Personvernerklæring DigUp

Personvernerklæringen nedenfor omfatter behandling av personopplysninger i DigUp

Denne personvernerklæringen beskriver hvordan Lesesenteret, UiS håndterer bestillers (skoleeier) personopplysninger. Formålet med erklæringen er å informere om Lesesenteret sin behandling av personopplysninger. Herunder innsamling, registrering, sammenstilling, lagring, utlevering av personopplysninger og brukernes rettigheter.

Sentrale begrep og uttrykk

Nedenfor følger definisjoner av begrep og uttrykk som brukes i personvernerklæringen. Det er nyttig å kjenne til disse for å bedre kunne forstå innholdet i erklæringen.

«GDPR» (General Data Protection Regulation), er en europeisk forordning som skal styrke personvernet ved behandling av personopplysninger i hele EU og EØS. Forordningen tredde i kraft 1. juli 2018 i Norge. Forordningen gjelder alle virksomheter som innhenter og lagrer personopplysninger.

«Den registrerte» er personen eller personene som opplysningene handler om. Det gjelder personopplysninger vi får inn og må lagre i forbindelse med administrering og support av DigUp.

«Behandling av personopplysninger» er behandling av all bruk av personopplysninger. Dette kan omfatte en rekke bruksformer, for eksempel innsamling, strukturering, lagring, endring, utlevering og/eller sletting.

«Skoleeier» er kommunen/fylkeskommunen eller styret for privatskolen.

«Behandlingsansvarlig» er virksomheten som bestemmer formålet med behandlingen av personopplysninger og hvilke tekniske hjelpemidler som skal brukes i behandlingen av dem. I DigUp er kommunen behandlingsansvarlig.

«Databehandler» er virksomheten som behandler personopplysninger på vegne av en annen virksomhet, behandlingsansvarlig. Lesesenteret, UiS er skoleeiers databehandler og databehandlers plikter følges av en databehandleravtale mellom den behandlingsansvarlige og databehandleren.

«FEIDE» (Felles Elektronisk Identitet) er kunnskapsdepartementets valgte løsning for sikker identifisering i utdanningssektoren. For å logge på DigUp må lærere ha en FEIDE-identitet.

«Personopplysning» er enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. For eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilder, fingeravtrykk og fødselsnummer.

«Sensitive personopplysninger» er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. For eksempel helseforhold, straffbare handlinger eller seksuelle forhold.

Behandlingsansvar

Når en kommune får tilgang til DigUp er det skoleeier som er behandlingsansvarlig og har ansvaret for behandlingen av personopplysningene.

Lesesenteret, Universitetet i Stavanger er databehandler.

Lesesenteret bruker ikke innsamlet data til andre eller egne formål.

En egen databehandleravtale mellom Lesesenteret og skoleeier regulerer hvilke rettigheter og plikter partene har i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving. Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig, eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Formålet med behandling av personopplysninger

Lesesenteret er databehandler, og formålet med behandlingen er å gi brukerne mulighet til å opprette, lagre og dele egne undervisningsplaner.

I en pilotfase vil det også benyttes et dataanalyseprogram som har til hensikt å samle inn anonyme bruksmønstre til forbedring og kvalitetssjekk av DigUp tjenesten.  

Personopplysninger som blir behandlet

Vi samler inn og behandler følgende type personopplysninger:

Feide:

• E-post
• Navn
• FEIDE-id

Grensesnitt:

• For- og etternavn
• E-post
• Trinn
• Skole
• Fag

(Rettslig grunnlag for behandling er personvernforordningens artikkel 6 -1 b).

Personopplysninger som kan bli lagret gjelder følgende registrerte:

• Bestiller (skoleeier/skole)
• Ansatte ved skolen som har tilknytning til DigUp
• Andre personer som henvender seg til oss
  

Informasjon om hvor personopplysningene kommer fra

Personopplysninger kommer fra brukere som logger på DigUp via Feide.

Informasjon om personopplysningene vil bli utlevert til andre parter/virksomheter eller til et annet land utenfor EU/EØS

Det skal i utgangspunktet ikke utleveres personopplysninger til tredjeparter. I lovbestemte tilfeller, eksempelvis ved pålegg fra domstolene, politiet eller andre offentlige myndigheter kan Lesesenteret utlevere personopplysninger i henhold til strenge forhåndsdefinerte prosesser.

Lesesenteret vil kunne oppgi personopplysninger til databehandlere som arbeider som underleverandør og behandler den registrertes opplysninger på Lesesenteret sine vegne. Lesesenteret har egne databehandleravtaler med disse som regulerer dette forholdet. I dette prosjektet gjelder det Grensesnitt og Hotjar.

Lesesenteret leverer ikke personopplysningene til andre parter/virksomheter eller til andre land utenfor EU/EØS.

Hvor lenge lagres personopplysningene?

Formålet med å lagre personopplysningene er å drifte og administrere DigUp. Vi sletter personopplysningene når vi ikke lenger trenger dem til å oppfylle formålet. Særlige lovregler kan medføre plikt eller rett til å oppbevare dem i lengre tid.

Sikkerhet

Dataene er lagret hos UiS, Grensesnitt og Hotjar i henhold til gjeldende standarder og EU lovverk (GDPR). Dataene i Hotjar vil kun benyttes i pilotfasen og vil deretter bli slettet.

Den registrertes rettigheter

De registrerte har – med lovens begrensninger – blant annet rett til innsyn i personopplysninger, å få endret uriktige opplysninger, å få slettet opplysninger, å få begrenset opplysninger, dataportabilitet, og komme med innvending mot behandlingen av personopplysningene, tilbakekalling av evt. samtykke og rett til å klage til Datatilsynet. Dette reguleres i den behandlingsansvarlige sin personvernerklæring.