Senere ændringer til forskriften
Ændrer i/ophæver
Den fulde tekst

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

1. Indledning

1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen for It og Læring under henvisning til databeskyttelsesforordningens artikel 26 om fælles dataansvar.

1.2. Styrelsen for It og Læring er ansvarlig for at levere en række administrative systemer på børne- og undervisningsområdet, som statslige institutioner, privat- og offentligt selvejende institutioner, private institutioner, kommuner og regioner er forpligtet til at benytte i henhold til:

§§ 2, 44 og 46 i bekendtgørelse om folkeskolens prøver for Test og Prøvesystemet: Folkeskolens Prøver.

§ 2 i bekendtgørelse om obligatoriske test i folkeskolen og §§ 13 – 13 b og 19 f i lov om folkeskolen for så vidt angår behandling af personoplysninger i Test og Prøvesystemet: Nationale Test.

1.3. Vilkårene for anvendelse af systemerne er de samme for statslige institutioner, privat- og offentligt selvejende institutioner, private institutioner, kommuner og regioner, der efter aftaler vælger at benytte systemerne.

1.4. Det drejer sig om følgende systemer:

Test og Prøvesystemet: Folkeskolens Prøver

Test og Prøvesystemet: Nationale Test.

1.5. Oplysning om data i de enkelte administrative systemer fremgår af hjemmesiden for Styrelsen for IT og Læring (www.viden.stil.dk).

1.6. Efter databeskyttelsesforordningens artikel 26 er der tale om et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling af persondata. Dette er tilfældet for de anførte administrative systemer på undervisningsområdet, som leveres af Styrelsen for It og Læring i henhold til det under punkt 1.2. angivne hjemmelsgrundlag på følgende vis:

1.7. Når der er tale om et fælles dataansvar, skal de fælles dataansvarlige ifølge databeskyttelsesforordningens artikel 26, stk.1, på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til forordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i databeskyttelsesforordningens artikel 13 (oplysningspligt ved indsamling af personoplysninger hos den registrerede) og artikel 14 (oplysningspligt hvis personoplysninger ikke er indsamlet hos den registrerede) ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.

1.8. Det er på denne baggrund, at Styrelsen for It og Læring ved retsregler i nærværende cirkulæreskrivelse angiver, hvordan dataansvaret er udmøntet i de systemer, som styrelsen stiller til rådighed for institutionerne og kommunerne. Cirkulæreskrivelsen er gældende for alle institutioner og kommuner, som anvender de nævnte systemer.

1.9. De enkelte institutioner og kommunalbestyrelser er som led i deres efterlevelse af databeskyttelsesforordningens og databeskyttelseslovens regler forpligtet til at gøre sig bekendt med indholdet af cirkulæreskrivelsen og følge den i forbindelse med deres behandling af personoplysninger ved hjælp af disse systemer.

2. Anvendelsesområde

2.1. Herved fastsættes bestemmelser om ansvarsfordelingen mellem Styrelsen for It og Læring og de institutioner og kommunalbestyrelser, der anvender de administrative systemer på undervisningsområdet, som stilles til rådighed af Styrelsen for It og Læring efter det under punkt 1.2. angivne hjemmelsgrundlag.

2.2. Personoplysninger, som institutionerne og kommuner behandler i disse systemer, bliver også behandlet, herunder indsamlet, til formål hos Styrelsen for It og Læring, fordi Styrelsen for It og Læring har behov for oplysningerne til en viderebehandling, som styrelsen foretager uden instruks fra institutionerne og kommunalbestyrelserne.

2.3. Styrelsen for It og Læring indsamler institutionernes og kommunernes data fra en række systemer til fx administrative formål, tilsyn, kontrol og statistikformål, complianceanalyser og lignende. Denne viderebehandling sker til Styrelsen for It og Lærings egne formål og med Styrelsen for It og Læring som ene dataansvarlig og viderebehandlingen af oplysningerne er derfor ikke omfattet af cirkulæreskrivelsen.

2.4. Det væsentligste indhold af den ordning, der fastsættes i denne cirkulæreskrivelse, skal gøres tilgængeligt for de personer, der registreres oplysninger om, jf. databeskyttelsesforordningens artikel 26, stk. 2.

2.5. Den registrerede kan, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige, jf. databeskyttelsesforordningens artikel 26, stk. 3.

2.6. Ved institutionernes og kommunernes anvendelse af de angivne systemer, som stilles til rådighed af Styrelsen for It og Læring, foreligger der et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på, at de behandlinger af personoplysninger, som finder sted i systemet, sker til begge parters formål og med fælles hjælpemidler (systemet).

3. Overordnet ansvarsfordeling

3.1. Som bruger af systemerne er den enkelte institution og kommunalbestyrelse bl.a. ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen af de enkelte systemer, herunder korrekt indsamling og registrering af oplysninger. Den enkelte institution og kommunalbestyrelse er også i vidt omfang ansvarlig for udøvelsen af den registreredes rettigheder.

3.2. Som ansvarlig myndighed for systemerne er Styrelsen for It og Læring ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer.

4. Principper og behandlingshjemmel

4.1. Den enkelte institution og kommunalbestyrelse er ansvarlig for, at der er en hjemmel til behandling af de personoplysninger, som de registrerer og behandler i systemerne.

4.2. Den enkelte institution og kommunalbestyrelse er også ansvarlig for at kunne dokumentere en gyldig behandlingshjemmel, eksempelvis hvis hjemlen er baseret på et samtykke fra den registrerede, jf. databeskyttelsesforordningens artikel 7 om betingelser for samtykke.

4.3. Den enkelte institution, kommunalbestyrelse og Styrelsen for It og Læring er hver især ansvarlige for at overholde principperne for behandling af personoplysninger samt god databehandlingsskik, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder i henhold til cirkulæreskrivelsen.

5. Den registreredes rettigheder

5.1. Den enkelte institution og kommunalbestyrelse er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:

Oplysningspligt ved indsamling af personoplysninger hos den registrerede, jf. artikel 13,

Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14,

Den registreredes indsigtsret, jf. artikel 15,

Ret til berigtigelse, jf. artikel 16,

Ret til sletning (retten til at blive glemt), jf. artikel 17,

Ret til begrænsning af behandling, jf. artikel 18,

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 19.

Ret til indsigelse mod en behandling, jf. artikel 21.

5.2. Den enkelte institution og kommunalbestyrelse er ansvarlig for egne data og ansvarlig for behandlingen af anmodninger eller henvendelser fra de registrerede om de forhold, der er nævnt i punkt 5.1.

5.3. Hvis Styrelsen for It og Læring modtager en anmodning eller henvendelse fra en registreret person om forhold, der er nævnt i punkt 5.1., og som rettelig vedrører en institution eller kommunalbestyrelse, jf. punkt 5.2., sendes denne til besvarelse hos den relevante institution eller kommunalbestyrelse snarest muligt.

5.4. Styrelsen for It og Læring er ansvarlig for at bistå institutionerne og kommunerne i det omfang, at dette er relevant og nødvendigt for, at institutionerne kan efterleve deres forpligtelser over for de registrerede.

6. Dokumentation for overholdelse af Databeskyttelsesforordningen

6.1. Den enkelte institution og kommunalbestyrelse er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven. Foranstaltningerne skal om nødvendigt revideres og ajourføres, jf. databeskyttelsesforordningens artikel 32.

6.2. Styrelsen for It og Lærings foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker, jf. databeskyttelsesforordningens artikel 24, stk. 2.

6.3. Styrelsen for It og Læring er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.

6.4. Den enkelte institution og kommunalbestyrelse er ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at institutionens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1. Dette kan eksempelvis indebære udarbejdelse af procedurer for anmodninger om indsigt eller opfyldelse af oplysningspligten.

7. Anvendelse af databehandlere og underdatabehandlere

7.1. Styrelsen for It og Læring er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i tilknytning til de omhandlede systemer.

7.2. Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Styrelsen for It og Læring ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Styrelsen for It og Læring er herefter bl.a. forpligtet til:

Alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder,

At sikre, at der foreligger en gyldig databehandleraftale mellem Styrelsen for It og Læring og databehandleren, og

At sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.

7.3. Styrelsen for It og Læring skal på anmodning fra den pågældende institution eller kommunalbestyrelse oplyse om, hvorvidt oplysningerne behandles af databehandlere og evt. underdatabehandlere.

7.4. Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, kan Styrelsen for It og Læring efter anmodning fra vedkommende institution eller kommunalbestyrelse oplyse om indholdet af aftalerne.

8. Fortegnelse

8.1. Styrelsen for It og Læring er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Styrelsen for It og Læring fører fortegnelser over de behandlingsaktiviteter, som foretages i de pågældende systemer.

8.2. Styrelsen for It og Læring orienterer vedkommende institutioner og kommunalbestyrelser om indholdet af ovennævnte fortegnelser.

8.3. Den enkelte institution og kommunalbestyrelse skal – eventuelt på baggrund af indholdet i fortegnelserne hos Styrelsen for It og Læring – udarbejde egne fortegnelser over de af aftalen omhandlede behandlingsaktiviteter.

9. Behandlingssikkerhed

9.1. Styrelsen for It og Læring er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed.

9.2. Dette indebærer, at Styrelsen for It og Læring skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Dette skal ske under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

9.3. Dette indebærer også, at Styrelsen for It og Læring skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.

9.4. Den enkelte institution og kommunalbestyrelse er forpligtet til at gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens eller kommunens anvendelse af systemerne, herunder f.eks. foranstaltninger i forbindelse med den fysiske sikkerhed.

10. Anmeldelse af brud på persondatasikkerheden til Datatilsynet

10.1. Styrelsen for It og Læring er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet.

10.2. Den enkelte institution og kommunalbestyrelse er dog ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet.

11. Underretning om brud på persondatasikkerheden til den registrerede

11.1. Styrelsen for It og Læring er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.

11.2. Den enkelte institution og kommunalbestyrelse er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 om underretning til den registrerede om brud på persondatasikkerheden, hvis et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. I et sådant tilfælde er Styrelsen for It og Læring forpligtet til at bistå vedkommende institution og kommunalbestyrelse med oplysninger, som er nødvendige for, at institutionen og kommunalbestyrelsen kan overholde sine forpligtelser over for den registrerede.

12. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

12.1. Styrelsen for It og Læring er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Styrelsen for It og Læring forud for behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

12.2. Styrelsen for It og Læring er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når kravet om høring finder anvendelse.

13. Overførsel af personoplysninger til tredjelande eller internationale organisationer

13.1. Styrelsen for It og Læring er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, hvis der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.

13.2. Den enkelte institution og kommunalbestyrelse er ansvarlig for iagttagelsen af kapitel V, hvis overførslen af personoplysninger til et tredjeland eller en international organisation sker i forbindelse med vedkommende institutions eller kommunes anvendelse af systemet/på vedkommende institutions eller kommunes foranledning.

14. Klager

14.1. Styrelsen for It og Læring er ansvarlig for behandling af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, hvor Styrelsen for It og Læring efter denne cirkulæreskrivelse er ansvarlig.

14.2. Den enkelte institution og kommunalbestyrelse er ansvarlig for behandling af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, hvor vedkommende institution eller kommunalbestyrelse efter denne cirkulæreskrivelse er ansvarlig.

14.3. Hvis en institution eller Styrelsen for It og Læring modtager en klage, som rettelig bør behandles af den anden part, jf. punkt 5.2, sendes klagen til besvarelse hos denne part snarest muligt. Hvis en kommunalbestyrelse eller Styrelsen for It og Læring modtager en klage, som rettelig bør behandles af den anden part, jf. punkt 5.2, sendes klagen til denne part snarest muligt.

14.4. Hvis en institution eller Styrelsen for It og Læring, modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, jf. punkt 5.2, sendes denne del af klagen til besvarelse hos denne part snarest muligt. Hvis en kommunalbestyrelse eller Styrelsen for It og Læring, modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, jf. punkt 5.2, sendes denne del af klagen til besvarelse hos denne part snarest muligt.

14.5. Den registrerede skal, i forbindelse med en institutions, kommunes eller Styrelsen for It og Lærings oversendelse af en klage eller en del heraf til en anden aktør, jf. punkt 14.3-14.4, oplyses om det væsentligste indhold af nærværende cirkulæreskrivelse.

15. Orientering af den anden part

15.1. Styrelsen for It og Læring og de enkelte institutioner og kommunalbestyrelser orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne cirkulæreskrivelse.

16. Ikrafttræden

16.1. Denne cirkulæreskrivelse træder i kraft den 6. november 2019.

16.2. Cirkulæreskrivelse nr. 9366 af 24. maj 2018 om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring ophæves.

Styrelsen for It og Læring, den 4. november 2019

Vicedirektør
Kristian Ørnsholt

/ Hany Dughaim