DPO i GF
Styregruppen oprettede pr. 1. januar 2017 et datasikkerhedssamarbejde. Alle partnerskolerne deltager i samarbejdet. Den europæiske databeskyttelsesforordning har siden 25. maj 2018 stillet krav om, at offentlige myndigheder og institutioner udpeger en DPO. ”DPO” er en forkortelse af ”Data Protection Officer” – på dansk: ”databeskyttelsesrådgiver”. DPO-funktionen er et element i databeskyttelsesforordningens fokus på ”ansvarlighed” og ”dokumentation” i forhold til databeskyttelse. DPOen skal være uafhængig og skal være i stand til at udøve uvildig rådgivning. Som led i partnerskolernes data-sikkerhedssamarbejde varetager Gymnasiefællesskabet den lovpligtige funktion som partnerskolernes DPO.
DPO-funktionen rådgiver den dataansvarlige skole og overvåger og bistår skolerne med at efterleve reglerne om databeskyttelse. Hvad der konkret ligger i denne opgave afhænger af den enkelte skoles situation, behov og prioriteringer, hvorfor DPO-funktionen er i tæt kontakt med den enkelte skole om indholdet af rådgivningsopgaven.
DPO- funktionen kan bidrage med følgende ydelser:
1. Udarbejdelse og tilpasning af data-politikker
2. Konkret undervisning, dialog, besvarelse af spørgsmål, tolkning af regler og udtalelser, vejledning
3. Løbende feedback ifht. skolens efterlevelse af de databeskyttelsesretlige regler i organisationen,
4. Overvågning og kvalitetssikring af, at forudsætninger for skolens lovlige behandling af personoplysninger er til stede, herunder at:
- Skolen har politikker om databeskyttelse (og disse er er kendt af de relevante medarbejdere, de ajourføres løbende og de påses overholdt fra ledelses side)
- Skolen uddanner sit personale i databeskyttelse
- Skolen har oplysningskampagner
- Skolen har overblik over hvem, der er ansvarlig for hvad i organisationen
- Skolen indhenter og gennemgår revisioner af fx studieadministrative systemer og øvrige væsentlige it-systemer, der leveres af eksterne databehandlere
- Skolen løbende gennemfører en aktiv vurdering af, hvilke sikkerhedsforanstaltninger (tekniske og organisatoriske), som skal anvendes for at begrænse risici i forhold til de registreredes rettigheder og interesser
5. DPO-funktionen er kontaktpunkt for tilsynsmyndigheden (Datatilsynet) samt alle medarbejdere, elever (og deres værger) om alle spørgsmål om skolens behandling af personoplysninger og om udøvelse af deres rettigheder efter databeskyttelsesforordningen.
6. DPO-funktionen bistår skolen med at håndtere konkrete klagesager, som indbringes for Datatilsynet.
7. På skolens konkrete anmodning bistår DPO-funktionen skolen med at håndtere sager om læk af personoplysninger, herunder bistand til at foretage anmeldelse af læk til Datatilsynet og evt. også til de berørte registrerede personer. Det er skolen selv, der beslutter, om der skal ske anmeldelse til Datatilsynet og til de registrerede personer. Skolen rådfører sig med DPO-funktionen herom.
DPO-funktionen refererer direkte til rektor/ledelsen, og samarbejder med de dele af skolens organisation, som rektor anviser herunder datasikkerhedstovholderen/GDPR-teamet på skolen. Det er dog ledelsen, som på baggrund af DPO-funktionens afrapportering og rådgivning afgør, om en påtænkt eller igangværende behandling, systemanvendelse, medarbejderinstruks eller lign., ud fra en risikovurdering kan iværksættes eller opretholdes. Ansvaret for at skolens behandlingen af personoplysninger sker efter reglerne påhviler skolen, som dataansvarlig institution. Det er også skolen, som sanktioneres, hvis reglerne ikke overholdes, også selvom dette skyldes ukorrekt rådgivning fra DPO-funktionens side.
Partnerskolen skal inddrage DPO-funktionen ”rettidigt og tilstrækkeligt” til, at DPO-funktionen har reel mulighed for at yde skolen rådgivning om, hvorvidt skolens brug af persondata, it-systemer, databehandlere samt skolens handleplaner og databeskyttelsespolitikker lever op til databeskyttelsesreglerne.
1. Kravet om ”rettidig” inddragelse af DPO-funktionen indebærer, at skolen skal inddrage DPO-funktionen forud for skolens iværksættelse af en påtænkt behandling af personoplysning, ibrugtagning af nye funktioner i et it-system, udstedelse af nye retningslinjer til medarbejderne, mv.
2. Kravet om ”tilstrækkelig” inddragelse af DPO-funktionen indebærer, at skolen skal tage højde for DPO-funktionens bemærkninger, rådgivning og rapportering af en given situation.
Partnerskolen skal endvidere:
- Offentliggøre kontaktoplysninger for DPO-funktionen på sin hjemmeside samt meddele oplysningerne til Datatilsynet.
- Oplyse de registrerede personer om DPO-funktionens kontaktoplysninger i skolens standardorienteringer om behandling af personoplysninger, som fx typisk gives i forbindelse med skolestart i 1.g. (for elevers vedkommende) og som led i opstart af ansættelsesforhold (for medarbejderes vedkommende).
Oplæg til funktionsbeskrivelse for datasikkerhedstovholder på skolen