Gymnasiefællesskabets opgaver og ydelser for datasikkerhedssamarbejde og DPO-samarbejde
Datasikkerheds- og DPO-samarbejdet består af følgende ydelser:
- DPO-funktionens kontrol- og rådgivningsydelser i medfør af GDPR
- En implementerings- og compliance funktion som bistår partnerskolerne med GDPR compliance-arbejdet, hvor der f.eks. ydes bistand med Risikovurderinger (forudsætter lokale implementeringer) samt ajourføring af risikovurderinger, analyser af behovet for databehandleraftaler samt bistå med indgåelse af databehandleraftaler, stramning af databehandleraftaler, kontrol med databehandleraftalerne mv.
Både datasikkerhedssamarbejdets implementeringsfunktion samt DPO-funktionen indgår i tæt samarbejde med partnerskolernes lokale datasikkerhedstovholdere/GDPR-teams. DPO-funktionen og datasikkerhedssamarbejdets implementeringsfunktion er adskilte funktioner og samarbejder efter behov.
Som led i Datasikkerheds- og DPO-samarbejdet tilbyder Gymnasiefællesskabet blandt andet:
- Sparring og samarbejde med skolernes ledelser om strategi og ressourcer med henblik på overholdelse af persondatareglerne
- Rådgivning af skolerne på alle niveauer
- Støtte til skolerne ved forespørgsler om de registrerede personers rettigheder
- Udvikling af it- og organisatoriske løsninger samt videreudvikling af retningslinjer, værktøjer og politikker til brug for de konkrete arbejdsgange i skoledriften, der indebærer behandling af persondata
- Fastholdelse af kontakt med samarbejdspartnere og relevante myndigheder i og uden for sektoren
- Understøttelse af skolerne i opgaven med at kunne dokumentere datasikkerheden
- Fortolkning af regler og konkretisering af ”hvad man må gøre” med persondata
- Rådgivning til skolernes overvejelser om datasikkerhed ved indkøb og implementering eller videreudvikling af it-systemer
- Rådgivning til skolerne vedr. model til gennemgang, indgåelse og håndhævelse af databehandleraftaler samt løbende opfølgning på behandlingssikkerheden hos databehandlerne
- Rådgivning til skolernes vedr. digitale og manuelle sletterutiner (afklaring af behov, metode, systemløsninger, fastlæggelse af administrative arbejdsgange der understøtter sletning på ressourcebesparende og sikker vis.
Skolerne modtager vejledning og individuel rådgivning i, hvordan de kan leve op til kravene. Gymnasiefællesskabet afholder gerne kurser og seminarer målrettet skolernes behov, f.eks. seminar om datasikkerhed i relation til personaleadministration og elevadministration. Skolerne modtager endvidere en række skabeloner og vejledninger, som de kan vælge at hente inspiration i, f.eks. om medarbejderes persondata, elevers persondata, skolernes studievejledning, generelle retningslinjer osv. Derudover modtager skolerne f.eks. formuleringer til ansættelsesbreve, velkomstbreve og besvarelse af anmodninger om indsigt i- eller sletning af egne personoplysninger. Gymnasiefællesskabet har blandt andet udarbejdet en komplet skoledatasikkerhedshåndbog.
DPO-funktionen rådgiver den dataansvarlige skole og overvåger og bistår skolerne med at efterleve reglerne om databeskyttelse. Hvad der konkret ligger i denne opgave afhænger af den enkelte skoles situation, behov og prioriteringer, hvorfor DPO-funktionen er i tæt kontakt med den enkelte skole om indholdet af rådgivningsopgaven.
Implementeringsfunktionen bidrager til skolernes praktiske implementering af tiltag og driftsopgaver, som DPO-funktionen i medfør af GDPR alene må rådgive om. Dermed sikres kravene i GDPR om, at DPO-funktionen skal være uafhængig og skal udøve kontrol men ikke må udøve kontrol af eget arbejde. Samtidig sikres det, at skolerne får en praktisk assistance til udførelse af implementeringsopgaver, som der kan være forskellige og driftsmæssige behov for.
Kollektiv ordning hvor der ydes bistand med
A. Risikovurderinger (forudsætter lokale implementeringer) samt ajourføring af risikovurderingen
B. analyser af behovet for databehandleraftaler samt bistå med indgåelse af databehandleraftaler, stramning af databehandleraftaler,
C. kontrol med databehandleraftalerne, herunder Løbende tilsyn af databehandlere f.eks. assistance med at indhente og gennemgå revisionserklæringer mv. der leveres af eksterne databehandlere
D. bistand med at leverandører får slettet forældede data i overensstemmelse med databehandleraftaler samt ved ophør af brug af værktøjer mv.
Funktionen bidrager også med:
E. Udarbejdelse, tilpasning af redskaber, skabeloner mv, herunder opdatering af skoledatasikkerhedshåndbogen
DPO- funktionen bidrager med følgende:
- Rådgive den dataansvarlige og hjælpe med at organisationen efterlever de databeskyttelsesretlige regler.
- Stå til rådighed for ledelsen, ansatte, elever (og værger) vedrørende spørgsmål om databeskyttelse
- Udarbejdelse og tilpasning af data-politikker
- Konkret undervisning, dialog, besvarelse af spørgsmål, tolkning af regler og udtalelser, vejledning
- Løbende feedback ifht. skolens efterlevelse af de databeskyttelsesretlige regler i organisationen,
- Overvågning (kontrol) og kvalitetssikring af, at forudsætninger for skolens lovlige behandling af personoplysninger er til stede, herunder at:
- Skolen har politikker om databeskyttelse (og disse er er kendt af de relevante medarbejdere, de ajourføres løbende og de påses overholdt fra ledelses side)
- Skolen uddanner sit personale i databeskyttelse
- Skolen har oplysningskampagner
- Skolen har overblik over hvem, der er ansvarlig for hvad i organisationen
- Skolen indhenter og gennemgår revisioner af fx studieadministrative systemer og øvrige væsentlige it-systemer, der leveres af eksterne databehandlere
- Skolen løbende gennemfører en aktiv vurdering af, hvilke sikkerhedsforanstaltninger (tekniske og organisatoriske), som skal anvendes for at begrænse risici i forhold til de registreredes rettigheder og interesser
- DPO-funktionen er kontaktpunkt for tilsynsmyndigheden (Datatilsynet).
- DPO-funktionen bistår skolen med at håndtere konkrete klagesager, som indbringes for Datatilsynet.
- På skolens konkrete anmodning bistår DPO-funktionen skolen med at håndtere sager om læk af personoplysninger, herunder bistand til at foretage anmeldelse af læk til Datatilsynet og evt. også til de berørte registrerede personer. Det er skolen selv, der beslutter, om der skal ske anmeldelse til Datatilsynet og til de registrerede personer. Skolen rådfører sig med DPO-funktionen herom.
DPO- funktionen er f.eks. afskåret fra at udføre følgende opgaver pga. sin uafhængighed i medfør af GDPRreglerne:
- Håndtering af registrerede personers anmodning om indsigt i egne oplysninger, sletning mv.
- Mindre praktiske eller almindelige driftsopgaver eller driftsmæssige spørgsmål knyttet til opsætning af it-systemer
- Beslutning om anmeldelse af læk til Datatilsynet og til de berørte registrerede personer
- Løbende tilsyn med og kontrol af databehandlere
Forudsætninger og rammer for DPO-funktionens virke
- GF’s DPO-funktion er den dataansvarlige partnerskoles rådgiver, som partnerskolen kan og skal inddrage i alle spørgsmål om databeskyttelse på skolen[1].
- GF’s DPO-funktion skal overvåge, at persondatalovgivningen overholdes hos partnerskolen og skal på bedste vis understøtte en god databeskyttelse hos partnerskolen.
- DPO-funktionen refererer direkte til rektor/ledelsen, og samarbejder med de dele af skolens organisation, som rektor anviser herunder datasikkerhedstovholderen/GDPR-teamet på skolen. Det er dog ledelsen, som på baggrund af DPO-funktionens afrapportering og rådgivning afgør, om en påtænkt eller igangværende behandling, systemanvendelse, medarbejderinstruks eller lign., ud fra en risikovurdering kan iværksættes eller opretholdes.
- Ansvaret for at skolens behandlingen af personoplysninger sker efter reglerne påhviler skolen, som dataansvarlig institution. Det er også skolen, som sanktioneres, hvis reglerne ikke overholdes, også selvom dette skyldes ukorrekt rådgivning fra DPO-funktionens side.
- Det er skolens (rektors) opgave at sikre, at nedenstående relation etableres som forudsætning for DPO-funktionens virke:
Partnerskolen skal inddrage DPO-funktionen ”rettidigt og tilstrækkeligt” til, at DPO-funktionen har reel mulighed for at yde skolen rådgivning om, hvorvidt skolens brug af persondata, it-systemer, databehandlere samt skolens handleplaner og databeskyttelsespolitikker lever op til databeskyttelsesreglerne
[1] Dette fremgår direkte af databeskyttelsesforordningens art. 38, stk. 1. Datatilsynets vejledning om databeskyttelsesrådgivere kan læses her