Retningslinje om de registreredes rettigheder

Retningslinje om de registreredes rettigheder. Dekorativt billede med GDPR-bogstaver.

Databeskyttelsesforordning

Retningslinje om de registreredes rettigheder på Vesthimmerlands Gymnasium

Anvendelsesområde

Retningslinje om de registreredes rettigheder er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet ”forordningen” i det følgende) og gælder for alle ansatte på Vesthimmerlands Gymnasium, der behandler personoplysninger.

Formål

Formålet med denne retningslinje er at sikre, at Vesthimmerlands Gymnasium altid er i stand til at iagttage de registreredes rettigheder.

Definitioner

Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som fx et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.

Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige.

Databeskyttelsesrådgiveren (DPO) er en uafhængig person med ekspertise i databeskyttelsesret og – praksis, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler hos Vesthimmerlands Gymnasium. Databeskyttelsesrådgiverens funktion er at understøtte, at Vesthimmerlands Gymnasium overholder reglerne i forordningen. Databeskyttelsesrådgiveren ansættes af gymnasiets IT-fællesskab, IT supportcentret.

De registreredes rettigheder

De personer, som Vesthimmerlands Gymnasium behandler personoplysninger om, har en række rettigheder i henhold til databeskyttelsesforordningen, som vi som dataansvarlig skal iagttage.

De registreredes rettigheder er

  • Oplysningspligt (artikel 13 og 14)
  • Ret til indsigt (artikel 15)
  • Ret til berigtigelse (artikel 16)
  • Ret til sletning (artikel 17)
  • Ret til begrænsning af behandling (artikel 18)
  • Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling (artikel 19)
  • Ret til dataportabilitet (artikel 20)
  • Ret til indsigelse (artikel 21)
  • Ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering (artikel 22)

Oplysningspligten adskiller sig fra de øvrige rettigheder, idet Vesthimmerlands Gymnasium som dataansvarlig skal sørge for at iagttage dette på eget initiativ, hvorimod de andre rettigheder skal iagttages efter anmodning fra den registrerede.

Selvom der er tale om en rettighed, er Vesthimmerlands Gymnasium således i forhold til oplysningspligten forpligtet til at iagttage denne uagtet om den registrerede har anmodet herom.

På dataansvarliges initiativ – oplysningspligten

(databeskyttelsesforordningens artikel 13 og 14)

Vi skelner altid mellem den situation hvor Vesthimmerlands Gymnasium indsamler personoplysninger hos den registrerede og den situation, hvor Vesthimmerlands Gymnasium indsamler oplysninger om den registrerede hos andre end den registrerede. 

Indsamling hos den registrerede (artikel 13)

Når Vesthimmerlands Gymnasium indsamler personoplysninger direkte hos den registrerede, skal vi opfylde vores oplysningspligt samtidig med indsamlingen.

Hvis den registrerede eksempelvis udfylder en blanket, og efterfølgende giver den til os, kan vi med fordel opfyldes vores oplysningspligt i blanketten.

Oplysningspligten skal opfyldes i forbindelse med hvert databehandlingsformål.

Se endvidere bilag A og B, som oplister de oplysninger, der skal gives.

Indsamling hos andre end den registrerede (artikel 14)

Personoplysninger indsamles hos andre end den registrerede, når Vesthimmerlands Gymnasium har fået personoplysningerne fra eksempelvis andre dataansvarlige, herunder andre offentlige myndigheder.

Opfyldelsen af denne oplysningspligt skal ske så tidligt som muligt efter indsamlingen af personoplysningerne, hvilket betyder, at vi som hovedregel giver de påkrævede oplysninger til den registrerede inden for 10 dage.

Oplysningspligten skal opfyldes i forbindelse med hvert databehandlingsformål.

Se endvidere bilag A og B, som oplister de oplysninger, der skal gives.

Efter anmodning fra den registrerede (*1)

Ret til indsigt

(databeskyttelsesforordningens artikel 15)

Efter denne bestemmelse har den registrerede ret til at se de personoplysninger, som Vesthimmerlands Gymnasium behandler om den pågældende. Derudover har den registrerede ret til at modtage en række oplysninger, om de behandlinger, Vesthimmerlands Gymnasium foretager, hvori den registrerede optræder.

På baggrund heraf har den registrerede mulighed for at følge med i om de pågældende personoplysninger er korrekte og ajourførte samt om behandlingen er lovlig.

Som offentlig myndighed kan Vesthimmerlands Gymnasium undlade at imødekommen indsigtsanmodning, hvis oplysninger kan undtages efter reglerne i offentlighedslovens §§ 19-29 og § 35.

Hvis den registrerede anmoder om indsigt udleverer Vesthimmerlands Gymnasium en liste med beskrivelse af:

  • Formålet med behandlingen af personoplysningerne
  • Kategorier af personoplysninger, eksempelvis “helbredsoplysninger”, “kontaktoplysninger” mv.
  • Modtagere af personoplysninger, som personoplysningerne videregives til
  • Tidsrummet for databehandlingen, dvs. hvor lang tid Vesthimmerlands Gymnasium agter at gemme oplysningerne
  • Retten til at bede Vesthimmerlands Gymnasium om at berigtige oplysninger
  • Klageadgange til Datatilsynet
  • Hvorfra oplysningerne stammer, såfremt de ikke er indsamlet hos den registrerede
  • De fornødne garantier, som Vesthimmerlands Gymnasium har gjort i tilfælde af overførsel til 3.lande

Hvis Vesthimmerlands Gymnasium modtager en indsigtsanmodning, der er meget omfangsrig, kan vi anmode den registrerede om en præcisering af anmodningen. Det bemærkes dog, at såfremt den registrerede ikke ønsker at præcisere anmodningen, må Vesthimmerlands Gymnasium ikke afvise anmodningen. I tilfælde heraf er vi forpligtet til at give indsigt i alle de pågældende personoplysninger.

Børn

Hvis en forældremyndighedsindehaver ønsker at få indsigt i hvilke personoplysninger, Vesthimmerlands Gymnasium behandler om den pågældendes barn, skal vi foretage en konkret vurdering af barnets modenhedsniveau. Udgangspunktet er, at unge selvstændigt kan bede om indsigt, når de er 15 år. Vesthimmerlands Gymnasium kan i visse tilfælde give svaret på anmodningen til såvel den unge som forældrene, men det vil bero på en konkret vurdering.

Kontakt Vesthimmerlands Gymnasiuma databeskyttelsesrådgiver (DPO) i tvivlstilfælde:

Databeskyttelsesrådgiver (DPO) for Vesthimmerlands Gymnasium
Bech-Bruun Advokatpartnerselskab
CVR nr.: 3853 8071
Langelinie Allé 35
2100 København Ø.
Telefonnummer – 72 27 30 02
Mail: dpo.vesthimmerlands.gym@bechbruun.com
Sikker beskedfunktion via: https://dpo.bechbruun.com/vesthimmerland (åbner nyt vindue)

Vi opfordrer til, at du bruger den sikre beskedfunktion, hvis din henvendelse indeholder følsomme eller fortrolige oplysninger.

Du har også mulighed for at kontakte gymnasiets informationssikkerhedskoordinator og dataansvarlig:

Informationssikkerhedskoordinator på Vesthimmerlands Gymnasium
Heidi Venstrup Nielsen
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: HN@vhim-gym.dk

Dataansvarlig på Vesthimmerlands Gymnasium
Vicerektor Ralf Michael Leimbeck
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: RL@vhim-gym.dk

Ret til berigtigelse

(databeskyttelsesforordningens artikel 16)

Efter denne bestemmelse har den registrerede ret til at få forkerte personoplysninger om sig selv rettet samt at få fuldstændiggjort ufuldstændige personoplysninger.

Det er vigtigt at bemærke, at Vesthimmerlands Gymnasium på trods af ovenstående, stadig har en selvstændig pligt til at ajourføre personoplysninger. 

I de tilfælde, hvor Vesthimmerlands Gymnasium ikke er enige med den registrerede om, at oplysningerne er urigtige, er vi som udgangspunkt ikke forpligtet til at berigtige dem, eksempelvis hvis der ikke er enighed om et mødenotat. I så fald sørger vi for at lave en tilføjelse til de omstridte oplysninger, hvoraf det fremgår at der er uenighed om personoplysningernes rigtighed.

Visse sager, kan indeholde faglige eller subjektive vurderinger af en registreret, eksempelvis en rektors faglige vurdering af en elev, som den registrerede ikke er enig i. I denne situation sørger vi for at lave en tilføjelse til de omstridte oplysninger, hvoraf det fremgår at der er uenighed om personoplysningernes rigtighed.

Vesthimmerlands Gymnasium sørger for at underrette eventuelle databehandlere eller tredjemænd, som vi måtte have videregivet de urigtige oplysninger til, således denne ligeledes kan berigtige oplysningerne.

Se endvidere skabelon i bilag C.

”Retten til at blive glemt”

(databeskyttelsesforordningens artikel 17)

Retten til at blive glemt indebærer at en registreret, med visse undtagelser, har ret til at få slettet personoplysninger om sig selv.

For at få slettet oplysningerne skal følgende gøre sig gældende

  • Personoplysningerne er ikke længere nødvendige for at opfylde det formål, de oprindeligt er indsamlet til
  • Den registrerede trækker sit samtykke tilbage
  • Den registrerede gør indsigelse mod behandlingen, jf. artikel 21
  • Behandlingen er ulovlig
  • Personoplysningerne skal i henhold til lovgivningen slettes

Når Vesthimmerlands Gymnasium sletter oplysninger, skal vi sørge for, at personoplysningerne slettes endegyldigt, de må således ikke kunne genskabes. Hvis det er teknisk muligt slettes også oplysningerne fra gymnasiets backup.

Det er vigtigt at bemærke, at gymnasiet godt kan behandle de samme personoplysninger til flere ting. Det er altså vigtigt at der sker en formålsbestemt sletning.

Det er endvidere vigtigt at bemærke, at Vesthimmerlands Gymnasium på trods af ovenstående, stadig har en selvstændig pligt til at slette personoplysninger, som ikke længere er nødvendige have i relation til de formål, hvortil personoplysningerne behandles.

Retten til at blive glemt er således som udgangspunkt kun relevant, når en registreret person anmoder om sletning før det tidspunkt, som Vesthimmerlands Gymnasium har oplyst til den registrerede.

Vesthimmerlands Gymnasium sørger for at underrette eventuelle databehandlere eller tredjemænd, som vi måtte have videregivet personoplysningerne til, således denne ligeledes kan slette oplysningerne, i tilfælde af at vi skal imødekomme sletningsanmodningen.

Undtagelser til retten til at blive glemt

Vesthimmerlands Gymnasium er ikke forpligtet til at slette personoplysninger, som vi i medfør af vores offentlige myndighedsudøvelse er forpligtet til behandle, eksempelvis notater i henhold til offentlige myndigheders notatpligt, eller såfremt vi behandler personoplysningerne som led i overholdelsen af en retlig forpligtelse.

Ret til begrænsning af behandling

(databeskyttelsesforordningens artikel 18 og 19)

Efter denne bestemmelse har den registrerede i visse tilfælde ret til at få begrænset behandlingen af sine personoplysninger. Herefter må Vesthimmerlands Gymnasium ikke behandle den pågældendes personoplysninger på andre måder end opbevaring.

Vesthimmerlands Gymnasium skal begrænse behandlingen, hvis

  • Den registrerede mener at de personoplysninger, vi behandler, er forkerte
  • Behandlingen er ulovlig, og den registrerede modsætter sig sletning, men anmoder om begrænsning af anvendelsen
  • Oplysningerne er ikke længere nødvendige til den pågældende behandling, men de er nødvendige i forbindelse med fastlæggelse af retskrav
  • Den registrerede har gjort indsigelse mod behandlingen

Vesthimmerlands Gymnasium kan kun foretage anden behandling end opbevaring, hvis vi får den registreredes samtykke eller hvis det er nødvendigt for at overholde vores forpligtelser i henhold til lovgivningen, eksempelvis offentlighedslovens regler om aktindsigt.

Når vi begrænser oplysningerne, kan vi eksempelvis gøre oplysningerne utilgængelige for brugerne i systemet eller flytte de omstridte oplysninger over i et andet behandlingssystem. Hvis oplysningerne er offentliggjort på Vesthimmerlands Gymnasiums hjemmeside, skal de midlertidigt fjernes.

Vesthimmerlands Gymnasium underretter den registrerede, databehandlere og eventuelle tredjemænd inden vi ophæver en begrænsning af behandling.

Ret til dataportabilitet

(databeskyttelsesforordningens artikel 20)

I visse tilfælde har den registrerede ret til at få udleveret de personoplysninger, som pågældende har givet til gymnasiet. Personoplysningerne skal gives i et struktureret og maskinlæsbart format.

Formålet med dataportabilitet er, at give den registrerede en øget kontrol over sine personoplysninger.

For at få personoplysningerne udleveret skal:

  1. Vesthimmerlands Gymnasiums behandling være baseret på et samtykke eller nødvendig af hensyn til opfyldelsen af en kontrakt
  2. den registrerede selv have givet Vesthimmerlands Gymnasium sine personoplysninger.

Retten til dataportabilitet finder ikke anvendelse, når behandlingen henhører under offentlig myndighedsudøvelse, som Vesthimmerlands Gymnasium er pålagt.

Hvis den registrerede anmoder om det, skal Vesthimmerlands Gymnasium overføre personoplysningerne til en anden dataansvarlig, såfremt det er teknisk muligt. Det kunne eksempelvis være fra Vesthimmerlands Gymnasium til et andet gymnasium i tilfælde af skoleskift. I denne situation er Vesthimmerlands Gymnasium ansvarlig for at oplysningerne overføres sikkert og krypteret, således oplysningerne ikke kommer til uvedkommendes kendskab.

Hvis Vesthimmerlands Gymnasium skal modtage personoplysninger fra en anden dataansvarlig er det vigtigt at vi sikrer, at vi behandler de modtagne personoplysninger på et lovligt grundlag. Hvis vi vurderer, at gymnasiet har fået flere oplysninger end hvad vi har brug for, er vi forpligtet til at slette disse oplysninger, medmindre den registrerede beder os specifikt om at gemme dem.

Ret til indsigelse

(databeskyttelsesforordningens artikel 21)

Efter denne bestemmelse har den registrerede mulighed for at gøre indsigelse mod en ellers lovlig behandling af sine personoplysninger.

Retten til indsigelse gælder kun hvis behandlingen er nødvendig af hensyn til udførelse af opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse (*2).

Hvis Vesthimmerlands Gymnasium modtager en indsigelsesanmodning skal vi således på ny vurdere om behandlingen er lovlig. Hvis vi vurderer at behandlingen fortsat er lovlig, skal vi forklare den registrerede dette.

Krav til opfyldelse af de registreredes rettigheder

Udgangspunktet er, at det er den dataansvarlige, der er ansvarlig for at iagttage de registreredes rettigheder. Der er dog ikke noget til hinder for, at den dataansvarlige uddelegerer opgaven til en databehandler, eksempelvis i databehandleraftalen.

Når Vesthimmerlands Gymnasium kommunikerer med en registreret, sker det altid skriftligt, med mindre den registrerede specifikt har anmodet om en mundtlig besvarelse. Endvidere sikrer vi os, at kommunikationen altid sker på en kortfattet, lettilgængelig og forståelig måde.

Hvis Vesthimmerlands Gymnasium modtager en anmodning fra den registrerede, skal vi uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen give den registreret svar. I særlige tilfælde kan denne frist forlænges i op til 3 måneder, såfremt der er ekstraordinære årsager hertil.

Hvis Vesthimmerlands Gymnasium efter behandlingen af anmodningen finder, at denne ikke kan imødekommes, giver vi en skriftlig begrundelse, og vi vedlægger ligeledes en klagevejledning til Datatilsynet.

Vesthimmerlands Gymnasium skal som udgangspunkt besvare anmodninger, der relaterer sig til de registreredes rettigheder, uden beregning. Dette kan fraviges, såfremt der er tale om gentagne anmodninger, der er ”åbenbart grundløse eller overdrevne”. I tilfælde heraf, kan den dataansvarlige ligeledes nægte at besvare anmodningen.

Kontakt Vesthimmerlands Gymnasiums databeskyttelsesrådgiver i tvivlstilfælde, jf. side 4.

Kontrol og dokumentation

Vesthimmerlands Gymnasium skal sikre, at vi løbende foretager en dokumenteret kontrol af, at denne retningslinje overholdes. Kontrollen skal godkendes af bestyrelsen for Vesthimmerlands Gymnasium.

Vesthimmerlands Gymnasium skal kunne dokumentere (påvise):

  • Opfylder vores oplysningspligt
  • Overholder den registreredes rettigheder
  • At den løbende kontrol med denne retningslinje overholdes

Dokumentejer, godkender og versionering

Ejer: Vicerektor Ralf Michael Leimbeck, dataansvarlig

Godkender: Rektor Jette Rygaard

DatoVersionForfatterÆndringsbeskrivelse
12. april 20181.0Danske Gym. – JUS
24. maj 20181.1RLTilrettet til VHG
10. juni 20201.2RLÆndret DPO kontaktoplysninger
30. august 20211.3RLÆndret DPO kontaktoplysninger
29. august 20221.4RLÆndret DPO kontaktoplysninger

(*1) De nævnte rettigheder er udvalgt på baggrund af gymnasiets behandlingsaktiviteter og arbejdsområder.

(*2) Retten til indsigt gælder også ift. interesseafvejningsreglen, som dog ikke gælder for offentlige myndigheder.

BILAG A: Underretning om indsamling af personoplysninger for ansatte

Vesthimmerlands Gymnasium sender dig dette brev for at orientere dig om, at vi har modtaget oplysninger om dig. Efter databeskyttelsesforordningens artikel 14 skal vi nemlig give dig en række oplysninger, når vi modtager oplysninger om dig fra andre.

De oplysninger vi skal give dig er følgende:

  1. Kontaktoplysninger på den dataansvarlige – hvordan kontakter du os?
  2. Kontaktoplysninger på databeskyttelsesrådgiveren
  3. Formålene og retsgrundlaget for behandlingen af dine personoplysninger
  4. Kategorier af personoplysninger
  5. Modtagere eller kategorier af modtagere
  6. Overførsel til modtagere i tredjelande, herunder internationale organisationer
  7. Hvor dine personoplysninger stammer fra
  8. Opbevaring af dine personoplysninger
  9. Retten til at trække samtykke tilbage
  10. Dine rettigheder
  11. Klage til Datatilsynet

I nedenstående bilag A1 finder du en uddybning i forhold til de oplysninger, Vesthimmerlands Gymnasium skal give dig. Dette brev er alene til orientering, og giver ikke umiddelbart anledning til nogen sagsbehandling i forhold til dig.

Har du spørgsmål, er du velkommen til at kontakte os.

Du kan endvidere se vores kontaktoplysninger i Bilag A1 nedenfor.

Med venlig hilsen
Vicerektor Ralf Michael Leimbeck

BILAG A1: Oplysninger om vores behandling af dine personoplysninger mv.

1. Vesthimmerlands Gymnasium er dataansvarlig – hvordan kontakter du os?

Vesthimmerlands Gymnasium er dataansvarlig for behandlingen af de personoplysninger, som vi har modtaget om dig.

Du finder vores kontaktoplysninger nedenfor.

Vesthimmerlands Gymnasium

Jyllandsgade 52, 9600 Aars

CVR-nr.: 29547947

Telefon: 98 62 25 77

Mail: adm@vhim-gym.dk

2. Kontaktoplysning til databeskyttelsesrådgiver

Hvis du har spørgsmål til vores behandling af dine oplysninger, er du altid velkommen til at kontakte Vesthimmerlands Gymnasiums databeskyttelsesrådgiver.

Databeskyttelsesrådgiver (DPO) for Vesthimmerlands Gymnasium
Bech-Bruun Advokatpartnerselskab
CVR nr.: 3853 8071
Langelinie Allé 35
2100 København Ø.
Telefonnummer – 72 27 30 02
Mail: dpo.vesthimmerlands.gym@bechbruun.com
Sikker beskedfunktion via: https://dpo.bechbruun.com/vesthimmerland (åbner nyt vindue)

Vi opfordrer til, at du bruger den sikre beskedfunktion, hvis din henvendelse indeholder følsomme eller fortrolige oplysninger.

Du har også mulighed for at kontakte gymnasiets informationssikkerhedskoordinator og dataansvarlig:

Informationssikkerhedskoordinator på Vesthimmerlands Gymnasium
Heidi Venstrup Nielsen
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: HN@vhim-gym.dk

Dataansvarlig på Vesthimmerlands Gymnasium
Vicerektor Ralf Michael Leimbeck
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: RL@vhim-gym.dk

3. Formålene med og retsgrundlaget for behandlingen af dine personoplysninger

Retsgrundlaget for vores behandling af dine personoplysninger følger af:

  1. Samtykke
  2. Nødvendig behandling af hensyn til opfyldelse af kontrakten
  3. Lovgivningen (retslig forpligtelse)

4. Kategorier af personoplysninger

Vesthimmerlands Gymnasium behandler nedenstående kategorier af personoplysninger om dig. Retsgrundlaget for behandlingen af dine personoplysninger fremgår af kolonnen til højre jf. afsnit 3.

Almindelig personoplysninger Behandlingsgrundlag
Adresse b
Telefonnummer b
Uddannelse/eksamensbeviser b
Ansøgning til stillingen på VHG b
Ansættelseskontrakt samt evt. tillæg (opgaver, tid, m.v.) b
Lønoplysninger (inkl. skat, kontonummer, pension) b
Fravær (inkl. barsel, sygefravær, omsorgsdage og feriefridage) b
Efteruddannelse b
Sanktioner b
MUS-samtaler b
Billeder a
   
Fortrolige personoplysninger  
Cpr-nummer c
   
Følsomme personoplysninger  
Medlemskab af fagforening c
Helbredsoplysninger som medarbejderen selv har oplyst gymnasiet om a

Gymnasiet sender mails med personfølsomme data til medarbejderne via digital postkasse.

Ved ansættelsens ophør slettes medarbejderens konto og alle tilhørende data på Office365.

Billeder

Alle medarbejdere bliver bedt om at give samtykke til at vil lægger billeder fra gymnasiets hverdag – og dermed altså også eventuelle billeder af medarbejderen – på gymnasiets hjemmeside, ligesom foto af alle ansatte vises på særskilt side på hjemmesiden.

 5. Modtagere eller kategorier af modtagere

Vesthimmerlands Gymnasium videregiver eller overlader dine personoplysninger til følgende modtagere:

ESDH system / Personalemappe

Information om medarbejderens CPR-nummer, adresse, telefonnummer, uddannelse, ansøgning til stillingen på VHG, ansættelse, lønoplysninger, barsel, referater af MUS og eventuelle personalesager (ex. advarsler eller helbredsoplysninger som medarbejderen selv har oplyst gymnasiet om) opbevares i personalemappen. Personalemappen findes elektronisk i gymnasiets ESDH system, hvor kun rektor, vicerektor og regnskabschefen har adgang. En fysisk kopi af personalemappen findes aflåst på rektors kontor. Alle data lægges manuelt i personalemappen.

Lectio

Gymnasiets studieadministrative system Lectio opbevarer data om undervisernes CPR-nummer, adresse, telefonnummer, samt visse oplysninger om undervisernes arbejdstid. Lectio er et gennemsigtigt system, og alle beskeder i systemet kan fremfindes af gymnasiets ledelse, ligesom en eventuel tidsregistrering af arbejdstiden vil kunne ses.

IT supportcentret (ITS)

En medarbejder med tilknytning til undervisningen vil blive oprettet hos ITS, som bl.a. supporterer gymnasiets netværk, printere og Microsoft licenser. Til dette formål indlæses personoplysninger fra Lectio til ITS.

Microsoft – Office365

En medarbejder med tilknytning til undervisningen får tildelt en konto i gymnasiets Office365 pakke via ITS. Kontoen omfatter et drev på OneDrive og OneNote, en mailadresse i Outlook, en Outlook-kalender samt adgang til gymnasiets SharePoint system. I den daglige drift vil adgangen til både mail og drev alene ligge hos den ansatte, og det er medarbejderens pligt at sikre, at kun lovligt materiale opbevares.

Medarbejdere har adgang til drev og mail også i fritiden, men det må forventes at gymnasiets øverste ledelse (rektor/vicerektor via gymnasiets it-support) ved ansættelsens ophør eller i særlige situationer kan få adgang til drev og mails – dog altid efter forudgående orientering af medarbejderen. Såfremt Office365 anvendes privat af medarbejderen, kan det med fordel angives klart hvornår filer/mails er private, ved at skrive PRIVAT først i filnavnet eller mail-teksten. En fil/mail med denne påskrift vil aldrig blive åbnet af den øverste ledelse.

Lønsystemer

Gymnasiets lønsystemer findes hos Silkeborg Data og Danske Business Online. Ud over løndata (registreret på CPR-nummer), registreres ansattes sygefravær, omsorgsdage og feriefridage.  Silkeborg Data videregiver dine løndata til SKAT.

6. Overførsel til modtagere i tredjelande, herunder internationale organisationer

Vesthimmerlands Gymnasium overfører ikke personoplysninger til lande uden for EU/EØS, uden der foreligger et lovligt overførselsgrundlag, jf. databeskyttelsesforordningens kapitel 5.

7. Hvor dine personoplysninger stammer fra

Dine personoplysninger stammer primært fra dine egne angivelser ved ansættelsen. Vesthimmerlands Gymnasium indsamler ikke oplysninger om dig fra andre kilder, med mindre du på forhånd er informeret herom. 

8. Opbevaring af dine personoplysninger

Vesthimmerlands Gymnasium opbevarer dine personoplysninger (lønsystemer, ESDH, personalemappen) under ansættelsen på VHG og fem år efter ansættelsen stopper. Herefter slettes/makuleres alle oplysninger.

Personoplysninger i Lectio kan på nuværende tidspunkt ikke slettes. Lectio har dog forpligtet sig til at leve op til persondataforordningen, hvorfor data må forventes at blive slettet fem år efter at ansættelsen stopper – gymnasiet er i dialog med Lectio herom.

9. Retten til at trække samtykke tilbage

Du har til enhver tid ret til at trække dit samtykke tilbage.

Dette kan du gøre ved at kontakte os på de kontaktoplysninger, der fremgår ovenfor i punkt 1.

Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af vores behandling af dine personoplysninger på baggrund af dit tidligere meddelte samtykke og op til tidspunktet for tilbagetrækningen. Hvis du tilbagetrækker dit samtykke, har det derfor først virkning fra dette tidspunkt.

10. Dine rettigheder

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til Vesthimmerlands Gymnasiums behandling af oplysninger om dig.

Hvis du vil gøre brug af dine rettigheder skal du kontakte os.

Ret til at se oplysninger (indsigtsret)

Du har ret til at få indsigt i de oplysninger, som vi behandler om dig, samt en række yderligere oplysninger.

Ret til berigtigelse (rettelse)

Du har ret til at få urigtige oplysninger om dig selv rettet.

Ret til sletning

I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.

Ret til begrænsning af behandling

Du har visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle oplysningerne – bortset fra opbevaring – med dit samtykke, eller med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser.

Ret til indsigelse

Du har i visse tilfælde ret til at gøre indsigelse mod vores eller lovlige behandling af dine personoplysninger.

Du kan også gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring.

Ret til dataportabilitet

Du har i visse tilfælde ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format samt at få overført disse personoplysninger fra én dataansvarlig til en anden uden hindring.

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.

11. Klage til Datatilsynet

Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, Vesthimmerlands Gymnasium behandler dine personoplysninger på.

Du finder Datatilsynets kontaktoplysninger på www.datatilsynet.dk.

Bilag B: Skabelon – Underretning om indsamling af personoplysninger for elever

Vesthimmerlands Gymnasium sender dig dette brev for at orientere dig om, at vi har modtaget oplysninger om dig. Efter databeskyttelsesforordningens artikel 14 skal vi nemlig give dig en række oplysninger, når vi modtager oplysninger om dig fra andre.

De oplysninger vi skal give dig er følgende:

  1. Kontaktoplysninger på den dataansvarlige – hvordan kontakter du os?
  2. Kontaktoplysninger på databeskyttelsesrådgiveren
  3. Formålene og retsgrundlaget for behandlingen af dine personoplysninger
  4. Kategorier af personoplysninger
  5. Modtagere eller kategorier af modtagere
  6. Overførsel til modtagere i tredjelande, herunder internationale organisationer
  7. Hvor dine personoplysninger stammer fra
  8. Opbevaring af dine personoplysninger
  9. Retten til at trække samtykke tilbage
  10. Dine rettigheder
  11. Klage til Datatilsynet

I nedenstående bilag B1 finder du en uddybning i forhold til de oplysninger, Vesthimmerlands Gymnasium skal give dig. Dette brev er alene til orientering, og giver ikke umiddelbart anledning til nogen sagsbehandling i forhold til dig.

Har du spørgsmål, er du velkommen til at kontakte os.

Du kan se vores kontaktoplysninger i Bilag B1 nedenfor.

Med venlig hilsen
Vicerektor Ralf Michael Leimbeck

Bilag B1 – Oplysninger om vores behandling af dine personoplysninger mv.

1. Vesthimmerlands Gymnasium er dataansvarlig – hvordan kontakter du os?

Vesthimmerlands Gymnasium er dataansvarlig for behandlingen af de personoplysninger, som vi har modtaget om dig. Du finder vores kontaktoplysninger nedenfor.

Vesthimmerlands Gymnasium
Jyllandsgade 52, 9600 Aars
CVR-nr.: 29547947
Telefon: 98 62 25 77
Mail: adm@vhim-gym.dk

2. Kontaktoplysning til databeskyttelsesrådgiver

Hvis du har spørgsmål til vores behandling af dine oplysninger, er du altid velkommen til at kontakte Vesthimmerlands Gymnasiums databeskyttelsesrådgiver. Du kan kontakte vores databeskyttelsesrådgiver på følgende måder:

Databeskyttelsesrådgiver (DPO) for Vesthimmerlands Gymnasium
Bech-Bruun Advokatpartnerselskab
CVR nr.: 3853 8071
Langelinie Allé 35
2100 København Ø.
Telefonnummer – 72 27 30 02
Mail: dpo.vesthimmerlands.gym@bechbruun.com
Sikker beskedfunktion via: https://dpo.bechbruun.com/vesthimmerland (åbner nyt vindue)

Vi opfordrer til, at du bruger den sikre beskedfunktion, hvis din henvendelse indeholder følsomme eller fortrolige oplysninger.

Du har også mulighed for at kontakte gymnasiets informationssikkerhedskoordinator og dataansvarlig:

Informationssikkerhedskoordinator på Vesthimmerlands Gymnasium
Heidi Venstrup Nielsen
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: HN@vhim-gym.dk

Dataansvarlig på Vesthimmerlands Gymnasium
Vicerektor Ralf Michael Leimbeck
Jyllandsgade 52
9600 Aars
Telefon: 98 62 25 77
Mail: RL@vhim-gym.dk

3. Formålene med og retsgrundlaget for behandlingen af dine personoplysninger

Retsgrundlaget for vores behandling af dine personoplysninger følger af:

  1. Samtykke
  2. Nødvendig behandling af hensyn til opfyldelse af en kontrakt
  3. Lovgivningen (retslig forpligtelse)

kljljlkljkljkl

4. Kategorier af personoplysninger

Vesthimmerlands Gymnasium behandler nedenstående kategorier af personoplysninger om dig. Retsgrundlaget for behandlingen af dine personoplysninger fremgår af kolonnen til højre jf. afsnit 3.

Almindelige personoplysninger:Behandlingsgrundlag (se punkt 3.) 
Adresseb 
Telefonnummerb 
Eksamensbevis(er) fra grundskolenb 
Optagelsesansøgning til VHGb 
Fraværb 
Studieretningsvalg og valgfagb 
Sanktionerb 
Informationer om værgeb 
Billeder  a 
   
Fortrolige personoplysninger:  
Cpr-nummerc 
   
Følsomme personoplysninger:  
Helbredsoplysninger som eleven selv har oplyst gymnasiet oma 

 5. Modtagere eller kategorier af modtagere

Vesthimmerlands Gymnasium videregiver eller overlader dine personoplysninger til følgende modtagere:

Undervisningsministeriet

Ministeriet får information om dit cpr-nummer, fagvalg, karakterer og afslutningsvis bestået eksamen. Fra Undervisningsministeriet sendes dine oplysninger også til Danmarks Statistik.

Lectio

Gymnasiets studieadministrative system hedder Lectio, og her opbevares data om dit cpr-nummer, adresse, telefonnummer, værge, fravær, sanktioner og karakterer. Herudover opbevares de beskeder du har sendt i systemet. Lectio er et gennemsigtigt system, og alle beskeder i systemet kan fremfindes af gymnasiets ledelse.

IT supportcentret (ITS)

En elev på VHG vil blive oprettet hos ITS, som bl.a. supporterer gymnasiets netværk, printere og Microsoft licenser. Til dette formål indlæses personoplysninger fra Lectio til ITS.

Microsoft – Office365

Som elev på VHG får du tildelt en konto i gymnasiets Office365 pakke via ITS. Kontoen omfatter et drev på OneDrive og OneNote, samt adgang til gymnasiets SharePoint system. I den daglige drift vil du alene have adgang til de private dele af dine drev.

Bibliotekssystemet

Via UNI-login bliver du tilknyttet gymnasiets bibliotekssystem Cicero, som derfor opbevarer dit navn, cpr-nummer, adresse, telefonnummer samt oplysninger om udlån. Såfremt du låner film via mitCFU vil data overføres hertil.

SU-systemet

Når du ansøger om SU får gymnasiet de indtastede oplysninger fra SU-systemet. Oplysninger behandles alene af gymnasiets økonomisekretær. Baggrunden for tildeling af udeboende SU behandles af din studievejleder og rektor. Data gemmes i gymnasiets ESDH system, mens du er elev på gymnasiet.

ESDH system

Information om dit CPR-nummer, adresse, telefonnummer, ansøgning, sanktioner, afsluttende karakterbeviser og eventuelle informationer fra dig (ex. klager, helbredsoplysninger mm) opbevares i en elevmappe. Elevmappen findes elektronisk i gymnasiets ESDH system (elektronisk arkiv), hvor kun ledelsen og udvalgte medarbejdere i administrationen har adgang.

6. Overførsel til modtagere i tredjelande, herunder internationale organisationer

Vesthimmerlands Gymnasium overfører ikke personoplysninger til lande uden for EU/EØS, uden der foreligger et lovligt overførselsgrundlag, jf. databeskyttelsesforordningens kapitel 5.

7. Hvor dine personoplysninger stammer fra

Dine personoplysninger stammer primært fra dine egne angivelser i optagelsesansøgningen. Vesthimmerlands Gymnasium indsamler ikke oplysninger om dig fra andre kilder, med mindre du på forhånd er informeret herom. 

8. Opbevaring af dine personoplysninger

Vesthimmerlands Gymnasium opbevarer dine personoplysninger mens du er elev på gymnasiet. Når du forlader gymnasiet slettes dine data (se dog nedenstående om Lectio). Det skal dog bemærkes, at karakterbeviser gemmes i 30 år efter du har forladt gymnasiet.

Vesthimmerlands Gymnasium kan på nuværende tidspunkt ikke sige, hvor længe vi vil opbevare dine personoplysninger i Lectio, idet systemet ikke kan slette data. Dog kan vi oplyse dig om, at vi arbejder på at få systemet klargjort til at kunne slette data på lige fod med de øvrige systemer.

9. Retten til at trække samtykke tilbage

Du har til enhver tid ret til at trække dit samtykke tilbage.

Dette kan du gøre ved at kontakte os på de kontaktoplysninger, der fremgår ovenfor i punkt 1.

Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af vores behandling af dine personoplysninger på baggrund af dit tidligere meddelte samtykke og op til tidspunktet for tilbagetrækningen. Hvis du tilbagetrækker dit samtykke, har det derfor først virkning fra dette tidspunkt.

10. Dine rettigheder

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til Vesthimmerlands Gymnasiums behandling af oplysninger om dig.

Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.

Ret til at se oplysninger (indsigtsret)

Du har ret til at få indsigt i de oplysninger, som vi behandler om dig, samt en række yderligere oplysninger.

Ret til berigtigelse (rettelse)

Du har ret til at få urigtige oplysninger om dig selv rettet.

Ret til sletning

I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.

Ret til begrænsning af behandling

Du har visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle oplysningerne – bortset fra opbevaring – med dit samtykke, eller med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser.

Ret til indsigelse

Du har i visse tilfælde ret til at gøre indsigelse mod vores eller lovlige behandling af dine personoplysninger.

Du kan også gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring.

Ret til dataportabilitet

Du har i visse tilfælde ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format samt at få overført disse personoplysninger fra én dataansvarlig til en anden uden hindring.

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.

11. Klage til Datatilsynet

Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, Vesthimmerlands Gymnasium behandler dine personoplysninger på.

Du finder Datatilsynets kontaktoplysninger på www.datatilsynet.dk.

Bilag C: Skabelon – indsigt

Vejledning til brug af skabelonen

Dele af skabelonen skal kun anvendes i det omfang, teksten er relevant for jeres behandling af personoplysninger om den registrerede. I så fald er teksten/afsnittet opsat med en kursiv skrifttype. Det betyder f.eks., at punkt 2 kun skal anvendes, hvis I har en databeskyttelsesrådgiver. De steder, hvor teksten optræder [således], er det hensigten, at dette udfyldes af jer som dataansvarlig.

Enkelte steder kan der i skabelonen forekomme ((tekst i dobbelt parentes)). Dette er en kommentar til dig, der benytter skabelonen, og bør fjernes fra den endelige udgave.

Indsigt i personoplysninger

Ved [e-mail/brev] af [angiv dato] har du anmodet om indsigt i de oplysninger, der behandles om dig hos Vesthimmerlands Gymnasium.

Vi forstår din henvendelse som en anmodning om indsigt efter databeskyttelsesforordningen artikel 15.

Vesthimmerlands Gymnasium kan oplyse, at vi behandler oplysninger om dig. En kopi af personoplysningerne vedlægges.

Herudover skal vi i anledning af din anmodning give dig en række oplysninger om vores behandling af dine personoplysninger. De oplysninger vi skal give dig er disse:

  1. Formålene med behandlingen af dine personoplysninger
  2. Kategorier af personoplysninger
  3. Modtagere eller kategorier af modtagere
  4. Modtagere i tredjelande, herunder internationale organisationer
  5. Opbevaring af personoplysningerne
  6. Hvor dine personoplysninger stammer fra
  7. Ret til berigtigelse, sletning, begrænsning og indsigelse
  8. Klage til Datatilsynet

I det nedenstående bilag C1 finder du en uddybning i forhold til de oplysninger, vi skal give dig.

Har du spørgsmål, er du velkommen til at kontakte os på telefon (98 62 25 77) eller mail (adm@vhim-gym.dk).

Med venlig hilsen
Vesthimmerlands Gymnasium

Bilag C1: Uddybende oplysninger om vores behandling af dine personoplysninger

1. Formålene med behandlingen af dine personoplysninger

Vesthimmerlands Gymnasium behandler dine personoplysninger til følgende formål:

[Beskriv formål – der kan godt være flere].

2. Kategorier af personoplysninger

Vesthimmerlands Gymnasium behandler følgende kategorier af personoplysninger om dig:

[Beskriv kategori/kategorier af personoplysninger, som I behandler om den registrerede, herunder om de personoplysninger, I har indsamlet, er almindelige personoplysninger eller særlige kategorier af personoplysninger (følsomme personoplysninger)].

3. Modtagere eller kategorier af modtagere

Vesthimmerlands Gymnasium videregiver eller overlader dine personoplysninger til følgende modtagere:

[Beskriv hvis muligt konkret modtager/konkrete modtagere eller kategorier af modtagere, f.eks. ”SKAT”, ”andre offentlige myndigheder” eller ”databehandlere”].

4. Modtagere i tredjelande, herunder internationale organisationer

Vesthimmerlands Gymnasium overfører ikke personoplysninger til lande uden for EU/EØS, uden der foreligger et lovligt overførselsgrundlag, jf. databeskyttelsesforordningens kapitel 5.

Vesthimmerlands Gymnasium kan oplyse, at [indsæt oplysninger om de fornødne garantier i medfør af artikel 46 i forbindelse med en evt. overførsel].

5. Opbevaring af dine personoplysninger

Vesthimmerlands Gymnasium opbevarer dine personoplysninger i [beskriv tidsrum].

((Hvis det ikke er muligt at fastsætte et konkret tidsrum brug i stedet teksten nedenfor))

Vesthimmerlands Gymnasium kan på nuværende tidspunkt ikke sige, hvor længe vi vil opbevare dine personoplysninger. Dog kan vi oplyse dig om, at vi vil lægge vægt på [beskriv kriterier der anvendes til at fastlægge tidsrum], når vi skal fastlægge, hvor længe dine oplysninger vil blive opbevaret.

6. Hvor dine personoplysninger stammer fra

Oplysningerne om dig stammer fra:

((Skal kun udfyldes, hvis oplysningerne ikke indsamles hos den registrerede))

[Beskriv hvorfra oplysningerne stammer].

7. Ret til berigtigelse, sletning, begrænsning og indsigelse

Nedenfor kan du læse om din ret til berigtigelse, sletning, begrænsning og indsigelse.

Hvis du vil gøre brug af dine rettigheder skal du kontakte os.

Ret til berigtigelse (rettelse)

Du har ret til at få urigtige oplysninger om dig selv rettet. Du har også ret til at få dine oplysninger suppleret med yderligere oplysninger, hvis dette vil gøre dine personoplysninger mere fuldstændige og/eller ajourførte.

Ret til sletning

I visse tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.

Ret til begrænsning af behandling

Du har i visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle oplysningerne – bortset fra opbevaring – med dit samtykke, eller med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser.

Ret til indsigelse

Du har i visse tilfælde ret til at gøre indsigelse mod vores ellers lovlige behandling af dine personoplysninger. Du kan også gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring.

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.

8. Klage til Datatilsynet

Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på. Du finder Datatilsynets kontaktoplysninger på www.datatilsynet.dk.