Senere ændringer til forskriften
Ændrer i/ophæver
Den fulde tekst

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i det digitale system Sprogprøver.dk

1. Indledning

1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen for It og Læring under henvisning til databeskyttelsesforordningens artikel 28 om forholdet mellem aktører, der har en rolle som henholdsvis dataansvarlig og databehandler i relation til en behandling af personoplysninger.

1.2. Efter databeskyttelsesforordningens artikel 28, stk. 3, skal en databehandlers behandling være reguleret af en kontrakt eller andet retligt bindende dokument i henhold til EU-retten eller medlemslandenes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige. Cirkulæreskrivelsen er det retligt bindende dokument i medfør af databeskyttelsesforordningens artikel 28 stk. 3, som regulerer styrelsens behandling af personoplysninger i Sprogprøver.dk på vegne af den dataansvarlige til den dataansvarliges formål jf. punkt 2.

2. Dataansvarlig og databehandler

2.1. Styrelsen for It og Læring stiller som databehandler det digitale administrationssystem Sprogprøver.dk til rådighed for de uddannelsesinstitutioner og kommuner, som frivilligt kan benytte det digitale system til brug for gennemførelse af de obligatoriske sprogprøver i grundskolen. Der er tale om børnehaveklasser på hhv. folkeskoler og afdelinger af folkeskoler samt på frie grundskoler, hvor mere end 30 pct. af eleverne bor i et boligområde, der har været på listen over udsatte boligområder, jf. § 61 a, stk. 1, i lov om almene boliger m.v., mindst en gang inden for de seneste 3 år.

2.2. De administrative opgaver, der udføres i Sproprøver.dk i henhold til formålene fastsat i § 1 i bekendtgørelse om obligatoriske sprogprøver i grundskolen udføres af medarbejdere på den enkelte uddannelsesinstitution eller en kommunes folkeskole, der er ansvarlige for de obligatoriske sprogprøver. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale administrationssystem Sprogprøver.dk, er derfor dataansvarlig for denne personoplysning.

2.3. Som bruger af Sprogprøver.dk er den enkelte uddannelsesinstitution og kommune ansvarlig for, at den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen af Sprogprøver.dk, sker inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven. Styrelsen for It og Læring og de dataansvarlige er hver især underlagt de opgaver og ansvar, der følger af databeskyttelsesforordningens generelle regler om den dataansvarlige og databehandleren, navnlig artikel 28, for så vidt angår styrelsen som databehandler, med de præciseringer, der følger af cirkulæreskrivelsen.

3. Personer og personoplysninger i Sprogprøver.dk

3.1. Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne og kommunerne personoplysninger i Sprogprøver.dk om elever i børnehaveklasser på de i pkt. 2.1. nævnte skoler samt undervisere, der er ansvarlige for de obligatoriske sprogprøver og evt. skoleansatte administratorer.

3.2. Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen behandler om elever, omfatter CPR-nummer med henblik på entydig identifikation, Unilogin, klasse og skole. De personoplysninger som styrelsen behandling om undervisere omfatter CPR-nummer med henblik på entydig identifikation, Unilogin og skoletilknytning.

4. Behandlingens genstand (instruks) og styrelsens adgang til behandling af personoplysninger

4.1. Styrelsen for It og Lærings persondatabehandling består i at stille et system til rådighed og heri opbevare persondata i Sprogprøver.dk samt overføre data der indberettes via systemet til styrelsens statistikberedskab i henhold til § 19 i bekendtgørelse om obligatoriske sprogprøver i grundskolen.

4.2. Styrelsen for It og Læring underretter den dataansvarlige, hvis en instruks efter styrelsens mening er i strid med databeskyttelsesforordningen eller bestemmelser om databeskyttelse i anden EU-ret eller national ret.

4.3. Styrelsen for It og Lærings behandling af personoplysninger i Sprogprøver.dk på vegne af den dataansvarlige er tidsbegrænset og varer indtil cirkulæreskrivelsen ophæves.

4.4. Styrelsen for It og Læring videregiver data fra de administrative systemer til brug for udførelse af statistiske eller videnskabelige undersøgelser, jf. databeskyttelseslovens § 10, når den rekvirerende aktør efter lovgivningen har hjemmel og de fornødne tilladelser til, at videregivelse af personoplysninger til sådanne formål kan ske. Den dataansvarlige skal således ikke anmode Styrelsen for It og Læring om videregivelse hertil i hvert enkelt tilfælde.

4.5. I forbindelse med videregivelser i henhold til punkt 4.4. bliver Styrelsen for It og Læring selvstændig dataansvarlig for de videregivne personoplysninger, og styrelsen er ansvarlig for at sikre, at der er en gyldig hjemmel til videregivelsen.

5. Autorisationer, adgangsstyring og fortrolighed

5.1. Styrelsen for It og Læring meddeler autorisation til de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger Sprogprøver. Styrelsen for It og Læring sikrer ved passende tekniske og organisatoriske kontrolforanstaltninger, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den enkelte dataansvarlige. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber.

5.2. Styrelsen for It og Læring sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af de enkelte dataansvarlige, jf. pkt. 5.1, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

6. Behandlingssikkerhed

6.1. Styrelsen for It og Læring iværksætter alle foranstaltninger, der kræves i henhold til databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen sikrer herved, at der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

6.2. På baggrund af resultatet af den risikovurdering, som Styrelsen for It og Læring har gennemført, jf. pkt. 6.1., gennemfører styrelsen passende foranstaltninger for at imødegå de identificerede risici. Der kan alt efter, hvad der er relevant, være tale om følgende foranstaltninger:

a) Pseudonymisering og kryptering af personoplysninger.

b) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og tjenester

c) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af fysisk eller teknisk hændelse

d) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

6.3. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

a) Interne retningslinjer i for informationssikkerhed i Styrelsen for It og Læring, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, administration af adgangskontrol og autorisationsordninger samt kontrol af autorisationer jf. punkt 5.1.

b) Instruktion af de i punkt 5.1. autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

c) Anvendelse af ITIL som standardrammeværktøj til at understøtte stabil og sikker drift.

d) Etablering af et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.

6.4. Den enkelte dataansvarlige er ansvarlig for at gennemføre egne relevante organisatoriske og tekniske sikkerhedsforanstaltninger, som knytter sig til den dataansvarliges anvendelse af systemet.

6.5. Styrelsen for It og Læring er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25 i forhold til udvikling og drift af Sprogprøver.dk.

6.6. Styrelsen for It og Læring iværksætter alle foranstaltninger, der er nødvendige for opfyldelse af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse r for de i punkt 1.4. nævnte systemer, Styrelsen foretager i den sammenhæng en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

6.7. Styrelsen for It og Læring iværksætter alle foranstaltninger, der er nødvendige for opfyldelse af kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af Datatilsynet ved visse behandlinger af personoplysninger.

7. Fortegnelser

7.1. Styrelsen for It og Læring udarbejder en fortegnelse over sine behandlingsaktiviteter i Sprogprøver.dk i overensstemmelse med databeskyttelsesforordningens artikel 30.

7.2. Styrelsen offentliggør dens fortegnelse, jf. punkt 7.1., på viden.stil.dk.

8. Orientering og anmeldelser af brud på persondatasikkerhed til Datatilsynet

8.1. Den dataansvarlige er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes den dataansvarliges egen anvendelse af systemet. Den dataansvarlige underretter i dette tilfælde de registrerede om bruddet på datasikkerheden i overensstemmelse med kravene herom i databeskyttelsesforordningens artikel 34.

8.2. Hvis den dataansvarlige efter punkt 8.1. er ansvarlig for at foretage anmeldelse til Datatilsynet, men den dataansvarlige ikke selv har opdaget bruddet på persondatasikkerheden, underretter Styrelsen for It og Læring den dataansvarlige om sikkerhedsbruddet uden unødig forsinkelse efter, at hændelsen er kommet til styrelsens kendskab.

8.3. Under hensyn til sagens karakter og bruddets omfang kan styrelsen på vegne af samtlige dataansvarlige omfattet af denne cirkulæreskrivelse foretage en samlet anmeldelse til datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.

9. Bistand til den dataansvarlige

9.1. Styrelsen for It og Læring bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, som er fastlagt i databeskyttelsesforordningens kapitel 3.

9.2. Dette indebærer, at Styrelsen for It og Læring så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af nedenstående regler i databeskyttelsesforordningen:

Oplysningspligten ved indsamling af personoplysninger hos den registrerede, jf. artikel 13

Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14

Den registreredes indsigtsret, jf. artikel 15

Retten til berigtigelse, jf. artikel 16

Retten til sletning (»retten til at blive glemt«), jf. artikel 17

Retten til begrænsning af behandling, jf. artikel 18

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 18

Retten til indsigelse, jf. artikel 21

9.3. Styrelsen for It og Læring bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for Styrelsen for It og Læring som databehandler, jf. databeskyttelsesforordningens art 28, stk. 3, litra f. Dette indebærer, at Styrelsen for It og Læring under hensynstagen til behandlingens karakter skal bistå den enkelte dataansvarlige i forbindelse med, at denne skal sikre overholdelsen af:

a) Forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen, jf. nærmere herom i punkt 6.

b) Forpligtelsen til at anmelde brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at den enkelte dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, jf. nærmere herom i punkt 8.

c) Forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, jf. nærmere herom i punkt 8.

d) Forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og forpligtelsen til at høre Datatilsynet inden behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den enkelte dataansvarlige for at begrænse risikoen, jf. nærmere herom punkt 6.

10. Opbevaring og sletning af data

10.1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger forpligtes Styrelsen for It og Læring til, efter den dataansvarlige aktørs valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige aktør, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

10.2. Alle oplysninger om elevernes sprogprøver og elevernes personoplysninger slettes fra systemet Sprogprøver.dk 2 måneder efter indberetning til Styrelsen for It og Læring. Indberetningen til Styrelsen for It og Læring sker senest den 5. september 2020.

11. Anvendelse af underdatabehandlere

11.1. Styrelsen for It og Læring er berettiget til at anvende underdatabehandlere i tilknytning til de omhandlede systemer.

11.2. Ved anvendelse af underdatabehandlere er Styrelsen for It og Læring ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Styrelsen for It og Læring er herefter bl.a. forpligtet til:

Alene at anvende underdatadatabehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder,

At sikre, at der foreligger en gyldig underdatabehandleraftale mellem Styrelsen for It og Læring og en eventuel underdatabehandler.

11.3. Styrelsen for It og Læring skal på styrelsen hjemmeside (www.viden.stil.dk) give oplysning om underdatabehandlere for de enkelte administrative systemer.

11.4. Styrelsen for It og Læring skal endvidere på anmodning fra en dataansvarlig oplyse om, hvorvidt oplysningerne behandles af underdatabehandlere. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den enkelte dataansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem Styrelsen for It og Læring og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.

11.5. Styrelsen for It og Læring sørger for at pålægge underdatabehandlere de samme databeskyttelsesforpligtelser, som dem, der er fastsat ved denne cirkulæreskrivelse, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.

11.6. Styrelsen for It og Læring er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som Styrelsen for It og Læring selv er underlagt efter databeskyttelsesreglerne og denne cirkulæreskrivelse.

11.7. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem Styrelsen for It og Læring, der fører tilsyn med underdatabehandlerens overholdelse underdatabehandleraftalen.

11.8. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Styrelsen for it og Læring fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

12. Tilsyn og revision

12.1. Styrelsen for It og Læring stiller alle oplysninger, der er relevante og nødvendige for at påvise overholdelse af kravene i cirkulæreskrivelsen, til rådighed for den dataansvarlige.

13. Overførsler af personoplysninger til tredjelande eller internationale organisationer

13.1. Styrelsen for It og Læring må alene overføre personoplysninger i Sproprøver.dk til tredjelande eller internationale organisationer efter dokumenteret instruks fra den dataansvarlige.

13.2. Styrelsen for It og Læring har generel godkendelse til at overføre personoplysninger i Sprogprøver.dk til tredjelande eller internationale organisationer i tilfælde af at overførslen er nødvendig i henhold til udførelse af styrelsens opgave jf. punkt 4.1. Såfremt der overføres personoplysninger til tredjelande vil dette fremgå i Styrelsens fortegnelse jf. punkt 7.

13.3 Ved overførsler omfattet af punkt 13.1 er den dataansvarlige ansvarlig for at sikre, at der foreligger et gyldigt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel 5. Ved overførsler omfattet af punkt 13.2 er Styrelsen for It og Læring ansvarlig for at sikre, at der foreligger et gyldigt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel 5.

14. Orientering af den anden part

14.1. Styrelsen for It og Læring og de dataansvarlige orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne cirkulæreskrivelse.

15. Øvrige forhold og ikrafttrædelsestidspunkt

15.1. Styrelsen for It og Læring og de dataansvarlige orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne cirkulæreskrivelse.

15.2. Cirkulæreskrivelsen træder i kraft den 6. november 2019.

15.3. Cirkulæreskrivelse nr. 9959 af 04/11/2019 om Styrelsen for It og Lærings opgaver som databehandler i det digitale system Sprogprøver.dk ophæves.

Styrelsen for It og Læring, den 5. november 2019

Vicedirektør
Kristian Ørnsholt

/ Hany Dughaim