Senere ændringer til forskriften
Lovgivning forskriften vedrører
Ændrer i/ophæver
Den fulde tekst

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

I medfør af § 15 e, stk. 4, i lov om kommunal indsats for unge under 25 år, jf. lovbekendtgørelse nr. 825 af 16. august 2019, og efter forhandling med Kommunernes Landsforening fastsættes:

Anvendelsesområde

§ 1. Bekendtgørelsen finder anvendelse ved behandling af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse. Behandlingen af oplysninger sker her til brug for den kommunale ungeindsats, herunder udarbejdelse af og opfølgning på den enkelte unges uddannelsesplan eller uddannelsespålæg, og den arbejdsmarkedsrettede indsats i henhold til kapitel 4 b i bekendtgørelse af lov om kommunal indsats for unge under 25 år.

Dataansvar

§ 2. Styrelsen for It og Læring stiller som databehandler det fælles datagrundlag for unges uddannelse og beskæftigelse til rådighed for kommunerne, der beskæftiger sig med uddannelses- og arbejdsmarkedsrettede forhold. Styrelsen behandler kun personoplysningerne i det fælles datagrundlag til formål omfattet af § 1.

Stk. 2. Kommunalbestyrelsen er dataansvarlig for behandlingen af de personoplysninger i det fælles datagrundlag, som er indlæst af kommunen vedrørende de personer, der registreres som led i kommunens ungeindsats, jf. § 1.

Stk. 3. Styrelsen for It og Læring og kommunalbestyrelsen er som henholdsvis databehandler og dataansvarlig hver især underlagt de opgaver og ansvar, der følger af databeskyttelsesforordningens generelle regler med de præciseringer, der følger af bekendtgørelsen.

Stk. 4. Bekendtgørelsen er det retligt bindende dokument i medfør af databeskyttelsesforordningens artikel 28, stk. 3, som regulerer Styrelsen for It og Lærings behandling af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse på vegne af den dataansvarlige kommunalbestyrelse til den dataansvarliges formål.

Databehandling på vegne af den dataansvarlige

§ 3. Styrelsen for It og Læring har ansvaret for at udføre drift, support, vedligeholdelse og udvikling af det fælles datagrundlag for unges uddannelse og beskæftigelse. Styrelsen for It og Læring behandler i den sammenhæng kun personoplysninger ved at stille de indlæste oplysninger i det fælles datagrundlag til rådighed for den kommunale ungeindsats mv. i overensstemmelse med reglerne herom i kapitel 4 b i bekendtgørelse af lov om kommunal indsats for unge under 25 år. Styrelsen for It og Lærings behandling af personoplysninger består af indsamling og opbevaring af persondata i det fælles datagrundlag og behandlingen sker alene efter dokumenteret instruks fra den dataansvarlige kommunalbestyrelse.

Stk. 2. Styrelsen for It og Læring behandler i det fælles datagrundlag oplysninger på individniveau om unge op til 25 år, der er nødvendige for tilrettelæggelsen af den kommunale ungeindsats efter den uddannelses- og arbejdsmarkedsrettede lovgivning. Oplysninger om den unges uddannelsesstatus, uddannelsespålæg, højst afsluttede uddannelse og planer samt mål for indsatser, uddannelse og job kan dog indgå i det fælles datagrundlag for unge op til 30 år, når det er nødvendigt for en fortsat arbejdsmarkedsrettet indsats.

Stk. 3. Styrelsen for It og Læring behandler personoplysninger om uddannelsesparathedsvurdering af unge efter 9. og 10. klasse, optagelse på en uddannelse, resultatet af optagelsesprøver til gymnasiale uddannelser og erhvervsuddannelser, afbrud og afbrudsårsagskoder, gennemførelse af uddannelse, risiko for frafald, jobcenterinitierede aktiviteter, uddannelsespålæg, job- og uddannelsesønsker, kontaktoplysninger (navn, telefonnummer og e-mail-adresse) på tildelt kontaktperson, oplysninger om beskæftigelse ud fra indkomstoplysninger (deltid, fuldtid og offentlig forsørgelse) samt oplysninger om unges CPR-nummer med henblik på en entydig identifikation. Styrelsen for It og Læring behandler i den sammenhæng alene almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og databeskyttelseslovens § 11. Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9.

Stk. 4. Styrelsen for It og Lærings behandling af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse er ikke tidsbegrænset og varer indtil bekendtgørelsen ophæves.

Stk. 5. Styrelsen for It og Læring underretter den dataansvarlige kommunalbestyrelse, hvis en instruks fra kommunalbestyrelsen efter styrelsens mening er i strid med databeskyttelsesforordningen, databeskyttelsesloven eller andre bestemmelser om databeskyttelse i EU-retten eller national ret.

Sletning af personoplysninger

§ 4. Styrelsen for It og Læring sletter senest personoplysninger i det fælles datagrundlag om de registrerede, når den registrerede fylder 30 år, jf. dog stk. 2 og 3.

Stk. 2. Oplysninger om den registreredes optagelsesprøver slettes 2 år efter seneste indlæsning eller når den unge fylder 25 år.

Stk. 3. Oplysninger om den registreredes uddannelsesparathedsvurdering slettes 2 år efter seneste indlæsning.

Autorisationer og adgangsstyring

§ 5. Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i det fælles datagrundlag. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber.

Fortrolighed

§ 6. Styrelsen for It og Læring sikrer, at de i § 5 omfattede personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Behandlingssikkerhed

§ 7. Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandt andet, alt efter hvad der er relevant, kryptering og logning.

Stk. 2. Fastsættelsen af de i stk. 1 omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

Stk. 3. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer jf. § 5.

2) Styrelsen instruerer de efter § 5 autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

3) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.

4) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.

Stk. 4. Den dataansvarlige kommunalbestyrelse er ansvarlig for at gennemføre egne relevante organisatoriske og tekniske sikkerhedsforanstaltninger, som knytter sig til den dataansvarliges anvendelse af systemet.

Anmeldelser af brud på persondatasikkerhed til Datatilsynet

§ 8. Den dataansvarlige kommunalbestyrelse er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes den dataansvarliges egen anvendelse af det fælles datagrundlag for unges uddannelse og beskæftigelse. Den dataansvarlige underretter i dette tilfælde de registrerede om bruddet på datasikkerheden i overensstemmelse med kravene herom i databeskyttelsesforordningens artikel 34.

Stk. 2. Hvis den dataansvarlige efter stk. 1 er ansvarlig for at foretage anmeldelse til Datatilsynet, men den dataansvarlige ikke selv har opdaget bruddet på persondatasikkerheden, underretter Styrelsen for It og Læring den dataansvarlige om sikkerhedsbruddet uden unødig forsinkelse og senest 48 timer efter, at hændelsen er kommet til styrelsens kendskab, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til Datatilsynet indenfor 72 timer.

Stk. 3. Hvis den dataansvarlige efter stk. 1 er ansvarlig for at foretage anmeldelse af brud på persondatasikkerheden til Datatilsynet, bistår Styrelsen for It og Læring under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for styrelsen, den dataansvarlige med at foretage anmeldelsen af bruddet uden unødig forsinkelse og om muligt senest inden for 72 timer. Styrelsen yder vejledning og bistand i forbindelse med tilvejebringelse af de oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til Datatilsynet. Styrelsen yder vejledning og bistand i forbindelse med tilvejebringelse af de oplysninger, som efter databeskyttelsesforordningens artikel 34, stk. 2, skal fremgå af den dataansvarliges underretning til den registrerede i de tilfælde, hvor den dataansvarlige har underretningspligt til Datatilsynet ved et sikkerhedsbrud.

Stk. 4. Styrelsen for It og Læring kan anmelde brud på persondatasikkerheden til Datatilsynet senest 72 timer efter hændelsen er kommet til styrelsens kendskab i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, hvis bruddet på persondatasikkerheden ikke skyldes den dataansvarliges egen anvendelse af systemet. Styrelsen underretter den dataansvarlige om anmeldelse til Datatilsynet senest samtidig med anmeldelsen til Datatilsynet.

Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

§ 9. Styrelsen for It og Læring iagttager på vegne af den dataansvarlige kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse af personoplysninger, der behandles i det fælles datagrundlag for unges uddannelse og beskæftigelse. Styrelsen foretager forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Stk. 2. Styrelsen for It og Læring iagttager på vegne af den dataansvarlige kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden om visse behandlinger af personoplysninger og konsekvensanalyser, når kravet om høring finder anvendelse.

Bistand med iagttagelse af registreredes rettigheder

§ 10. Styrelsen for It og Læring bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, som er fastlagt i databeskyttelsesforordningens kapitel 3 og som omfatter:

1) Oplysningspligten ved indsamling af personoplysninger hos den registrerede, jf. artikel 13.

2) Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14.

3) Den registreredes indsigtsret, jf. artikel 15.

4) Retten til berigtigelse, jf. artikel 16.

5) Retten til sletning (»retten til at blive glemt«), jf. artikel 17.

6) Retten til begrænsning af behandling, jf. artikel 18.

7) Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 19.

8) Retten til indsigelse, jf. artikel 21.

Stk. 2. Den enkelte dataansvarlige kommunalbestyrelse er ansvarlig for indlæsning af kommunens egne personoplysninger og for behandlingen af anmodninger eller henvendelser fra de registrerede om de forhold, der er nævnt i stk. 1.

Stk. 3. Hvis Styrelsen for It og Læring modtager en anmodning eller henvendelse fra en registreret person om forhold, der er nævnt i stk. 1, og som vedrører behandling af personoplysninger hos den dataansvarlige kommunalbestyrelse, sender styrelsen henvendelsen til besvarelse hos den dataansvarlige kommunalbestyrelse snarest muligt.

Tilsyn og revision

§ 11. Styrelsen for It og Læring stiller alle oplysninger, der er relevante og nødvendige for at påvise overholdelse af kravene i bekendtgørelsen, til rådighed for den dataansvarlige kommunalbestyrelse.

Overførsler af personoplysninger til tredjelande eller internationale organisationer

§ 12. Styrelsen for It og Læring må alene overføre personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse til tredjelande eller internationale organisationer efter dokumenteret instruks fra den dataansvarlige kommunalbestyrelse, jf. § 3, stk. 1.

Stk. 2. Styrelsen for It og Læring har generel godkendelse til at overføre personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse til tredjelande eller internationale organisationer i tilfælde af at overførslen er nødvendig i henhold til udførelse af styrelsens brug af underdatabehandler i medfør af § 13.

Stk. 3. Ved overførsler omfattet af stk. 1 er den dataansvarlige er ansvarlig for at sikre, at der foreligger et gyldigt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel 5. Ved overførsler omfattet af stk. 2 er Styrelsen for It og Læring ansvarlig for at sikre, at der foreligger et gyldigt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel 5.

Styrelsens eventuelle underdatabehandlere

§ 13. Styrelsen for It og Læring har generel godkendelse til at anvende underdatabehandlere til udførelse af de i § 3, stk. 1 nævnte opgaver eller dele heraf. Det er dog en forudsætning, at styrelsen har pålagt underdatabehandleren tilstrækkelige databeskyttelsesforpligtelser gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret.

Stk. 2. Styrelsen for It og Læring fører tilsyn med underdatabehandlerens overholdelse af sine databeskyttelsesforpligtelser som fastsat i kontrakten eller det andet retligt bindende dokument i henhold til EU-retten eller medlemsstaternes nationale ret som nævnt i stk. 1. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser over for styrelsen, er den dataansvarlige kommunalbestyrelse ikke ansvarlig herfor.

Stk. 3. Styrelsen for It og Læring underretter den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af styrelsens underdatabehandlere og giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

Orientering af den anden part

§ 14. Styrelsen for It og Læring og den dataansvarlige kommunalbestyrelse orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne bekendtgørelse.

Fortegnelse

§ 15. Styrelsen for It og Læring udarbejder en fortegnelse over styrelsens behandlingsaktiviteter i det fælles datagrundlag for unges uddannelse og beskæftigelse i overensstemmelse med databeskyttelsesforordningens artikel 30. Styrelsen offentliggør og opdaterer løbende fortegnelsen på viden.stil.dk.

Ikrafttræden

§ 16. Bekendtgørelsen træder i kraft den 10. november 2019.

Styrelsen for It og Læring, den 8. november 2019

Vicedirektør
Kristian Ørnsholt

/ Hany Dughaim