Retningslinje om behandlingsgrundlag (hjemmel) på Vesthimmerlands Gymnasium
Anvendelsesområde
Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende) og gælder for alle ansatte på Vesthimmerlands Gymnasium, der behandler personoplysninger.
Formål
Formålet med denne retningslinje er at sikre, at Vesthimmerlands Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Bestyrelsen for Vesthimmerlands Gymnasium er ansvarlige for at ovenstående overholdes.
Definitioner
Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som fx et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.
Almindelige/fortrolige personoplysninger er alle oplysninger om en identificeret eller identificerbar person, der ikke er omfattet af nedenstående kategori, eksempelvis navn, adresse, CPR-nummer, e-mail, billeder, telefonnummer.
Følsomme personoplysninger er oplysninger om helbredsforhold, fagforening, racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuelle forhold og genetiske oplysninger. Der er tale om en udtømmende liste.
Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.
Databeskyttelsesrådgiveren (DPO) er en uafhængig person med ekspertise i databeskyttelsesret og –praksis, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler hos Vesthimmerlands Gymnasium. Databeskyttelsesrådgiverens funktion er at understøtte, at Vesthimmerlands Gymnasium overholder reglerne i forordningen. Databeskyttelsesrådgiveren ansættes af gymnasiets IT fællesskab, IT supportcentret.
Behandlingsgrundlag
Behandlingsgrundlagene afhænger af hvilken type oplysning der behandles – almindelige personoplysninger eller følsomme personoplysninger.
Vesthimmerlands Gymnasiums databeskyttelsesrådgiver kan vejlede omkring det rette behandlingsgrundlag.
Hvis du ønsker at kontakte Vesthimmerlands Gymnasiums DPO i forhold til spørgsmål om databeskyttelse, skal følgende kontaktoplysninger benyttes:
Databeskyttelsesrådgiver (DPO) for Vesthimmerlands Gymnasium
Bech-Bruun Advokatpartnerselskab
CVR nr.: 3853 8071
Langelinie Allé 35
2100 København Ø.
Telefonnummer – 72 27 30 02
Mail: dpo.vesthimmerlands.gym@bechbruun.com
Sikker beskedfunktion via: https://dpo.bechbruun.com/vesthimmerland (åbner nyt vindue)
Vi opfordrer til, at du bruger den sikre beskedfunktion, hvis din henvendelse indeholder følsomme eller fortrolige oplysninger.
Du har også mulighed for at kontakte gymnasiets informationssikkerhedskoordinator og dataansvarlig:
Informationssikkerhedskoordinator på Vesthimmerlands Gymnasium
Heidi Venstrup Nielsen
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: HN@vhim-gym.dk
Dataansvarlig på Vesthimmerlands Gymnasium
Vicerektor Ralf Michael Leimbeck
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: RL@vhim-gym.dk
Vesthimmerlands Gymnasium dokumenterer altid hvilket hjemmelsgrundlag en behandling af personoplysninger er sket på baggrund af.
Behandlingsgrundlag for almindelige/fortrolige personoplysninger
Når Vesthimmerlands Gymnasium behandler almindelige/fortrolige personoplysninger sikrer gymnasiet, at behandlingen bygger på ét af nedenstående behandlingsgrundlag:
Samtykke fra den registrerede
(databeskyttelsesforordningens artikel 6, stk. 1 litra a)
Vesthimmerlands Gymnasium må behandle almindelige personoplysninger, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til ét eller flere formål.
Gymnasiet sikrer, at samtykket er afgivet som en frivillig, specifikt, informeret og utvetydig viljeserklæring.
Det indebærer at
- Samtykket ikke må være afgivet under nogen former for tvang
- Samtykket skal være så specifikt beskrevet, at det er tydeligt for den registrerede, hvad denne samtykker til
- Samtykket skal afgives som en aktiv handling
Vesthimmerlands Gymnasium skal kunne påvise, at den registrerede har afgivet sit samtykke, hvorfor samtykket vil være skriftligt.
Vesthimmerlands Gymnasium oplyser altid den registrerede om, hvordan denne tilbagetrækker sit samtykke. I tilfælde af at den registrerede trækker sit samtykke tilbage, stopper Vesthimmerlands Gymnasium fremadrettet den behandling af personoplysninger, der sker på baggrund af den registreredes samtykke.
Tilbagetrækning af samtykke skal ske til Vesthimmerlands Gymnasiums databeskyttelsesrådgiver jf. ovenstående.
Nødvendig behandling af hensyn til opfyldelse af en kontrakt
(databeskyttelsesforordningens artikel 6, stk. 1 litra b)
Vesthimmerlands Gymnasium kan behandle almindelige personoplysninger, hvis det er nødvendigt for os af hensyn til indgåelse eller opfyldelse af en kontrakt, som den registrerede er en del af.
Det kan eksempelvis være relevant i forbindelse med en ansættelseskontrakt.
Behandling er nødvendig for overholdelse af retlig forpligtelse
(databeskyttelsesforordningens artikel 6, stk. 1, litra c)
Vesthimmerlands Gymnasium kan behandle almindelige personoplysninger, hvis vi er forpligtet hertil i henhold til lovgivningen.
Det vil eksempelvis være relevant, når Vesthimmerlands Gymnasium behandler personoplysninger i relation til elevers SU, eller når vi indberetter lønoplysninger til SKAT.
Behandling er nødvendig for overholdelse af den registreredes vitale interesse
(databeskyttelsesforordningens artikel 6, stk. 1, litra d)
Vesthimmerlands Gymnasium kan behandle almindelige personoplysninger, når det er nødvendigt for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
Dette kan eksempelvis være relevant, hvis en ansat eller en elev besvimer på en studietur, hvorefter gymnasiet kontakter et familiemedlem. Behandling på baggrund af dette hjemmelsgrundlag bør kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andets retsgrundlag.
Behandling er nødvendig af hensyn til udførelse af opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige er blevet pålagt
(databeskyttelsesforordningens artikel 6, stk. 1, litra e)
I henhold til denne bestemmelse kan Vesthimmerlands Gymnasium behandle almindelige personoplysninger, når det er i samfundets interesse. Udtrykket ”opgave i samfundets interesse” indebærer, at der skal være tale om opgaver af almen interesse – dvs. opgaver, der har betydning for en større kreds af mennesker.
Endvidere kan vi behandle personoplysninger på baggrund af denne bestemmelse, når behandlingen er nødvendig af hensyn til en opgave, der henhører offentlig myndighedsudøvelse.
Udførelse af opgaver, der karakteriseres som faktisk forvaltningsvirksomhed, vil efter omstændighederne være omfattet af denne bestemmelse.
Behandlingsgrundlag for følsomme personoplysninger*
Når Vesthimmerlands Gymnasium behandler følsomme personoplysninger, skal vi sikre, at behandlingen bygger på ét af nedenstående behandlingsgrundlag:
Udtrykkeligt samtykke fra den registrerede
(databeskyttelsesforordningens artikel 9, stk. 2, litra a)
Lige som ved almindelige oplysninger, skal samtykket være afgivet som en frivillig, specifikt, informeret og utvetydig viljeserklæring.
Det indebærer at
- Samtykket ikke må være afgivet under nogen former for tvang
- Samtykket skal være så specifikt beskrevet, at det er tydeligt for den registrerede, hvad denne samtykker til
- Samtykket skal afgives som en aktiv handling
Når Vesthimmerlands Gymnasium behandler personoplysninger på baggrund af et samtykke fra den registrerede, sikrer vi os endvidere, at der er tale om et udtrykkeligt samtykke.
Udtrykkeligt samtykke henviser til, at Vesthimmerlands Gymnasium ikke opnår stiltiende eller indirekte accept fra den registrerede.
Vesthimmerlands Gymnasium skal kunne påvise, at den registrerede har afgivet sit samtykke, hvorfor samtykket vil være skriftligt.
Vesthimmerlands Gymnasium oplyser altid den registrerede om, hvordan denne tilbagetrækker sit samtykke. I tilfælde af at den registrerede trækker sit samtykke tilbage, stopper Vesthimmerlands Gymnasium fremadrettet den behandling af personoplysninger, der sker på baggrund af den registreredes samtykke.
Tilbagetrækning af samtykke skal ske til Vesthimmerlands Gymnasiums databeskyttelsesrådgiver, jf. ovenstående.
Behandling er nødvendig for at overholde Vesthimmerlands Gymnasiums eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser i henhold til særlovgivning
(databeskyttelsesforordningens artikel 9, stk. 2, litra b)
Når Vesthimmerlands Gymnasium behandler personoplysninger på baggrund af denne hjemmel, har vi bl.a. mulighed for at opretholde det arbejdsretlige bodssystem i relation til ulovlige arbejdskonflikter.
Benyttelsen af dette hjemmelsgrundlag skal ske med udgangspunkt i gældende arbejdsret – eksempelvis i overenskomster og andre anerkendte retskilder.
Behandling er nødvendig for overholdelse af den registreredes vitale interesse
(databeskyttelsesforordningens artikel 9, stk. 2, litra c)
Vesthimmerlands Gymnasium kan behandle almindelige personoplysninger, når det er nødvendigt for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
Dette kan eksempelvis være relevant, hvis en ansat eller en elev besvimer ex. på en studietur, hvorefter gymnasiet kontakter et familiemedlem.
Behandling på baggrund af dette hjemmelsgrundlag bør kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andets retsgrundlag, eksempelvis samtykke.
Behandling vedrører personoplysninger, der tydeligvis er offentliggjort af den registrerede.
(databeskyttelsesforordningens artikel 9, stk. 2, litra e)
Vesthimmerlands Gymnasium kan behandle følsomme personoplysninger, såfremt den registrerede tydeligvis har offentliggjort oplysningen selv.
Eksempelvis hvis den registrerede offentligt ytre, at denne er medlem af XX fagforening, eller lider af XX sygdom.
Selvom den registrerede har offentliggjort oplysningen, skal Vesthimmerlands Gymnasium behandle den følsomme personoplysning i overensstemmelse med forordningens regler, herunder de grundlæggende behandlingsprincipper i artikel 5.
Det bemærkes, at offentliggjort henviser til, at oplysningen er gjort tilgængelig for ”enhver”. Det vil således som udgangspunkt ikke gøre sig gældende hvis oplysningen lægges på en lukket facebookprofil.
Endvidere skal offentliggørelsen ske af den registrerede og må derfor ikke være på andres foranledning.
Kontrol og dokumentation
Vesthimmerlands Gymnasium skal sikre, at vi løbende foretager en dokumenteret kontrol af, at denne retningslinje overholdes. Kontrollen skal godkendes af bestyrelsen for Vesthimmerlands Gymnasium.
Vesthimmerlands Gymnasium skal kunne dokumentere (påvise):
- Hvilket hjemmelsgrundlag vi bygger vores behandling af personoplysninger på
- Hvilket hjemmelsgrundlag i særlovgivning vi i givet fald bygger vores behandling af personoplysninger på
- At den løbende kontrol med denne retningslinje overholdes
Dokumentejer, godkender og versionering
Ejer: Vicerektor Ralf Michael Leimbeck, dataansvarlig
Godkender: Rektor Jette Rygaard
Dato | Version | Forfatter | Ændringsbeskrivelse |
12. april 2018 | 1.0 | Danske Gym. – JUS | – |
24. maj 2018 | 1.1 | RL | Tilrettet til VHG |
30. august 2021 | 1.2 | RL | Rettet DPO kontaktoplysninger |
29. august 2022 | 1.3 | RL | Rettet DPO kontaktoplysninger |
* De nævnte hjemmelsgrundlag for behandling af følsomme oplysninger, er udvalgt på baggrund af skolens behandlingsaktiviteter.