Senere ændringer til forskriften
Ændrer i/ophæver
Den fulde tekst

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på børne- og undervisningsområdet

1. Indledning

1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen for It og Læring under henvisning til databeskyttelsesforordningens artikel 28 om forholdet mellem aktører, der har en rolle som henholdsvis dataansvarlig og databehandler i relation til en behandling af personoplysninger.

1.2. På børne- og undervisningsområdet foretager Styrelsen for It og Læring på vegne af en række statslige institutioner, privat- og offentligt selvejende institutioner, private institutioner, kommuner og regioner behandling af personoplysninger i visse administrative systemer, som institutionerne er forpligtet til at benytte i henhold til:

§ 31 i lov om institutioner for erhvervsrettet uddannelse for så vidt angår behandling af personoplysninger i EASY A og EASY F

§§ 52, 108, 109, 112, 116, 117 og 118 i bekendtgørelse om erhvervsuddannelser for så vidt angår behandling af personoplysninger i Praktikpladsen.dk og EASY P

§ 1 i lov om institutioner for forberedende grunduddannelse for så vidt angår EGU-Portalen og KUU-Portalen

§ 61 i bekendtgørelse om erhvervsuddannelser og § 54 i lov om erhvervsuddannelser for så vidt angår behandling af personoplysninger i Elevplan.dk og Uddannelsesaftaler.dk

§§ 4 og 5 i bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser for så vidt angår behandling af personoplysninger i Netprøver.dk

§§ 2 c – 2 g og 14 i lov om kommunal indsats for unge under 25 år samt §§ 4-8 og 12 bekendtgørelse om uddannelsesparathedsvurdering, uddannelsesplaner og procedurer ved valg af ungdomsuddannelse for så vidt angår behandling af personoplysninger i Optagelse.dk

§ 3 i lov om folkeskolen, § 29 i lov om erhvervsuddannelser, § 18 a i lov om institutioner for erhvervsrettet uddannelse, § 61 a i lov om de gymnasiale uddannelser § 3 i lov om friskoler og private grundskoler m.v., § 3 a i lov om efterskoler og frie fagskoler samt § 12 a i lov om specialpædagogisk støtte ved videregående uddannelser for så vidt angår behandling af personoplysninger i Ordblindetesten

§ 54 i lov om erhvervsuddannelser for så vidt angår behandling af personoplysninger i Praktik+

1.3. Vilkårene for anvendelse af systemerne er de samme for statslige institutioner, privat- og offentligt selvejende institutioner, private institutioner, kommuner og regioner, der efter aftale med Styrelsen for It og Læring har valgt at benytte systemerne.

1.4. Det drejer sig om følgende systemer:

EASY A

EASY F

EASY P

EDUP (Elev Data Udvekslings Punk)

EGU-Portalen

Elevplan.dk og Uddannelsesaftaler.dk

Elevadministration.dk

KUU-Portalen

Netprøver.dk

Ordblindetesten

Optagelse.dk

Praktik+

Praktikpladsen.dk

SkoleKom

1.5. Styrelsen for It og Læring er databehandler for den behandling, som sker ved brug af de anførte administrative systemer, jf. punkt 1.4., da styrelsens behandling af personoplysninger i disse systemer alene sker til institutionernes, kommunernes eller regionernes formål og på deres vegne, hvorved de er dataansvarlige for behandlingen af oplysningerne.

1.6. Efter databeskyttelsesforordningens artikel 28, stk. 3, skal en databehandlers behandling være reguleret af en kontrakt eller andet retligt bindende dokument i henhold til EU-retten eller medlemslandenes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter:

1. Genstanden for og varigheden af behandlingen

2. Behandlingens karakter og formål

3. Typen af personoplysninger og kategorierne af registrerede

4. Den dataansvarliges forpligtelser og rettigheder

1.7. Det er på denne baggrund, at Styrelsen for It og Læring i nærværende cirkulæreskrivelse og tilhørende bilag angiver, hvordan Styrelsen for It og Læring kan behandle personoplysninger i de administrative systemer, jf. punkt 1.1, som Styrelsen for It og Læring stiller til rådighed for institutioner, kommuner og regioner, hvor Styrelsen for It og Læring foretager databehandlingen på vegne af institutioner, kommuner og regioner til deres respektive formål.

1.8. Cirkulæreskrivelsen er gældende for alle institutioner, kommuner og regioner, som anvender de nævnte systemer, og fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Styrelsen for It og Læring foretager behandling af personoplysninger på vegne af den enkelte institution, kommune og region til deres respektive formål. Cirkulæreskrivelsen er herved det retlige dokument, som er krævet i databeskyttelsesforordningens artikel 28, stk. 3.

1.9. Oplysninger om Styrelsen for It og Lærings behandling i de enkelte administrative systemer, herunder behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varigheden af behandlingen i de enkelte administrative systemer fremgår af bilag til denne cirkulæreskrivelse samt af hjemmesiden for Styrelsen for It og Læring (www.viden.stil.dk).

1.10. Cirkulæreskrivelsen frigør ikke Styrelsen for It og Læring for forpligtelser, som efter databeskyttelsesforordningen, databeskyttelsesloven eller enhver anden lovgivning direkte er pålagt databehandleren.

1.11. De enkelte dataansvarlige er som led i deres efterlevelse af databeskyttelsesforordningens og databeskyttelseslovens regler forpligtet til at gøre sig bekendt med indholdet af cirkulæreskrivelsen og følge den i forbindelse med behandling af personoplysninger ved hjælp af disse systemer.

1.12. Styrelsen for It og Læring underretter den dataansvarlige, hvis en instruks fra den pågældende efter styrelsens vurdering er i strid med databeskyttelsesforordningen, databeskyttelsesloven eller bestemmelser om databeskyttelse i anden EU-ret eller national ret.

2. Anvendelsesområde

2.1. Herved fastsættes bestemmelser om den behandling, som Styrelsen for It og Læring kan foretage i de under punkt 1.4. anførte administrative systemer på børne- undervisningsområdet, hvor systemerne stilles til rådighed for institutionerne, kommunerne og regionerne af Styrelsen for It og Læring som databehandler, og hvor de pågældende aktører er forpligtet til at gøre brug af de administrative systemer, jf. de hjemmelsgrundlag, der er angivet i punkt 1.2, eller efter aftale med Styrelsen for It og Læring har valgt at gøre brug af systemerne.

2.2. Styrelsen for It og Læring må ikke behandle personoplysninger i de under punkt 1.4. anførte administrative systemer til andre formål og opgaver, end der fremgår af denne cirkulæreskrivelse og tilhørende bilag.

3. Den dataansvarliges forpligtelser og rettigheder

3.1. Som bruger af systemerne er den enkelte institution, kommune og region ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen af det enkelte system, sker inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

4. Databehandlerens adgang til behandling af personoplysninger

4.1. Styrelsen for It og Læring må kun behandle de personoplysninger, som den enkelte institution, kommune og region lægger ind i systemet i overensstemmelse med reglerne i nærværende cirkulæreskrivelse, medmindre behandlingen kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som Styrelsen for It og Læring er underlagt; I så fald underretter Styrelsen for It og Læring den dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. databeskyttelsesforordningens artikel 28, stk. 3, litra a.

4.2. Styrelsen for It og Læring varetager på vegne af de dataansvarlige opgaven med videregivelse af data fra de administrative systemer til brug for udførelse af statistiske eller videnskabelige undersøgelser, jf. databeskyttelseslovens § 10, når den rekvirerende aktør efter lovgivningen har hjemmel og de fornødne tilladelser til, at videregivelse af personoplysninger til sådanne formål kan ske. Den dataansvarlige skal således ikke anmode Styrelsen for It og Læring om videregivelse hertil i hvert enkelt tilfælde.

5. Autorisationer og fortrolighed

5.1. Styrelsen for It og Læring meddeler autorisation til de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i de enkelte systemer, jf. pkt. 1.4. Styrelsen for It og Læring sikrer ved passende tekniske og organisatoriske kontrolforanstaltninger, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den enkelte dataansvarlige. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber.

5.2. Styrelsen for It og Læring sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af de enkelte dataansvarlige, jf. pkt. 5.1, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

6. Bistand til den dataansvarlige

6.1. Styrelsen for It og Læring bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, som er fastlagt i databeskyttelsesforordningens kapitel 3.

6.2. Dette indebærer, at Styrelsen for It og Læring så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af nedenstående regler i databeskyttelsesforordningen:

Oplysningspligten ved indsamling af personoplysninger hos den registrerede, jf. artikel 13

Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14

Den registreredes indsigtsret, jf. artikel 15

Retten til berigtigelse, jf. artikel 16

Retten til sletning (»retten til at blive glemt«), jf. artikel 17

Retten til begrænsning af behandling, jf. artikel 18

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 18

Retten til indsigelse, jf. artikel 21

6.3. Styrelsen for It og Læring bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for Styrelsen for It og Læring som databehandler, jf. databeskyttelsesforordningens art 28, stk. 3, litra f. Dette indebærer, at Styrelsen for It og Læring under hensynstagen til behandlingens karakter skal bistå den enkelte dataansvarlige i forbindelse med, at denne skal sikre overholdelsen af:

a) Forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen, jf. nærmere herom i punkt 7.

b) Forpligtelsen til at anmelde brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at den enkelte dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, jf. nærmere herom i punkt 8.

c) Forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, jf. nærmere herom i punkt 8.

d) Forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og forpligtelsen til at høre Datatilsynet inden behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den enkelte dataansvarlige for at begrænse risikoen, jf. nærmere herom punkt 9.

7. Behandlingssikkerhed

7.1. Styrelsen for It og Læring iværksætter alle foranstaltninger, der kræves i henhold til databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen sikrer herved, at der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

7.2. På baggrund af resultatet af den risikovurdering, som Styrelsen for It og Læring har gennemført, jf. pkt. 7.1., gennemfører styrelsen passende foranstaltninger for at imødegå de identificerede risici. Der kan alt efter, hvad der er relevant, være tale om følgende foranstaltninger:

a) Pseudonymisering og kryptering af personoplysninger.

b) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og tjenester

c) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af fysisk eller teknisk hændelse

d) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

7.3. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

a) Interne retningslinjer i for informationssikkerhed i Styrelsen for It og Læring, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, administration af adgangskontrol og autorisationsordninger samt kontrol af autorisationer jf. punkt 5.1.

b) Instruktion af de i punkt 5.1. autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

c) Anvendelse af ITIL som standardrammeværktøj til at understøtte stabil og sikker drift.

d) Etablering af et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.

7.4. Styrelsen for It og Læring er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25 i forhold til udvikling og drift af de i punkt 1.4. nævnte systemer.

7.5. Styrelsen for It og Læring iværksætter alle foranstaltninger, der er nødvendige for opfyldelse af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse r for de i punkt 1.4. nævnte systemer, Styrelsen foretager i den sammenhæng en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

7.6. Styrelsen for It og Læring iværksætter alle foranstaltninger, der er nødvendige for opfyldelse af kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af Datatilsynet ved visse behandlinger af personoplysninger.

8. Orientering og anmeldelser af brud på persondatasikkerhed til Datatilsynet

8.1. Den dataansvarlige er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes den dataansvarliges egen anvendelse af systemet. Den dataansvarlige underretter i dette tilfælde de registrerede om bruddet på datasikkerheden i overensstemmelse med kravene herom i databeskyttelsesforordningens artikel 34.

8.2. Hvis den dataansvarlige efter punkt 8.1. er ansvarlig for at foretage anmeldelse til Datatilsynet, men den dataansvarlige ikke selv har opdaget bruddet på persondatasikkerheden, underretter Styrelsen for It og Læring den dataansvarlige om sikkerhedsbruddet uden unødig forsinkelse efter, at hændelsen er kommet til styrelsens kendskab.

8.3. Under hensyn til sagens karakter og bruddets omfang kan styrelsen på vegne af samtlige dataansvarlige omfattet af denne cirkulæreskrivelse foretage en samlet anmeldelse til datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.

9. Anvendelse af underdatabehandlere

9.1. Styrelsen for It og Læring er berettiget til at anvende underdatabehandlere i tilknytning til de omhandlede systemer.

9.2. Ved anvendelse af underdatabehandlere er Styrelsen for It og Læring ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Styrelsen for It og Læring er herefter bl.a. forpligtet til:

Alene at anvende underdatadatabehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder,

At sikre, at der foreligger en gyldig underdatabehandleraftale mellem Styrelsen for It og Læring og en eventuel underdatabehandler.

9.3. Styrelsen for It og Læring skal på styrelsen hjemmeside (www.viden.stil.dk) give oplysning om underdatabehandlere for de enkelte administrative systemer.

9.4. Styrelsen for It og Læring skal endvidere på anmodning fra en dataansvarlig oplyse om, hvorvidt oplysningerne behandles af underdatabehandlere. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den enkelte dataansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem Styrelsen for It og Læring og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.

9.5. Styrelsen for It og Læring sørger for at pålægge underdatabehandlere de samme databeskyttelsesforpligtelser, som dem, der er fastsat ved denne cirkulæreskrivelse, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.

9.6. Styrelsen for It og Læring er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som Styrelsen for It og Læring selv er underlagt efter databeskyttelsesreglerne og denne cirkulæreskrivelse.

9.7. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem Styrelsen for It og Læring, der fører tilsyn med underdatabehandlerens overholdelse underdatabehandleraftalen.

9.8. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Styrelsen for it og Læring fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

10. Overførsel af oplysninger til tredjelande eller internationale organisationer

10.1. Styrelsen for It og Læring må alene overføre (overlade, videregive samt intern anvendelse) til tredjelande eller internationale organisationer til brug for styrelsens opgaveløsning i forhold til de dataansvarlige, medmindre sådan overførsel kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Styrelsen for It og Læring er underlagt; i så fald underretter Styrelsen for It og Læring den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. databeskyttelsesforordningens artikel 28, stk. 3, litra a.

10.2. Styrelsen for It og Læring er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, hvis der sker en sådan overførsel af personoplysninger til tredjelande eller internationale organisationer.

11. Sletning og tilbagelevering af oplysninger

11.1. Styrelsen for It og Læring har ansvaret for opbevaring af personoplysninger i de i punkt 1.4. anførte systemer i de tidsperioder, som er angivet i bilaget til denne cirkulæreskrivelse.

12.2. Styrelsen for It og Lærings behandling af personoplysninger i de i punkt 1.4. anførte systemer er ikke tidsbegrænset og varer indtil cirkulæreskrivelsen ophæves.

12.3. Ved ophør af tjenesterne vedrørende behandling af personoplysninger forpligtes Styrelsen for It og Læring til, efter den dataansvarlige aktørs valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige aktør, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

13. Tilsyn og revision

13.1. Styrelsen for It og Læring stiller alle oplysninger, der er nødvendige for at påvise styrelsens overholdelse af databeskyttelsesforordningens artikel 28 og reglerne i denne cirkulæreskrivelse, til rådighed for den dataansvarlige aktør.

14. Orientering af den anden part

14.1. Styrelsen for It og Læring og de dataansvarlige orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne cirkulæreskrivelse.

15. Ikrafttræden

15.1 Denne cirkulæreskrivelse træder i kraft den 6. november 2019.

15.2. Cirkulæreskrivelse nr. 9367 af 24/05/2018 om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet ophæves.

Bilag 1

Behandling af personoplysninger i EASY A og EASY F

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem EASY A til rådighed for de uddannelsesinstitutioner, som benytter det digitale administrationssystem til brug for udførelse af deres opgaver i henhold til § 31 i lov om institutioner for erhvervsrettet uddannelse.

De administrative opgaver, der udføres i EASY A såsom administration af elever og kursister, hold og holdplaceringer, fagfordeling og skemaer, karakterer og meritter med mere, udføres af medarbejdere på de enkelte uddannelsesinstitutioner. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale administrationssystem EASY A, er derfor dataansvarlig for denne personoplysning.

EASY-F er en database, der anvendes til opsamling og distribution af data til institutionerne. EASY-F varetager central dataudveksling og data distribution for EASY-A og EASY-P (institutionerne er selvstændigt dataansvarlige for disse to). EASY-F er centralt placeret hos STIL. EASY-F anvendes bl.a. i forbindelse med abonnement på CPR- og CVR-oplysninger, hvor EASY-F videredistribuerer disse oplysninger til EASY-P og de relevante EASY-A baser. EASY-F bruges desuden til distribution af centrale data, som oprettes og vedligeholdes af STIL som fx skoler (institutionsnumre), kommunekoder, postnumre, sprog samt til forskellige kommunikationsformål (uddannelsesaftaler mellem EASY-A og EASY-P, eksamensbeviser mellem EASY-A og Eksamensdatabasen, kommunebrevsoplysninger mellem EASY-A og et website samt kommunikation med Optagelse.dk).

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i EASY A samt overføre oplysninger til institutionernes øvrige administrative systemer til brug for styrelsens myndighedsudøvelse og for institutionernes opgaveløsning.

Personer og personoplysninger i EASY A og EASY F

Styrelsen for It og Læring behandler på vegne af de uddannelsesinstitutioner, der anvender EASY A, personoplysninger om disse institutioners elever, elevernes værger, medarbejdere og censorer.

Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen behandler om elever omfatter stamoplysninger (CPR-nummer, navn, alder og kontaktoplysninger), skole- og uddannelsesoplysninger samt karakterer. De personoplysninger som styrelsen behandler om elevers værger og censorer omfatter stamoplysninger. De personoplysninger som styrelsen behandler om institutionens medarbejdere omfatter stamoplysninger, lønoplysninger og øvrige oplysninger relateret til medarbejderens arbejde.

Sletning af personoplysninger

Personoplysninger i EASY A slettes 1 år efter systemets udfasning.

Personoplysninger i EASY F slettes ikke af hensyn til sikring af dokumentation for uddannelsesaftaler og uddannelsesbevis.

Bilag 2

Behandling af personoplysninger i EASY P

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem EASY P til rådighed for de uddannelsesinstitutioner, som benytter det digitale administrationssystem til brug for udførelse af deres opgaver i forbindelse med praktikdelen af en erhvervsuddannelse.

De administrative opgaver, der udføres i EASY P såsom registrering af praktikpladssøgende elever, indgåelse af uddannelsesaftaler, sagsbehandling i forbindelse med skolepraktik og øvrig sagsbehandling, praktik i udlandet, skolegodkendelser og kontakt med elever, udføres af medarbejdere på den enkelte uddannelsesinstitution. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale administrationssystem EASY P, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i EASY P samt overføre oplysninger til erhvervsskolernes studieadministrative systemer samt øvrige systemer til brug for styrelsens myndighedsudøvelse og institutionernes opgaveløsning.

Personer og personoplysninger i EASY P

Styrelsen for It og Læring behandler på vegne af de uddannelsesinstitutioner, der anvender EASY P, personoplysninger om disse institutioners elever, skuemestre/censorer, kontaktpersoner og administrative brugere.

Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen behandler om elever omfatter CPR-nummer, navn, adresse, alternativ adresse, uddannelsesoplysninger, praktikønsker, uddannelsesaftaler, svendeprøver, svendprøvekarakterer og sager på eleverne. De personoplysninger som styrelsen behandler om skuemestre/censorer omfatter CPR-nummer, navn tilknytning til svendeprøver og afgivne karakterer pr. elev. De personoplysninger som styrelsen behandler om kontaktpersoner omfatter navn, adresse og kontaktoplysninger. De personoplysninger som styrelsen behandler om administrative brugere omfatter navn, skoletilknytning og kontaktoplysninger. Der findes fritekstfelter, hvor der utilsigtet kan opstå følsomme personoplysninger. Det er ikke formålet med EASY-P at, at der registreres følsomme personoplysninger.

Sletning af personoplysninger

Personoplysninger i EASY P slettes ikke af hensyn til sikring af dokumentation for uddannelsesaftaler og uddannelsesbevis. Søgninger slettes og brugerkoder passiveres, hvis de ikke har været brugt i et år.

Bilag 3

Behandling af personoplysninger i EDUP

Formål med og karakter af behandlingen

I medfør af Initiativ 3.4 i Den fællesoffentlige digitaliseringsstrategi 2016-2020 stiller Styrelsen for It og Læring som databehandler den digitale infrastrukturkomponent EDUP til rådighed for de uddannelsesinstitutioner, som tilslutter sig benyttelsen af EDUP til brug for udveksling af data mellem institutioner i forbindelse med elevflytning, elevudlån, elevdeling og booking af skolehjemsamtaler.

De administrative opgaver som EDUP understøtter udføres af medarbejdere på de enkelte uddannelsesinstitutioner. Den uddannelsesinstitution, der indlæser en personoplysning i dens studieadministrative system, som herefter transmitteres til EDUP, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i EDUP samt overføre oplysninger til institutionernes øvrige administrative systemer til brug for institutionernes opgaveløsning.

Personer og personoplysninger i EDUP

Styrelsen for It og Læring behandler på vegne af de uddannelsesinstitutioner, der har tilsluttet sig EDUP, personoplysninger om disse institutioners elever.

Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen behandler om elever omfatter billede, stamdata, elevrelationer, elevprotokol og eksamensportefølje samt elevens undervisningsforløb. Stamdata på eleven vedligeholdes løbende gennem integration til CPR.

Sletning af personoplysninger

Personoplysninger i EASY P slettes ikke af hensyn til sikring af dokumentation for uddannelsesaftaler og uddannelsesbevis. Søgninger slettes og brugerkoder passiveres, hvis de ikke har været brugt i et år.

Bilag 4

Behandling af personoplysninger i EGU-Portalen

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem EGU-Portalen til rådighed for de FGU-institutioner, som i henhold til § 1 stk. 2 nr. 4 i lov om institutioner for forberedende grunduddannelse og lovbetænkningen hertil pr. 1. august 2019 har overtaget produktionsskolernes aktivitet og benyttelsen af det digitale administrationssystem til brug for udførelse af deres opgaver i forbindelse med tilrettelæggelse og gennemførelse af elevers erhvervsgrunduddannelse.

De egu-elever, der inde i EGU-Portalen lå i et UU-center, et jobcenter eller en egu-enhed under kommunen (et p-nummer under kommunens CVR) og ikke pr. 1. august 2019 er blevet uddelegeret til en FGU-institutioner, forbliver i kommunen og kan ikke længere uddelegeres til en FGU-institution. De administrative opgaver, der udføres i EGU-Portalen i henhold til formålene fastsat i det daværende § 1 i bekendtgørelse af lov om erhvervsgrunduddannelser mv., og den nye ungeindsatslov, såsom oprettelse og vedligehold af egu-elevers uddannelsesplaner, udføres af medarbejdere på FGU-institutionerne og kommunernes KUI-vejledere. Den uddannelsesinstitution eller kommune, der indlæser en personoplysning i det digitale administrationssystem EGU-Portalen, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i EGU-Portalen samt overføre oplysninger til Arbejdsgivernes Uddannelsesbidrag i henhold til § 4 i EGU-bonusordningen og til det fælles datagrundlag for unges uddannelse og beskæftigelse i henhold til § 15 d i ungeindsatsloven.

Personer og personoplysninger i EGU-Portalen

Styrelsen for It og Læring behandler på vegne af FGU-institutionerne og kommuner personoplysninger i EGU-Portalen om elever, der læser på et egu-spor, EGU-vejledere og elevers værger og kontaktpersoner.

Styrelsen behandler almindelige og følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og 9. De personoplysninger som styrelsen behandler, omfatter CPR-nummer med henblik på entydig identifikation, karakterer, bedømmelser, oplysninger om undervisningsdeltagelse med angivelse af indhold og perioder, fraværsoplysninger og fraværsbegrundelser medmindre fraværsbegrundelsen skyldes sygdom eller fængselsstraf samt oplysninger om særlige undervisningsforanstaltninger og dispensationer fra undervisning, men ikke begrundelsen herfor. Der behandles også helbredsoplysninger, der har væsentlig betydning for praktikopholdet, såfremt eleven har givet samtykke til registreringen.

Sletning af personoplysninger

Personoplysninger i EGU-Portalen af relevans for elevens uddannelsesforløb opbevares i 4 år. Dog slettes elevers notater og porteføljer efter en kort karensperiode, når eleverne har fået status ’’gennemført’’ eller ’’afbrudt’’.

Bilag 5

Behandling af personoplysninger i Elevplan og Uddannelsesaftaler.dk

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem Elevplan.dk, herunder Uddannelsesaftaler.dk til rådighed for de uddannelsesinstitutioner, som er forpligtet til at benytte det digitale administrationssystem til brug for udførelse af deres opgaver i forbindelse med udarbejdelse og vedligeholdelse af uddannelsesplaner i henhold til § 54 i lov om erhvervsuddannelser.

De administrative opgaver, der udføres i Elevplan.dk, herunder Uddannelsesaftaler.dk, i henhold til formålene fastsat i § 61 i Bekendtgørelse om erhvervsuddannelser, såsom udarbejdelse, registrering og ajourføring af uddannelsesplaner, udføres af medarbejdere på den enkelte uddannelsesinstitution. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale administrationssystem Elevplan.dk, herunder Uddanelsesaftaler.dk, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Elevplan.dk, herunder Uddannelsesaftaler.dk samt overføre oplysninger til erhvervsskolernes studieadministrative systemer.

Personer og personoplysninger i Elevplan.dk og Uddannelsesaftaler.dk

Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne personoplysninger i Elevplan.dk og Uddannelsesaftaler.dk om elever på erhvervsuddannelser og visse erhvervsgymnasiale uddannelser, medarbejdere på uddannelsesinstitutionen og medarbejdere på praktikvirksomheden.

Styrelsen behandler almindelige og følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og 9. De personoplysninger som styrelsen behandler om elever omfatter adresse og kontaktoplysninger, oplysninger om uddannelsesaftaler, skema, karakterer og fravær. I forbindelse med kompetencevurderinger kan der registreres helbredsoplysninger, hvis oplysningen har relevans for kompetencevurderingen. Der kan registreres oplysning om frafaldsrisiko for en elev, men uden begrundelse. For øvrige registrerede behandles navn, adresse og kontaktoplysninger samt skema.

Sletning af personoplysninger

Personoplysninger i Elevplan og Uddannelsesaftaler.dk af relevans for dokumentation af elevfravær opbevares i op til 1 år. Data af relevans for dokumentation af elevers opnåede kompetencer slettes ikke før overførsel til Rigsarkivet. Øvrige personoplysninger, herunder opgavebesvarelser, opbevares i op til 5 år.

Bilag 6

Behandling af personoplysninger i KUU-Portalen

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem KUU-Portalen til rådighed for de uddannelsesinstitutioner, som er forpligtet til at benytte det digitale administrationssystem til brug for udførelse af deres opgaver i forbindelse med tilrettelæggelse og gennemførelse af elever uddannelsesforløb på kombineret ungdomsuddannelse i henhold til § 1 i lov om institutioner for forberedende grunduddannelse som led i FGU-institutionernes overtagelse af kuu-området.

De administrative opgaver, der udføres i KUU-Portalen i henhold til formålene fastsat i det daværende § 1 i lov om kombineret ungdomsuddannelse og den nye ungeindsatslov såsom fraværsregistrering samt oprettelse og vedligehold af kuu-elevers uddannelsesplaner, udføres af medarbejdere på den enkelte FGU-institution i henhold til § 1 i lov om institutioner for forberedende grunduddannelse. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale administrationssystem KUU-Portalen, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i KUU-Portalen samt overføre oplysninger til det fælles datagrundlag for unges uddannelse og beskæftigelse i henhold til § 15 d i ungeindsatsloven.

Personer og personoplysninger i KUU-Portalen

Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne personoplysninger i KUU-Portalen om elever på kombineret ungdomsuddannelse, censorer og KUU-portalbrugere som skoleansatte administratorer, kontaktpersoner eller undervisere.

Styrelsen behandler almindelige og følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og 9. De personoplysninger som styrelsen behandler om elever, omfatter CPR-nummer med henblik på entydig identifikation, adresseoplysninger, telefonnummer, e-mail, skolebaggrund, beskæftigelseshistorik, uddannelses- og fraværsoplysninger samt begrundelser for fravær, såfremt begrundelsen ikke skyldes sygdom eller fængselsstraf. Der behandles også personoplysninger om særlige undervisningsforanstaltninger og dispensationer fra undervisning, men ikke begrundelsen herfor. Der behandles også helbredsoplysninger, der har væsentlig betydning for tilrettelæggelse af elevers uddannelsesforløb. For øvrige registrerede behandles navn, e-mail og telefonnummer.

Sletning af personoplysninger

Personoplysninger i KUU-Portalen af relevans for elevens uddannelsesforløb opbevares i 4 år. Dog slettes elevers notater og porteføljer efter en kort karensperiode, når eleverne har fået status ’’gennemført’’ eller ’’afbrudt’’.

Bilag 7

Behandling af personoplysninger i Netprøver

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale prøveafviklingssystem Netprøver til rådighed for de uddannelsesinstitutioner og gymnasiale afdelinger på voksenuddannelsescentre, som er forpligtet til at benytte det digitale prøveafviklingssystem i henhold til de af ministeriet fastsatte retningslinjer, jf. § 5 i Bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser (almen eksamensbekendtgørelsen), og som er ansvarlig over for undervisningsministeriet for overholdelse af prøver og eksamen ved institutionen jf. bekendtgørelsens § 4.

De administrative opgaver, der udføres i Netprøver i henhold til almen eksamensbekendtgørelsen såsom adgangs- og rettighedsstyring til systemet, bedømmelser og karaktergivning samt plagiatkontrol, udføres af medarbejdere på den enkelte uddannelsesinstitution. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale prøveafviklingssystem Netprøver, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Netprøver samt overføre karakterer til de studieadministrative systemer på vegne af de dataansvarlige med det formål at understøtte de opgaver som uddannelsesinstitutionerne har i forbindelse med deres ansvar for afvikling af prøver og eksamener.

Personer og personoplysninger i Netprøver

Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne personoplysninger i Netprøver om elever, censorer og medarbejdere på uddannelsesinstitutioner.

Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9. De personoplysninger som styrelsen behandler, omfatter karakterer og eksamensbesvarelser samt CPR-nummer med henblik på entydig identifikation.

Sletning af personoplysninger

Personoplysninger i Netprøvers slettes 12 måneder efter registreringen.

Bilag 8

Behandling af personoplysninger i Optagelse.dk

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler den digitale optagelsesportal Optagelse.dk til rådighed for de kommuner, som er forpligtet til at benytte Optagelse.dk til brug for udførelse af deres opgaver i forbindelse med uddannelsesparathedsvurderinger og uddannelsesvejledning i henhold til §§ 4-8 og 12 i Bekendtgørelse om uddannelsesparathedsvurdering, uddannelsesplaner og procedurer ved valg af ungdomsuddannelse (procedurebekendtgørelsen) samt §§ 2 c – 2 g og 14 i lov om kommunal indsats for unge under 25 år (ungeindsatsloven).

De administrative opgaver, der udføres i Optagelse.dk i henhold til procedurebekendtgørelsen og ungeindsatsloven såsom indberetninger, parathedsvurderinger, koordinering og behandling af ansøgninger om optagelse på ungdomsuddannelser udføres af kommunale medarbejdere hos den kommunale ungeindsats (KUI-vejledere). Den pågældende kommune er derfor dataansvarlig for behandlingen af de personoplysninger, der finder sted som led i kommunernes vejledning i Optagelse.dk.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Optagelse.dk samt at transmittere ansøgninger om optagelse til de studieadministrative systemer på ungdomsuddannelserne på vegne af de dataansvarlige med det formål at understøtte de opgaver som kommunernes KUI-vejledere har i forbindelse med deres uddannelsesvejledning.

Personer og personoplysninger i Optagelse.dk

Styrelsen for It og Læring behandler på vegne af kommunerne personoplysninger i Optagelse.dk om elever i 8.- 9.- og 10. klasse, værger/forældre til elever i 8.- 9.- og 10. klasse, hvor oplysningerne stammer fra skolernes egne administrative systemer og evt. fra indtastning direkte ind i selvbetjeningsløsningen. Der behandles også oplysninger om ansøgere til ungdomsuddannelserne, som ikke går i 8. - 9- og 10. klasse, hvor oplysningerne stammer fra CPR-registeret, Eksamensdatabasen og gennem indtastning direkte ind i selvbetjeningsløsningen eller fra ansøgerens indsendte bilag. Der behandles også oplysninger om medarbejdere på kommunernes UU-vejledningscentre, hvor oplysningerne indtastes direkte i selvbetjeningsløsningen.

Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6.

De personoplysninger som styrelsen behandler er CPR-nummer, navn, adresse, e-mail, telefonnummer, uddannelsesønsker og uddannelsesplan, standpunkts- og prøvekarakterer og eksamensgennemsnit, eventuelle værgeoplysninger, skoletilknytning, uddannelsesparathedsvurdering samt de oplysninger og evt. bilag der vedhæftes en ansøgning, som blandt andet indeholder vejlederens vurdering af ansøgerens personlige og sociale forudsætninger. Der findes i optagelse.dk fritekstfelter, hvor KUI-vejlederen kan give kommentarer til ansøgerens parathedsvurdering. Det er ikke tilsigtet og ikke en del af formålet med anvendelsen af optagelse.dk, at der angives følsomme personoplysninger i disse fritekstfelter omfattet af databeskyttelsesforordningens artikel 9.

Sletning af personoplysninger

Personoplysninger opbevares i optagelse.dk, indtil de slettes efter hver ansøgningsrunde, dvs. en gang årligt.

Bilag 9

Behandling af personoplysninger i Ordblindetesten

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale testmodul Ordblindetesten til rådighed for kommuner og uddannelsesinstitutioner til brug for udførelse af deres opgaver i forbindelse med udredning af ordblindhed og tildeling af specialpædagogisk støtte i henhold til § 3 i lov om folkeskolen, § 29 i lov om erhvervsuddannelser, § 18 a i lov om institutioner for erhvervsrettet uddannelse, § 61 a i lov om de gymnasiale uddannelser § 3 i lov om friskoler og private grundskoler m.v., § 3 a i lov om efterskoler og frie fagskoler samt § 12 a i lov om specialpædagogisk støtte ved videregående uddannelser.

De administrative opgaver, der udføres som led i anvendelsen af Ordblindetesten såsom indberetninger, administration af testen og tilrettelæggelse af relevante specialpædagogiske undervisningstiltag, som opfylder elevens undervisningsmæssige behov, foretages af medarbejdere på kommunens skoler og medarbejdere på uddannelsesinstitutioner. Opgaven med tilrettelæggelse af undervisningstiltag sker på baggrund af Ordblindetestens automatisk genererede testresultat, som medarbejderne på kommunerne og uddannelsesinstitutionerne (testvejlederne) i sidste ende vurderer selvstændigt. Kommunerne og uddannelsesinstitutionerne er derfor hver især selvstændigt dataansvarlige for behandling af personoplysninger som led i anvendelsen af Ordblindetesten.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Ordblindetesten på vegne af de dataansvarlige med det formål at understøtte de opgaver som kommunernes og uddannelsesinstitutionerne har i forbindelse med deres forpligtelse til at udrede elevers ordblindhed og tilrettelægge et relevant undervisningstiltag.

Personer og personoplysninger i Ordblindetesten

Styrelsen for It og Læring behandler på vegne af de dataansvarlige kommuner og uddannelsesinstitutioner oplysninger om elever, studerende og kursister, som har givet samtykke til at få foretaget en ordblindetest på den skole eller uddannelsesinstitutioner, hvorpå de er indskrevet. Der registreres også navn på den testvejleder, som er ansat på den pågældende skole eller uddannelsesinstitution, hvor ordblindetesten er udført.

Styrelsen for It og Læring behandler både almindelige og følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og artikel 9 til den oven for angivne formål. De oplysninger som styrelsen opbevarer i Ordblindetesten er navn, CPR-nummer, klasse, skoletilhørsforhold og Unilogin. Der registreres også elevens testresultat, som indeholder oplysninger om, hvorvidt den pågældende er ordblind.

Sletning af personoplysninger

Testresultat, herunder oplysninger om ordblindhed, slettes automatisk 15 år efter, at testen er foretaget.

Bilag 10

Behandling af personoplysninger i Praktik+

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem Praktik+ til rådighed for de uddannelsesinstitutioner, som er forpligtet til at benytte det digitale administrationssystem til brug for udførelse af deres opgaver i forbindelse med praktikpladsopsøgende arbejde og registrering af uddannelsesaftaler i henhold § 54 i lov om erhvervsuddannelser.

De administrative opgaver, der udføres i Praktik+ i henhold til Bekendtgørelse af lov erhvervsuddannelser som tilmelding af medarbejdere, registrering af uddannelsesaftaler, planlægning, registrering koordinering og rapportering af aktiviteter, udføres af medarbejdere på den enkelte uddannelsesinstitution. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale administrationssystem Praktik+, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Praktik+ samt overføre oplysninger til de studieadministrative systemer på vegne af de dataansvarlige med det formål at understøtte de opgaver som uddannelsesinstitutionerne har i forbindelse med deres ansvar for at foretage praktikpladsopsøgende arbejde.

Personer og personoplysninger i Praktik+

Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne personoplysninger i Praktik+ om medarbejdere på uddannelsesinstitutioner og praktikpladssøgende elever på uddannelsesinstitutioner.

Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9. De personoplysninger som styrelsen behandler, omfatter uddannelsesaftaler, oplysninger om kontaktpersoner på uddannelsessteder, stamoplysninger om praktikpladssøgende elever og oplysninger om AMU-kurser, kursister og certifikater.

Sletning af personoplysninger

Personoplysninger i Praktik+ indlæses fra EASY P og slettes ikke automatisk af styrelsen. Når personoplysningerne ikke længere er tilgængelige i EASY P, vil personoplysningerne ikke længere blive vist på Praktik+.

Bilag 11

Behandling af personoplysninger i Praktikpladsen.dk

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem Praktikpladsen.dk til rådighed for de uddannelsesinstitutioner, som er forpligtet til at benytte det digitale administrationssystem til brug for udførelse af deres opgaver i forbindelse med vejledning til praktikpladssøgende elever i henhold til §§ 52, 108, 109, 112, 116, 117 og 118 i bekendtgørelse om erhvervsuddannelser.

De administrative opgaver, der udføres i Praktikpladsen.dk i henhold til Bekendtgørelse om erhvervsuddannelser såsom registrering og målrettet formidling af praktikpladser til elever, udføres af medarbejdere på den enkelte uddannelsesinstitution. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale administrationssystem Praktikpladsen.dk, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Praktikpladsen.dk samt overføre oplysninger til de studieadministrative systemer på vegne af de dataansvarlige med det formål at understøtte de opgaver som uddannelsesinstitutionerne har i forbindelse med deres ansvar for at vejlede de praktikpladssøgende elever.

Personer og personoplysninger i Praktikpladsen.dk

Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne personoplysninger i Praktikpladsen.dk om praktikpladssøgende elever på uddannelsesinstitutioner.

Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9. De personoplysninger som styrelsen behandler, omfatter uddannelsesoplysninger, oplysninger om kvalifikationer og praktikønsker, adresse, navn og CPR-nummer med henblik på entydig identifikation.

Sletning af personoplysninger

Personoplysninger som eleven selv indtaster i Praktikpladsen.dk slettes ikke automatisk af styrelsen, men kan slettes af eleven selv ved login. Når eleven har slettet de indtastede personoplysninger fra sin profil, opbevarer styrelsen ikke længere personoplysningen på Praktikpladsen.dk. Stamoplysninger opbevares på Praktikpladsen.dk, så længe de er tilgængelige på EASY-P.

Bilag 12

Behandling af personoplysninger i SkoleKom

Formål med og karakter af behandlingen

Styrelsen for It og Læring stiller som databehandler det digitale videndelingssystem SkoleKom til rådighed for de uddannelsesinstitutioner og kommuner, som har tilsluttet sig benyttelsen af systemet til brug for videndeling og kommunikation.

De administrative opgaver, der udføres i SkoleKom såsom administration af elever udføres af medarbejdere hos uddannelsesinstitutionen og kommuner. Den uddannelsesinstitution og kommune, der indlæser en personoplysning i SkoleKom, er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i SkoleKom.

Personer og personoplysninger i SkoleKom

Styrelsen for It og Læring behandler på vegne af de uddannelsesinstitutioner og kommuner, der anvender SkoleKom, personoplysninger om elever, lærere og administrative medarbejdere på skoler og institutioner. Pensionerede ansatte kan på eget initiativ blive oprettet i SkoleKom. Oprettelse sker ved henvendelse til den tidligere arbejdsplads egen fagforening eller til styrelsens SkoleKom-support.

Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen har til formål at behandle er brugerindtastede oplysninger af enhver art, navnlig i forbindelse med brugeroprettelsen. Brugerens navn samt institutionstype- og tilhørsforhold overføres automatisk fra Unilogin.

Da der er tale om et mailbaseret videndelingssystem kan det ikke afvises, at følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9 spontant opstår i systemet ved at den registrerede selv afgiver følsomme oplysninger i mailsystemet.

Sletning af personoplysninger

Personoplysninger i SkoleKom slettes automatisk når en bruger ikke har været logget på SkoleKom i 12 måneder.

Bilag 13

Behandling af personoplysninger i Elevadministration

Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem Elevadministration til rådighed for de kommuner, som ikke har egne elevadministrative systemer og som derfor benytter Elevadministration til brug for udførelse af deres opgaver med at udstede Unilogin og sikre adgang for deres elever til obligatoriske tjenester på undervisnings- og dagtilbudsområdet.

De administrative opgaver, der udføres i Elevadministration såsom registrering og oprulning af elever med henblik på udstedelse af Unilogin til brug for adgang til obligatoriske tjenester, udføres af medarbejdere på den enkelte skole i kommunen. Den enkelte kommune, der indlæser en personoplysninger i Elevadministration er derfor dataansvarlig for denne personoplysning.

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Elevadministration.

Personer og personoplysninger i Elevadministration

Styrelsen for It og Læring behandler på vegne af kommunerne personoplysninger i Elevadministration om elever på de af kommunernes grundskoler, som ikke har egne elevadministrative systemer.

Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9. De personoplysninger som styrelsen behandler, omfatter navn, CPR, adresse, klasse, klassetrin og stamoplysninger om forældre og værger.

Sletning af personoplysninger

Personoplysninger i Elevadministration slettes, når den enkelte medarbejder på skolen selv sletter eleven fra systemet i forbindelse med den årlige oprulning af elever til de næste klassetrin.

Styrelsen for It og Læring, den 4. november 2019

Vicedirektør
Kristian Ørnsholt

/ Hany Dughaim