bruddet sandsynligvis indebærer en høj risiko for den registrerede, underretter Herning Gymnasium den registrerede om bruddet.
Formålet er at sikre, at Herning Gymnasiums databeskyttelsesrådgivers rolle, herunder stillingsbeskrivelse og opgaver er i overensstemmelse med databeskyttelsesforordningens krav, jf. artikel 37.
Herning Gymnasiums databeskyttelsesrådgiver er udvalgt på baggrund af sine faglige kvalifikationer, herunder ekspertise inden for databeskyttelsesret.
Databeskyttelsesrådgiverens rolle er at overvåge, at Herning Gymnasium overholder gældende regler på området, herunder at stå til rådighed for hele skolen i forhold til rådgivning på området. Databeskyttelsesrådgiveren er endvidere Herning Gymnasiums kontaktperson udadtil – både i forhold til de registrerede og i forhold til Datatilsynet eller andre.
Ansatte på Herning Gymnasium, der er i tvivl om indholdet i denne persondatapolitik eller de tilhørende retningslinjer, kan til enhver tid kontakte databeskyttelsesrådgiveren.
Kontaktoplysninger til Herning Gymnasiums databeskyttelsesrådgiver:
Navn: Fælles DPO v/ Herningsholm IT
E-mail: dpo@herningsholm.dk
Telefonnummer: +45 25 42 48 24 el. tlf. +45 25 42 48 18
Formålet er at sikre, at henvendelser fra Datatilsynet omkring tilsyn og andre forespørgsler håndteres korrekt, herunder at Datatilsynet modtager den relevante dokumentation, jf. databeskyttelsesforordningens kapitel 6.
Herning Gymnasiums databeskyttelsesrådgiver bistår Datatilsynet i forbindelse med tilsynssager og andre forespørgsler.
Bestyrelsen på Herning Gymnasium sikrer, at overholdelsen af denne persondatapolitik er dokumenteret, og at dokumentationen løbende opdateres.