Retningslinje for behandling og beskyttelse af personoplysninger
Databeskyttelsesretningslinjen gælder Atheneskolen.
Retningslinjen skal hjælpe til at sikre og dokumentere, at skolen beskytter sine personoplysninger i overensstemmelse med reglerne for behandling af personoplysninger.
Retningslinjen bidrager desuden til, at skolen oplyser om behandlingen og brugen af de registrerede personoplysninger.
Retningslinjen gennemgås hvert år ved skoleårets start.
Fortegnelse over behandlingen af personoplysninger
Skolen behandler personoplysninger om:
Medarbejdere
Elever
Forældre
Leverandører
Skolen har udarbejdet en fortegnelse over behandlingen af personoplysninger.
Fortegnelsen giver overblik over de behandlinger, som skolen er ansvarlig for.
Personoplysningerne er en forudsætning for, at skolen kan indgå ansættelses- og leverandørkontrakter samt indmelde og administrere elever.
Behandlingens formål og lovlighed
Personoplysningerne behandles og arkiveres i forbindelse med:
Personaleadministration, herunder rekruttering, ansættelse, fratrædelse og udbetaling af løn
Stamdata for elever, herunder indmeldelse og løbende samarbejde
Stamdata for forældre
Stamdata for leverandører samt rekvisitioner og køb
Kontrakter
Markedsføring af skolen
Behandlingen er lovlig i medfør af hjemmel som angivet i ovenstående fortegnelse.
Skolen benytter ikke personoplysningerne til andre formål end de listede.
Skolen indsamler ikke flere personoplysninger end nødvendigt i forhold til opfyldelse af formålet.
Opbevaring og sletning
Skolen har indført følgende overordnede retningslinjer for opbevaring og sletning af personoplysninger:
Personoplysninger opbevares i fysiske mapper i aflåst kontor, kun medarbejdere med berettiget adgang har adgang til disse data.
Personoplysninger opbevares i it-systemer og på serverdrev kun medarbejdere med berettiget adgang har login til disse data.
Personoplysninger opbevares ikke længere, end hvad der er nødvendigt for formålet med behandlingen. Elev og forældreoplysninger slettes ved udmeldelse af skolen. Afgangsbeviser opbevares på aflåst kontor i 1 år og derefter i aflåst arkiv.
Personoplysninger for medarbejdere slettes fem år efter endt ansættelse, og personoplysninger om ansøgere slettes efter seks måneder.
Datasikkerhed
Skolen har ud fra en gennemført risikovurdering gennemført følgende sikkerhedsforanstaltninger for beskyttelse af personoplysninger:
Kun medarbejdere, der har et arbejdsbetinget behov for adgang til de registrerede personoplysninger, har adgang hertil enten fysisk eller gennem it-systemer med rettighedsstyring.
Alle computere har adgangskode, og medarbejderne må ikke overlade deres adgangskoder til andre.
Computere skal have installeret firewall og antivirusprogram, der løbende opdateres.
Personoplysninger slettes på forsvarlig vis ved udfasning og reparation af it-udstyr.
USB-nøgler, eksterne harddiske mv. med personoplysninger skal opbevares i aflåst skuffe eller skab.
Fysiske mapper er placeret på aflåst kontor eller i aflåste skabe.
Personoplysninger i fysiske mapper slettes ved makulering.
Alle medarbejdere skal modtage instruktion i, hvad de må gøre med personoplysninger, samt hvordan personoplysninger skal beskyttes.
Videregivelse
Personoplysninger om medarbejdere kan blive videregivet til offentlige myndigheder fx SKAT og pensionsselskaber. Personoplysninger bliver dertil videregivet til SU-Styrelsen og Undervisningsministeriet i forbindelse med ansøgning om tilskud til Skolen.
Databehandlere
Skolen benytter udelukkende databehandlere, såfremt databehandlerne stiller de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger til opfyldelse af persondatarettens krav.
Alle databehandlere underskriver en databehandleraftale forinden behandlingen iværksættes.
Rettigheder
Skolen varetager den registreredes rettigheder, herunder retten til indsigt, tilbagetrækning af samtykke, berigtigelse og sletning og orienterer de registrerede om skolens behandlinger af personoplysninger.
Registrerede har ligeledes ret til at klage til Datatilsynet.
Brud på persondatasikkerheden
I tilfælde af brud på persondatasikkerheden anmelder Skolen hurtigst muligt og inden 72 timer bruddet til Datatilsynet. Skolelederen er ansvarlig for, at dette sker. I anmeldelsen beskrives bruddet, hvilke grupper af personer det vedrører, og hvilke konsekvenser bruddet kan få for disse personer, samt hvordan skolen har afhjulpet eller vil afhjælpe bruddet. I tilfælde, hvor bruddet indebærer en høj risiko for de personer, om hvem skolen behandler personoplysninger, vil Skolen endvidere underrette disse. Skolen dokumenterer alle brud på persondatasikkerheden på Atheneskolen.