Så behandlar vi dina personuppgifter

För oss på MA Vätterosen AB är det viktigt att barn, elever och vårdnadshavare känner sig trygga med att vi hanterar personuppgifter på ett säkert sätt.

Dataskyddsförordningen

Dataskyddsförordningen, eller GDPR, gäller från och med den 25 maj 2018 som lag inom EU och därmed Sverige. Dataskyddsförordningen syftar till att skydda människors personliga integritet när personuppgifter behandlas. Dataskyddsförordningen gäller för både manuell och elektronisk hantering av uppgifter, så länge som uppgifterna är sökbara.

Ansvarig och kontaktuppgifter

MA Vätterosen AB är personuppgiftsansvarig för de personuppgifter som behandlas inom ramen för vår verksamhet. Vi bryr oss om våra barn/elever/vårdnadshavare och er integritet och förbinder oss att respektera samt skydda era personuppgifter i enlighet med gällande lagar och branschstandarder. För att hjälpa er att förstå hur vi samlar in och använder information har vi sammanställt denna information. Ni är alltid välkomna att kontakta oss med frågor, funderingar eller förfrågningar som rör hur vi behandlar personuppgifter.

MA Vätterosen AB är ansvarig för upprättandet av denna policy.

Kontaktuppgifter till ansvarig: andreas@farstastrandskolan.se

Tillämplighet och omfattning

Denna policy är tillämplig på alla barn, elever och vårdnadshavare på MA Vätterosen AB.

Denna policy ska, på begäran och i enlighet med tillämplig lag, göras tillgänglig för Integritetsskyddsmyndigheten, vilken är svensk tillsynsmyndighet för behandling av personuppgifter.

I den mån dataskyddsförordningen ((EU) 2016/679) fastställer ytterligare krav ska den tillämpas vid sidan av denna policy. Om någon del av denna policy strider mot dataskyddsförordningen ska dataskyddsförordningen tillämpas i den berörda delens ställe.

Syfte

Denna policy har tagits fram i syfte att säkerställa att MA Vätterosen AB behandlar personuppgifter på ett lagligt och korrekt sätt med hänsynstagande till individens rätt till skydd av integritet. Policyn förklarar MA Vätterosen AB:s inställning vad gäller skydd av personuppgifter och fastställer instruktioner för hur dessa ska hanteras och skyddas. Policyn klargör även vilka rättigheter som MA Vätterosen AB har.

Vad är en personuppgift?

Personuppgifter är all slags information som, direkt eller indirekt, kan knytas till en fysisk person som är i livet. Personuppgifter kan därför vara allt ifrån uppgifter om namn och adress till omdömen, frånvaro, foton eller ljudinspelningar. En utgångspunkt för MA Vätterosen AB:s dataskydd är att personuppgifterna tillhör den enskilde, vi lånar dem bara.

Alla personuppgifter ska behandlas med lämplig säkerhet och respekt. Ju känsligare personuppgifterna är ur ett integritetsperspektiv, desto högre krav ställs på skydd och säkerhet. Vid behandling av personuppgifter ska vi därför kontinuerligt fundera över och bedöma hur integritetskänsliga uppgifterna är och anpassa säkerheten därefter. För detta syfte kan vi därför dela in personuppgifterna i tre kategorier:

Okänsliga personuppgifter

Normalt sett är uppgifter om exempelvis namn, adress och skola okänsliga personuppgifter.

Känsliga personuppgifter

Känsliga personuppgifter utgör en särskild kategori i dataskyddsförordningen och ska behandlas med särskild varsamhet. Känsliga personuppgifter definieras som personuppgifter som avslöjar uppgift om följande:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiösa eller filosofiska uppfattningar
  • fackligt medlemskap
  • genetiska uppgifter
  • biometriska uppgifter
  • hälsa
  • sexualliv
  • sexuell läggning

Integritetskänsliga personuppgifter

Det finns ett antal personuppgifter som inte nödvändigtvis träffas av dataskyddsförordningens definition av känsliga personuppgifter ovan, men som fortfarande är integritetskänsliga. Det kan exempelvis avse uppgifter om personnummer, ekonomi, beteendeproblematik och kränkande behandling. Sådana uppgifter ska likt känsliga personuppgifter behandlas med extra varsamhet och bara om det är nödvändigt.

MA Vätterosen AB:s syfte med att samla in personuppgifter

Behandlingen av dina personuppgifter är nödvändig för att utföra vårt uppdrag enligt skollagen. De intresseavvägningar vi gjort finns alltid dokumenterade så att vi kan visa hur vi förhåller oss till och tar hänsyn till dina intressen, rättigheter och friheter som individ.

Nedan följer en del av våra syften som MA Vätterosen AB har för insamlandet av personuppgifter:

När ett nytt barn börjar i vår förskola/skola/fritidshem samlar vi bland annat in personuppgifter för att få barnets personuppgifter och vårdnadshavarnas kontaktuppgifter samt medgivande av att medverka på bild i verksamhetens lokaler, allergier och medgivande om överföring av elevhälsojournal.

I samband med pedagogisk dokumentation behövs uppgifterna för att underlätta strukturen för pedagogiska samtal och snabb åtkomst till dokumentationen.

När vi genomför pedagogiska utredningar och upprättar handlingsplaner för enskilda barn/elever samlar vi in personuppgifter för att kunna arbeta med barnet/eleven utifrån dess förutsättningar och för att ev. kunna söka tilläggsbelopp.

Elevhälsan (skolsköterska, kurator, specialpedagoger, skolpsykolog, skolläkare) behöver samla in uppgifter för att säkerställa en god hälsa för våra elever, samt för att kunna dokumentera de insatser vi gör.

MA Vätterosen AB:s syfte med att samla in personuppgifter

Behandlingen av dina personuppgifter är nödvändig för att utföra vårt uppdrag enligt skollagen. De intresseavvägningar vi gjort finns alltid dokumenterade så att vi kan visa hur vi förhåller oss till och tar hänsyn till dina intressen, rättigheter och friheter som individ.

Nedan följer en del av våra syften som MA Vätterosen AB har för insamlandet av personuppgifter:

När ett nytt barn börjar i vår förskola/skola/fritidshem samlar vi bland annat in personuppgifter för att få barnets personuppgifter och vårdnadshavarnas kontaktuppgifter samt medgivande av att medverka på bild i verksamhetens lokaler, allergier och medgivande om överföring av elevhälsojournal.

I samband med pedagogisk dokumentation behövs uppgifterna för att underlätta strukturen för pedagogiska samtal och snabb åtkomst till dokumentationen.

När vi genomför pedagogiska utredningar och upprättar handlingsplaner för enskilda barn/elever samlar vi in personuppgifter för att kunna arbeta med barnet/eleven utifrån dess förutsättningar och för att ev. kunna söka tilläggsbelopp.

Elevhälsan (skolsköterska, kurator, specialpedagoger, skolpsykolog, skolläkare) behöver samla in uppgifter för att säkerställa en god hälsa för våra elever, samt för att kunna dokumentera de insatser vi gör.

Vi samlar in personuppgifter till förskola och fritidshem för att kunna skapa schema över barnens vistelsetider. Detta görs för att kunna planera verksamheten.

Vi samlar in personuppgifter till bland annat vår lärplattform SchoolSoft, som används till kommunikation mellan förskola/skola/fritidshem och hem, pedagogisk dokumentation, närvaro/frånvaro och verksamhetsloggar. Detta för att skapa delaktighet och inflytande för barn, elever och vårdnadshavare.

Vi rapporterar incidenter och kränkningar. Det gör vi för att förebygga och förhindra framtida incidenter och kränkningar.

Vilka grunder har vi för vårt insamlande av personuppgifter?

Dataskyddsförordningen ställer krav på bland annat hur, var, när, hur länge och av vem personuppgifter får behandlas. Nedan anges de centrala delar som vi måste tänka på när vi behandlar personuppgifter.

Rättslig grund

Vi måste ha stöd i dataskyddsförordningen för att hantera personuppgifter. Så länge vi behandlar uppgifter för att utföra vårt uppdrag enligt skollagen kan vi hänvisa till den rättsliga grunden att vi utför uppgift av allmänt intresse eller som ett led i vår myndighetsutövning.

Andra rättsliga grunder relevanta för personuppgiftsbehandling i vår verksamhet är:

  • Rättslig förpliktelse. Vi är till exempel skyldiga att behandla personuppgifter för att uppfylla bokföringsskyldigheten i bokföringslagen eller för att fullgöra våra skyldigheter enligt kollektivavtal.
  • Avtal. För att fullgöra eller ingå exempelvis anställningsavtal, kundavtal och leverantörsavtal måste vi behandla personuppgifter (men bara de uppgifter som behövs för att uppfylla avtalet).
  • Intresseavvägning. Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om vi kan visa att vårt intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till personlig integritet.
  • Samtycke. Ett annat alternativ är att be personen/personens vårdnadshavare att få behandla uppgifter om hen eller deras barn. Det kallas att få personens samtycke. Ett samtycke måste vara en frivillig och tydlig viljeyttring, genom vilken den registrerade godtar behandling av personuppgifter som rör personen. Personen måste få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att man ska kunna ge sitt godkännande. Vi måste genom skriftlig dokumentation kunna visa att vi fått ett samtycke. Vi använder bara samtycke när ingen av de ovan nämnda rättsliga grunderna är tillämpliga.

Särskilt om rättslig grund, vid behandling av känsliga personuppgifter

Huvudregeln i dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden. Det finns dock undantag till denna huvudregel. Känsliga personuppgifter får behandlas om det finns särskild rättslig grund för sådan behandling. De rättsliga grunderna för behandling av känsliga personuppgifter är något färre och strängare jämfört med de för andra personuppgifter.

I vår verksamhet behandlas en omfattande mängd känsliga personuppgifter, exempelvis inom ramen för elevhälsan och vid hantering av stödbehov och specialkost. Den rättsliga grunden för vår behandling av känsliga personuppgifter kan, i de flesta fall, stödjas på den rättsliga grunden att det är nödvändigt av hänsyn till ett viktigt allmänt intresse.

Vi behandlar enbart personuppgifter för de syften och ändamål de är insamlade för. Däremot kan det åligga en skyldighet att enligt lag lämna uppgifter vidare till tredje part, exempelvis till myndigheter av olika slag.

Vem kommer att ha tillgång till olika personuppgifter?

  • VD/vVD
  • Rektor
  • Vätterosens ekonomer
  • Den pedagogiska personalen och personalen från elevhälsan som just nu arbetar närmast barnet/eleven/vårdnadshavaren
  • Personuppgiftsansvarige på de företag som det finns ett upprättat personuppgiftbiträdesavtal med.
  • Berörd pedagogisk personal på respektive enhet.

Vad en person inom MA Vätterosen AB har tillgång till för personuppgifter, beror på vilken behandling det handlar om. Grundprincipen är att en bara har tillgång till relevanta personuppgifter utifrån ens uppdrag.

Var lagrar MA Vätterosen AB personuppgifterna?

  • På Microsoft365 eller på annan GDPR-godkänd plattform. Det upprättas alltid ett personuppgiftbiträdesavtal med den aktör MA Vätterosen AB använder.
  • Pedagogisk dokumentation lagras på servrar från SchoolSoft, Microsoft365 och Prorenata, där det finns ett upprättat personuppgiftsbiträdesavtal.
  • Personuppgifter kopplade till Elevhälsans arbete inkl. elevhälsojournaler lagras i Prorenata som det finns ett upprättat personuppgiftsbiträdesavtal med.
  • Vi kan även lagra personuppgifter i fysiska pärmar som då hålls inlåsta.

Vi försöker alltid behandla dina personuppgifter inom EU/EES. I vissa fall gällande bolag där ägandeskapet ligger i tredjeland (utanför EU/EES), för oss Microsoft, har vi säkerställt att personuppgifterna lagras på server inom EU/EES. Vi har även säkerställt att OM personuppgifter överförs från EU/EES till tredjeland (USA) görs det på ett sätt som är förenligt med EU:s strikta dataskyddsnormer. Detta sker genom överföringsmekanismen – EU-kommissionens beslut om adekvat skyddsnivå (Data Privacy Framework).

Vi kommer enbart att överföra dina personuppgifter till ett land, ett område eller en sektor i tredjeland om EU-kommissionen har beslutat att det har en tillräcklig skyddsnivå.

Hur länge kommer vi lagra uppgifterna?

  • Uppgifterna lagras så länge de behövs i den dagliga verksamheten. Därefter kommer radering ske enligt rutiner för sortering och gallring.

  • Enligt de lagar som styr vår verksamhet till exempel skollagen.

MA Vätterosen AB skyddar dina personuppgifter genom tekniska såväl som organisatoriska säkerhetsåtgärder. Inom MA Vätterosen AB använder vi därför bland annat följande säkerhetsåtgärder:

  • Behörighetsstyrning. Bara de som har behov av uppgifter får behandla dem.
  • Krypteringsskydd. Vår molnbaserade lagring (Onedrive) lagras krypterat i molnet. Vi använder SchoolSoft som primär kommunikationskanal med vårdnadshavare, men kan ibland även kommunicera med e-post.
  • Delningsplattformar. Istället för att mejla en fil kan man dela ett dokument som lagras i en molntjänst (Onedrive) vilket innebär att man kan styra tillgången till informationen även i efterhand.
  • Stark autentisering. Valda tjänster inom vår IT-miljö har stark autentisering, exempelvis Prorenata som används av Elevhälsoteamet. Personalens datorer skyddas av starka lösenord.
  • Back-up. Det finns rutiner för kontinuerlig back-up av de IT-system som används i verksamheten. Vid användning av externa system som ex. molntjänst eller lärplattform säkerställer MA Vätterosen att back-up rutiner finns hos respektive tjänst.
  • Utbildning. Anställda utbildas kontinuerligt inom de rutiner som finns kring dataskydd och IT-säkerhet.
  • Policys. Det finns tydliga och uppdaterade policydokument för dataskydd.

Rätten att få tillgång till sina uppgifter, felaktiga uppgifter rättade, rättighet att ta tillbaka samtycke och få uppgifter raderade

Rätt till registerutdrag

Du har rätt att få information från oss om huruvida vi behandlar dina personuppgifter, och om så är fallet har du även rätt att få information om:

  • syftet med att vi behandlar dina personuppgifter
  • vilka kategorier av personuppgifter vi behandlar
  • vilka personuppgifter vi lämnar ut till tredjepart (mottagare eller kategorier av mottagare) om det är aktuellt
  • hur länge dina personuppgifter sparas och vilka gallringskriterier vi utgår ifrån
  • dina rättigheter (rätten till radering, rättelse och begränsning av dina uppgifter, rätten till dataportabilitet, rätten att invända mot behandling och rätten att klaga till tillsynsmyndigheten).
  • från vilka källor vi hämtar dina personuppgifter (i de fall vi hämtar dem någon annanstans ifrån än direkt från dig)

Rätt till rättelse

Vi är måna om att all personlig information som finns lagrad hos oss är korrekt. Om du skulle upptäcka att vi trots detta har ofullständiga eller felaktiga personuppgifter om dig i våra register ber vi dig att meddela oss för att vi ska kunna korrigera, komplettera eller ta bort information.

Rätt till radering

Du har rätt att begära att vi raderar dina personuppgifter under vissa förutsättningar:

  • När dina personuppgifter inte längre behövs för de(t) ändamål som uppgifterna samlades in för
  • Om du tagit tillbaka ditt samtycke, dvs du inte längre samtycker till behandlingen (förutsatt att behandlingen grundar sig på ditt samtycke som enda rättsliga grund)
  • Om uppgifterna används för marknadsföringsändamål
  • När din rätt till personlig integritet väger tyngre än vårt berättigade intresse av att fortsätta behandla personuppgifter om dig (förutsatt att behandlingen grundar sig på berättigat intresse som rättslig grund)
  • Om vi har behandlat dina personuppgifter på ett sätt som är oförenligt med gällande lagstiftning

Vi kommer alltid att gallra och radera personuppgifter när det krävs enligt lag.

Om vi inte kan tillmötesgå din begäran om att bli raderad, kommer vi att meddela dig detta beslut och informera om varför. Om du ändå vill gå vidare och försöka få dina uppgifter raderade kvarstår möjligheten för dig att lämna in klagomål till Integrationsskyddsmyndigheten (IMY) eller gå vidare med ditt ärende till domstol.

Rätt att invända

Om du invänder mot behandlingen av dina personuppgifter, kommer vi att upphöra med behandlingen om vi inte kan visa på en faktisk berättigad anledning till att fortsätta. Vi kan också komma att fortsätta behandla dina personuppgifter om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.

Rätt till begränsning

Du har rätt att få behandling av dina personuppgifter begränsad under vissa omständigheter:

  • Under en period medan vi kontrollerar att uppgifterna är korrekta efter att du har invänt mot behandlingen eller ifrågasatt uppgifternas korrekthet.
  • Om behandlingen är olaglig, och du trots detta har motsatt dig att uppgifterna raderas och istället begärt att användningen av dem ska begränsas
  • När vi inte längre behöver dina personuppgifter för det ursprungliga syftet, men de behöver finnas kvar för att du ska kunna fastställa, göra gällande eller försvara ett rättsligt anspråk.

Om vi begränsar behandlingen av dina personuppgifter enligt ovan kommer vi fortfarande lagra uppgifterna men inte använda den annat än (1) med ditt samtycke, (2) för att fastställa, göra gällande eller försvara rättsliga anspråk, (3) för att skydda någon annan fysisk eller juridisk persons rättigheter eller (4) för skäl som rör ett viktigt allmänintresse.

Om du vill begära ut information om dina personuppgifter och/eller få ett samlat registerutdrag med de uppgifter som vi har registrerade om dig, kontakta VD Andreas Jälmestål på andreas@farstastrandskolan.se. Din begäran kommer att behandlas så snart som möjligt, senast inom 30 dagar. Det kostar ingenting att begära och få ut ett registerutdrag. Om du däremot vill begära ut flera kopior förbehåller vi oss rätten att ta ut en rimlig administrationsavgift. När du skickar in din begäran elektroniskt, kommer du också att få registerutdraget tillbaka i digital form.

Frågor och klagomål

Vi hoppas att den här informationen är användbar för dig och bidrar med förtydliganden när det gäller varför och hur vi behandlar dina personuppgifter. Om du har frågor om hur vi behandlar dina personuppgifter, tveka inte att ta kontakt med oss:

VD – Andreas Jälmestål
andreas@farstastrandskolan.se

Du har också rätt att lämna ett klagomål till tillsynsmyndigheten, se nedan, när det gäller hur vi behandlar dina uppgifter.

Kontaktuppgifter till Integritetsskyddsmyndigheten (IMY)

Om du vill klaga på MA Vätterosen AB:s hantering av personuppgifter kan du vända dig VD – Andreas Jälmestål i första hand eller till Integritetsskyddsmyndigheten som är tillsynsmyndighet för dataskyddsförordningen.

Kontaktuppgifter Integritetsskyddsmyndigheten:

Telefon: 08-657 61 00
E-post: imy@imy.se

Postadress:
Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm

 

Denna text uppdaterades senast den 16 april 2024.