Asklundas Integritetspolicy och GDPR

GDPR – General Data Protection Regulation.

Denna information delges till alla personer som har kontakt med Montessori Vellinge Grundskola AB (MVG AB)/Asklunda Montessoriförskola enligt dataskyddslagen gällande fr.o.m. 25 maj 2018.

Inledning

Vi värnar om din integritet och arbetar för att säkerställa att dina personuppgifter skyddas. Du ska kunna känna dig trygg när du anförtror oss dina personuppgifter.

Nedan följer vår policy avseende integritet (integritetspolicy) som fastställer hur MVG AB använder, bearbetar, skyddar och arkiverar/gallrar dina personuppgifter. Den utgår från gällande dataskyddslagstiftning och förtydligar hur vi arbetar för att ta tillvara dina rättigheter och din integritet.

Denna policy är förankrad hos alla våra medarbetare.

Syfte

Syftet med denna policy är att säkerställa att Montessori Vellinge Grundskola AB (MVG AB) hanterar personuppgifter i enlighet med EUs dataskyddsförordning GDPR.

Policyn omfatta alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. Du ska få veta hur vi behandlar dina personuppgifter, vad vi använder dem till, vilka som får ta del av dem och under vilka förutsättningar samt hur du kan ta tillvara dina rättigheter.

  • Barnens och vårdnadshavarnas personuppgifter är deras egna – vi lånar dem bara.
  • Vi ska enbart använda de personuppgifter som vi verkligen behöver för det aktuella syftet.
  • Vi ska i så liten utsträckning som möjligt hantera (samla in, lagra och sprida) känsliga personuppgifter.
  • Vi ska i möjligaste mån eftersträva att vår hantering av personuppgifter vilar på annan rättslig grund än samtycke.

Ändamål

Ändamålen för att behandla era personuppgifter är att upprätthålla en god registervård, att hantera administration och skicka ut information. Personnummer registreras för att kunna säkerställa vårdnadshavare och barns identitet. Era personuppgifter kommer med nödvändighet att behandlas i Asklunda Montessoriförskolas IT-system. Era personuppgifter kan också komma att lämnas ut till andra utvalda företag och organisationer som MVG AB/Asklunda Montessoriförskola samarbetar med för nödvändig behandling.

Behandling av personuppgifter

Vi behandlar era personuppgifter främst för att fullfölja våra förpliktelser mot er. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för ändamål, och vi strävar alltid efter att använda de minst integritetskänsliga uppgifterna.

Tillåten behandling – lagligt stöd (dataskydsförordningen art.6) för förskola/skola

  1. Allmänt intresse (avtal, information, ped. dokumentation, föräldraavgifter m.m.)
  2. Rättslig förpliktelse (lagar, kollektiv avtal, skollagen, Läroplanen Lpfö 18 m.m.)
  3. Myndighetsutövning (socialtjänsten, barn med särskilda behov m.m.)
  4. Intresseavvägning (gäller ej känsliga uppgifter) barn med särskild kost m.m.
  5. Samtycke

Om dataskydssförordningen – Lagens sex grundprinciper

Dataskydssförordningen har sex grundprinciper. De är 1) laglighet, 2) ändamålsbegränsning, 3) uppgiftsminimering, 4) korrekthet, 5) lagringsminimering samt 6) integritet och konfidentialitet.

De sex grundprinciperna innebär att personuppgifter:
  1. Ska behandlas på ett lagligt, korrekt och öppet sätt (laglighet).
  2. Bara får samlas in för särskilda, uttryckligen angivna och berättigade ändamål. De får inte behandlas för något ändamål som inte är förenligt med dessa ändamål (ändamålsbegränsning).
  3. Ska vara adekvata, relevanta och man ska inte samla in fler personuppgifter än vad som är nödvändigt för det angivna ändamålet (uppgiftsminimering).
  4. Ska vara riktiga och (om nödvändigt) uppdaterade (korrekthet).
  5. Inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålen (lagringsminimering).
  6. Bara får behandlas om de kan skyddas på ett lämpligt sätt (integritet och konfidentialitet).

Behandlas dina personuppgifter på ett betryggande sätt?

  • Vi utarbetar rutiner och arbetssätt för att personuppgifter ska hanteras på ett säkert sätt. Utgångspunkten är att endast arbetstagare och andra personer inom förskolan som behöver personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem.
  • I fråga om känsliga personuppgifter har vi inrättat särskilda behörighetskontroller, vilket innebär ett högre skydd för dina personuppgifter.
  • Våra säkerhetssystem är utvecklade med din integritet i fokus och skyddar i mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för din integritet.
  • Vi har flera policyer för IT-säkerhet för att säkerställa att dina personuppgifter behandlas säkert.
  • Vi överför inte personuppgifter i andra fall än de som uttryckligen anges i denna policy.

Vem ansvarar för dina personuppgifter – personuppgiftsansvarig

MVG AB är personuppgiftsansvarig, vilket innebär att vi är ansvariga för hur dina personuppgifter behandlas och att dina rättigheter tas tillvara.

Kontaktuppgifter:

Asklunda Montessoriförskola

Norra Leden 1

235 37 Vellinge

Sverige

Tel. 073-6123883

E-post: [email protected]

Vi får tillgång till dina personuppgifter på följande sätt:

  • Uppgifter som ni tillhandahåller oss direkt:
    • – vid ansökan om plats (kö anmälan)
    • – vid avtal om barnets plats
  • Uppgifter som registreras när ni besöker vår hemsida
  • Uppgifter som registreras när ni använder vårt dokumentationsverktyg
  • Uppgifter som vi får från offentliga register
  • Uppgifter som ni lämnar till våra anställda/förskolans personal
  • Uppgifter som vi får när ni anmäler er till alla våra utskick (e-postadress)
  • Uppgifter som vi får när ni svarar på enkäter och undersökningar
  • Uppgifter som vi får när ni kontaktar oss besöker oss eller på annat sätt tar kontakt med oss

När lämnar vi ut dina personuppgifter?

Personuppgiftsbiträde

Vår utgångspunkt är att inte lämna ut dina personuppgifter till tredje part om du inte har samtyckt till det eller om det inte är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag. I de fall vi lämnar ut personuppgifter till tredje part upprättar vi sekretessavtal samt säkerställer att personuppgifterna behandlas på ett betryggande sätt. Ett viktigt krav i den nya lagstiftningen är att den som behandlar personuppgifter ska kunna visa att man följer bestämmelserna i lagen. Det gäller oavsett om man behandlar personuppgifterna själv eller om man överlåter behandlingen till en samarbetspartner. Därför tecknar MVG AB personuppgiftsbiträdesavtal med alla leverantörer som på något sätt behandlar personuppgifter åt någon av koncernens verksamheter. Vi använder speciella mallar för detta.

Hur länge lagrar vi uppgifter om dig?

Insamlade personuppgifter som inte längre behövs ska gallras, medan vissa insamlade personuppgifter måste arkiveras under kortare eller längre tid innan de kan raderas.

Användning av digitala verktyg

En policy för användning av digitala verktyg är en viktig del av våra rutiner. Syftet med den är att hjälpa medarbetare att använda digitala verktyg och medier med gott omdöme och att undvika risker. Den ska läsas av alla medarbetare samt vid nyanställning innan de börjar arbeta för MVG AB.

Personuppgiftsincident

En personuppgiftsincident är en händelse där vi oavsiktligt förlorat, ändrat eller delat med oss av personuppgifter till någon obehörig. Exempel på personuppgiftsincidenter är när:

  • ett mail med integritetskänsliga personuppgifter om ett barn skickats till fel person,
  • en registerpärm med personuppgifter stjäls från förskolan,
  • ett misstänkt intrång skett i vårt dokumentationsverktyg.

När en personuppgiftsincident har inträffat ska det omgående informeras till rektorn. Rektorn ansvarar för dokumentation och eventuell rapportering till Datainspektionen (inom 72 timmar från att incidenten identifierats). Vid behov informeras vårdnadshavare om vad som skett och vilka åtgärder som vidtagits.

Hantering av personuppgifter

Vilka personuppgifter samlar vi in och behandlar om dig?

MVG AB avser att behandla alla personuppgifter på ett lagligt öppet och rättvist sätt i enlighet med lagstiftningen. Vi behandlar inte personuppgifter i annat fall än när de behövs för att fullgöra förpliktelser enligt avtal och lag.

Här följer exempel på personuppgifterna vi behandlar:

  • Namn
  • Adress
  • E-postadress
  • Telefonnummer
  • Personnummer
  • Inkomstuppgift
  • Kontoinformation
  • Användarnamn
  • Fotografier/bilder/film
  • Pedagogiska dokumentationer/beskrivningar av barnets utveckling
  • Egenvård
  • Orosanmälan till socialtjänsten
  • Vistelsetid
  • Diskriminering/kränkande behandling
  • Tillbudsrapporter/incidenter
  • Extra anpassningar
  • Specialkost
  • Klagomålsärenden
  • Specialpedagogiska behov
  • Särskilda behov
  • Användarnamn
  • Ersättning
  • Uppgifter som du registrerade självmant och frivilligt uppger

Hanteringen av personuppgifter består av flera olika moment där varje moment juridiskt sett betraktas som en personuppgiftsbehandling. Hanteringen kan ses som en process som börjar med insamling och avslutas med gallring.

  1. Inhämtning
  2. Lagring/rgistrering/samtycke
  3. Hantering/spara
  4. Delning
  5. Arkivering/gallring
1. Inhämtning

För att kunna fullfölja våra villkor enlig lag, förordningar och avtal är det nödvändigt att inhämta era personuppgifter. Vi behöver också dina personuppgifter för att ge dig bra service exempelvis vad gäller uppföljning och information. Dina personuppgifter behandlas, exempelvis när vårdnadshavare placerar sitt barn i kö eller när ett barn börjar på förskolan.

2. Lagring/registrering/samtycke

Innan personuppgifter samlas in måste förskolan bedöma om samtycke krävs. Samtyckes avtal kan i vissa fall inhämtas av personuppgifter som inte uppfyller lagar och förordningar. Vi inhämtar samtycke i de fall som inte lyder under de lagar, förordningar och avtal.

I förskolan krävs alltid båda vårdnadshavarnas samtycke för att få publicera en bild/foto/film på sociala medier, på webbsida eller i tryck där barnet går att identifiera.

Rektorn ansvarar för att förskolan har dokumenterade och korrekta samtycken för de situationer där bilder/foton/filmer används i förskolans lokala marknadsföring eller inom verksamheten.

Du har när som helst rätt att återkalla ditt samtycke. Vi kommer då inte längre att behandla era personuppgifter eller inhämta nya, under förutsättning att det inte behövs för att fullgöra våra skyldigheter enligt avtal eller lag. Tänk på att återkallelse av samtycke kan innebära att vi inte kan fullgöra vissa aktiviteter och information som vi har i verksamheten i förhållande till er.

Rektorn ansvarar för att dessa samtycken gallras när de inte längre är aktuella.

En begäran om något av det ovannämnda kan skickas till [email protected]

3. Hantering/Spara

Att spara personuppgifter är detsamma som att lagra dem. Våra olika alternativ är i vårt IT-system Office 365 (en molntjänst), e-post, på en filserver eller analogt på papper. De får inte sparas längre tid än vad som behövs för ändamålet.

Hur ska okänsliga personuppgifter sparas?

Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan därför sparas digitalt på samtliga lagringsplatser som MVG AB tillhandahåller, till exempel på filservern, i e-post, i Office 365 eller analogt. Egna digitala system, utanför de uppräknade, är inte tillåtna.

Hur ska integritetskänsliga personuppgifter sparas?

Integritetskänsliga personuppgifter är exempelvis personnummer, uppgifter om barnets förändrade kunnande, beskrivningar av barnets förmågor, beskrivningar av deras hemförhållanden eller en anmälan om kränkande behandling. Integritetskänsliga personuppgifter ska alltid hanteras med försiktighet och sparas i de system som de är avsedda för. Endast om hanteringen är säker kan sådan information exporteras ur systemet och sparas på annan plats som MVG AB tillhandahåller.

  • Pedagogiska kartläggningar och utredningar sparas i Office 365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordskyddat dokument.
  • Uppgifter om barnets eller familjens sociala situation sparas i Office 365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordskyddat dokument.
  • Kränkningsanmälningar ska göras och sparas i Office 365
  • Anmälan om tillbud/olycksfall ska göras och sparas i Office 365

Hur ska känsliga personuppgifter sparas?

Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Känsliga personuppgifter ska alltid hanteras med extra försiktighet och sparas i avsedda IT-system. De ska inte lyftas ut ur avsedda IT-system eller sparas på annan plats om inte hanteringen är säker.

  • Förskolepersonal kan behöva spara känsliga personuppgifter. Det kan exempelvis vara en pedagog som behöver skriva egna minnesanteckningar vid en situation för att alla barn ska få de bästa förutsättningarna utifrån sina behov. Denna typ av anteckningar ska göras och sparas i Office 365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordskyddat dokument.
  • Uppgifter om allergi och specialkost ska göras och sparas i Office365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordskyddat dokument.
4. Dela

Med delning av personuppgifter menas att personuppgifter delas/sprids mellan individer. När person A delar personuppgifter med person B ska det göras med omsorg och hänsyn till om det är okänsliga, integritetskänsliga eller känsliga personuppgifter som delas.

Hur ska okänsliga personuppgifter delas?

Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan delas digitalt på de olika sätt som MVG AB har tillgång till.

Hur ska integritetskänsliga personuppgifter delas?

Integritetskänsliga personuppgifter är exempelvis personnummer, uppgifter om barnets förändrade kunnande, beskrivningar av barnets förmågor eller beskrivningar av deras hemförhållanden. Om vi behöver dela integritetskänsliga personuppgifter utanför avsedda IT-system görs det på följande sätt:

  • Via krypterad e-post (MVG AB interna e-post är krypterad) om det går att säkerställa att sändare och mottagare tar bort mailet när det inte längre behövs för syftet.
  • Med krypterad e-post om filen är lösenordskyddad och lösenordet skickas på annat sätt.

Hur ska känsliga personuppgifter delas?

Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Om vi behöver dela känsliga personuppgifter utanför avsedda IT-system gör vi det på följande sätt:

  • Via Office365 där du som delar har kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Via e-post om den är krypterad (MVG AB interna e-post är krypterad) och om det går att säkerställa att sändare och mottagare tar bort e-posten när det inte längre behövs för syftet.
  • Med krypterad e-post om filen är lösenordskyddad och lösenordet skickas på annat sätt.
5. Arkivera/gallring

När ändamålet med personuppgifterna inte längre är aktuellt ska personuppgifterna arkiveras eller gallras. MVG:s arkiveringsrutin anger hur lång tid olika typer av personuppgifter ska arkiveras. Huvudregeln är – om inget annat anges i arkiveringsrutinen – att personuppgifter om barn och vårdnadshavare ska gallras senast sex månader efter att barnet slutat på förskolan. Om särskilda skäl finns kan uppgifter sparas längre än sex månader. Förskolechef måste göra en bedömning av vilket material som behöver sparas under en längre tid och rektorn ansvarar också för att uppgifter tas bort när de inte längre behövs.

Alla personuppgifter gallras från samtliga platser som de lagras på exempelvis e-post, filserver, analogt eller i pärmar.

Dina rättigheter

Du har rätt till insyn i hur dina personuppgifter behandlas. Det betyder att du kan begära att få tillgång till viss information om behandlingen. Du har även rätt att begära att få felaktiga personuppgifter ändrade, överflödig behandling begränsad, ogrundad behandling raderad och begära att få personuppgifter flyttade från vårt system till en annan aktör, s.k. dataportabilitet.

Du har också rätt att vända dig till Datainspektionen/Integritetsskyddsmyndigheten med eventuella klagomål om du är missnöjd med personuppgiftsbehandlingen, men vi hoppas såklart att du i första hand vänder dig till oss för frågor och begäranden kring vår personuppgiftsbehandling.

Denna policy är skriven av rektor Maria Arcombe