För oss på Friskolan Svettpärlan är det viktigt att elever, vårdnadshavare och medarbetare känner sig trygga med att vi hanterar personuppgifter på ett säkert sätt.

Dataskyddsförordningen, eller GDPR, gäller från och med den 25 maj 2018 som lag inom EU och därmed Sverige och ersätter då den tidigare personuppgiftslagen (PuL). Dataskyddsförordningen syftar till att skydda människors personliga integritet när personuppgifter behandlas. Dataskyddsförordningen gäller för både manuell och elektronisk hantering av uppgifter, så länge som uppgifterna är sökbara.

Friskolan Svettpärlan är personuppgiftsansvarig för de personuppgifter som behandlas inom ramen för vår verksamhet. Vi bryr oss om våra elever/vårdnadshavare/medarbetare och er integritet och förbinder oss att respektera och skydda era personuppgifter i enlighet med gällande lagar och branschstandarder. För att hjälpa er att förstå hur vi samlar in och använder information har vi sammanställt denna information. Ni är alltid välkomna att kontakta oss med frågor, funderingar eller förfrågningar som rör hur vi behandlar personuppgifter.

Ansvarig för upprättandet av denna policy är Friskolan Svettpärlan.
Kontaktuppgifter till personuppgiftsansvarige: anna.strenius@svettparlan.se

Denna policy är tillämplig på alla kunder (elever och vårdnadshavare) och medarbetare på Friskolan Svettpärlan.

Denna policy ska, på begäran och i enlighet med tillämplig lag, göras tillgänglig för Integritetsskyddsmyndigheten, vilken är svensk tillsynsmyndighet för behandling av personuppgifter.

I den mån dataskyddsförordningen ((EU) 2016/679) fastställer ytterligare krav ska den tillämpas vid sidan av denna policy. Om någon del av denna policy strider mot dataskyddsförordningen ska dataskyddsförordningen tillämpas i den berörda delens ställe.

Denna policy har tagits fram i syfte att säkerställa att Friskolan Svettpärlan behandlar personuppgifter på ett lagligt och korrekt sätt med hänsynstagande till individens rätt till skydd av integritet. Policyn förklarar Friskolan Svettpärlans inställning vad gäller skydd av personuppgifter och fastställer instruktioner för hur dessa ska hanteras och skyddas. Policyn klargör även vilka rättigheter som Friskolan Svettpärlan har.

Personuppgifter är all slags information som, direkt eller indirekt, kan knytas till en fysisk person som är i livet. Personuppgifter kan därför vara allt ifrån uppgifter om namn och adress till betyg, frånvaro, löner, foton eller ljudinspelningar. En utgångspunkt för Friskolan Svettpärlans dataskydd är att personuppgifterna tillhör den enskilde, vi lånar dem bara.

Alla personuppgifter ska behandlas med lämplig säkerhet och respekt. Ju känsligare personuppgifterna är ur ett integritetsperspektiv, desto högre krav ställs på skydd och säkerhet. Vid behandling av personuppgifter ska vi därför kontinuerligt fundera över och bedöma hur integritetskänsliga uppgifterna är och anpassa säkerheten därefter. För detta syfte kan vi därför dela in personuppgifterna i följande 3 kategorier:

1. Okänsliga personuppgifter

Normalt sett är uppgifter om namn, adress, betyg, skola och arbetsgivare okänsliga personuppgifter.

2. Känsliga personuppgifter

Känsliga personuppgifter utgör en särskild kategori i dataskyddsförordningen och ska behandlas med särskild varsamhet. Känsliga personuppgifter definieras som personuppgifter som avslöjar uppgift om följande:

1. ras eller etniskt ursprung
2. politiska åsikter
3. religiösa eller filosofiska uppfattningar
4. fackligt medlemskap
5. genetiska uppgifter
6. biometriska uppgifter
7. hälsa
8. sexualliv
9. sexuell läggning

3. Integritetskänsliga personuppgifter

Det finns ett antal personuppgifter som inte nödvändigtvis träffas av dataskyddsförordningens definition av känsliga personuppgifter ovan, men som fortfarande är integritetskänsliga. Det kan exempelvis avse uppgifter om personnummer, ekonomi, beteendeproblematik och kränkande behandling. Sådana uppgifter ska likt känsliga personuppgifter behandlas med extra varsamhet och bara om det är nödvändigt.

Behandlingen av dina personuppgifter är nödvändig för att utföra vårt uppdrag enligt skollagen. De intresseavvägningar vi gjort finns alltid dokumenterade så att vi kan visa hur vi förhåller oss till och tar hänsyn till dina intressen, rättigheter och friheter som individ.

Nedan följer en rad syften som Friskolan Svettpärlan har för insamlandet av personuppgifter:

När Friskolan Svettpärlan skickar ut information i digital eller i pappersform behöver vi personuppgifterna för att kunna hantera elever och vårdnadshavare vars uppgifter publiceras i informationen.

I samband med pedagogisk dokumentation behövs uppgifterna för att underlätta strukturen för pedagogiska samtal och snabb åtkomst till dokumentationen.

När ett nytt barn börjar i vår skola eller på vårt fritidshem samlar vi in personuppgifter för är att få barnets personuppgifter och vårdnadshavarnas kontaktuppgifter samt medgivande av publicering på hemsida, sociala medier, allergier, medgivande överföring av elevhälsojournal och om plats önskas på fritidshem. Vidare för att vi behöver ha kännedom vilka barn vi har inskrivna på vårt fritidshem, vilka som har vårdnadshavarnas godkännande att hämta barnen, vilka tider som barnen ska vistas på fritids och vårdnadshavarnas kontaktuppgifter.

När vi genomför pedagogiska utredningar och upprättar handlingsplaner för enskild elev samlar vi in personuppgifter för att kunna arbeta med barnet/eleven utifrån dess förutsättningar och för att ev. kunna söka tilläggsbelopp.

Elevhälsan (skolsköterska, kurator, specialpedagoger, skolpsykolog, skolläkare) behöver samla in uppgifter för att säkerställa en god hälsa för våra barn och elever, samt för att kunna dokumentera de skolhälsoinsatser vi gör.

Vi samlar in personuppgifter till fritidshem för att kunna skapa schema över barnens vistelsetider. Detta görs för att se till att vårdnadshavarna betalar rätt avgift samt för att kunna planera verksamheten.

Då ett barn eller en elev slutar hos oss samlar vi in personuppgifter för att se till att debitering av avgifter upphör och för att elevens nya skola ska kunna få skolpeng för sin nya elev.

Vi samlar in personuppgifter till bland annat våra lärplattformar, SchoolSoft och Google Classroom, som används till kommunikation mellan skola och hem, pedagogisk dokumentation och utveckling och skolarbete. Detta för att skapa delaktighet och inflytande för elever och vårdnadshavare.

Som skola hanterar vi betyg och nationella prov. Då behöver vi samla in personuppgifter för att vara helt säkra på att det sker enligt de lagar och förordningar som finns.

Vi rapporterar incidenter och kränkningar. Det gör vi för att förebygga och förhindra framtida incidenter och kränkningar.

Dataskyddsförordningen ställer krav på bland annat hur, var, när, hur länge och av vem personuppgifter får behandlas. Nedan anges de centrala delar som vi måste tänka på när vi behandlar personuppgifter.

Rättslig grund

Vi måste ha stöd i dataskyddsförordningen för att hantera personuppgifter. Så länge vi behandlar uppgifter för att utföra vårt uppdrag enligt skollagen kan vi hänvisa till den rättsliga grunden att vi utför uppgift av allmänt intresse eller som ett led i vår myndighetsutövning.

Andra rättsliga grunder relevanta för personuppgiftsbehandling i vår verksamhet är:

• Rättslig förpliktelse. Vi är till exempel skyldiga att behandla personuppgifter för att uppfylla bokföringsskyldigheten i bokföringslagen eller för att fullgöra våra skyldigheter enligt kollektivavtal.
• Avtal. För att fullgöra eller ingå exempelvis anställningsavtal, kundavtal och leverantörsavtal måste vi behandla personuppgifter (men bara de uppgifter som behövs för att uppfylla avtalet).
• Intresseavvägning. Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om vi kan visa att vårt intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till personlig integritet. I många fall kan vi använda intresseavvägning som grund för att hantera personuppgifter vid marknadsföring och direktreklam.
• Samtycke. Ett annat alternativ är att be personen/personens vårdnadshavare ifråga att få behandla uppgifter om honom/henne eller deras barn. Det kallas att få personens samtycke. Ett samtycke måste vara en frivillig och tydlig viljeyttring, genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Personen måste få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att man ska kunna ge sitt godkännande. Vi måste genom skriftlig dokumentation kunna visa att vi fått ett samtycke. Vi använder bara samtycke när ingen av de ovan nämnda rättsliga grunderna är tillämpliga.

Särskilt om rättslig grund vid behandling av känsliga personuppgifter.

Huvudregeln i dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden. Det finns dock undantag till denna huvudregel. Känsliga personuppgifter får behandlas om det finns särskild rättslig grund för sådan behandling. De rättsliga grunderna för behandling av känsliga personuppgifter är något färre och strängare jämfört med de för andra personuppgifter.

I vår verksamhet behandlas en omfattande mängd känsliga personuppgifter, exempelvis inom ramen för elevhälsan och vid hantering av stödbehov och allergier. Den rättsliga grunden för vår behandling av känsliga personuppgifter kan, i de flesta fall, stödjas på den rättsliga grunden att det är nödvändigt av hänsyn till ett viktigt allmänt intresse.

Vi behandlar enbart personuppgifter för de syften och ändamål de är insamlade för. Däremot kan det åligga en skyldighet att enligt lag lämna uppgifter vidare till tredje part, exempelvis till myndigheter av olika slag.

• Rektor/VD
• Administrativ och ekonomisk chef.
• Den pedagogiska personalen och personalen från elevhälsan som enligt syften i punkt 5 just nu arbetar närmast barnet/eleven/vårdnadshavaren
• Personuppgiftsansvarige på de företag som det finns ett upprättat personuppgiftbiträdesavtal med.
• Berörd pedagogisk personal på respektive enhet.

• På våra servrar eller på GDPR-godkänd plattform. Det upprättas alltid ett personuppgiftbiträdesavtal med den aktör skolan har.
• Pedagogisk dokumentation lagras (ex Schoolsoft och Prorenata) på en server som det finns ett upprättat personuppgiftsbiträdesavtal med. Vid våra olika serverlösningar finns det alltid ett upprättat personuppgiftbiträdes avtal med aktuellt företag.
• Personuppgifter kopplade till Elevhälsans arbete inkl. elevhälsojournaler lagras i Prorenata som det finns ett upprättat personuppgiftsbiträdesavtal med.
• I fysiska pärmar som hålls inlåsta.

Vi ser till att alltid behandla dina personuppgifter inom EU/EES. Om det skulle uppstå en situation där vi eller någon av våra leverantörer eller underleverantörer behöver överföra personuppgifter till ett land utanför EU/EES, så lovar vi att vi vidtar alla rimliga juridiska, tekniska och organisatoriska åtgärder för att säkerställa att din personliga information behandlas på ett säkert sätt och med en adekvat skyddsnivå som ligger åtminstone i linje med vad som gäller inom EU/EES.

Vi kommer enbart att överföra dina personuppgifter till ett land, ett område eller en sektor i tredjeland om EU-kommissionen har beslutat att det har en tillräcklig skyddsnivå.

• Uppgifterna lagras så länge de behövs i den dagliga verksamheten. Därefter kommer den att destrueras enligt rutiner för sortering och gallring.
• Enligt de lagar som styr vår verksamhet t.ex. skollagen.

Friskolan Svettpärlan skyddar dina personuppgifter genom tekniska såväl som organisatoriska säkerhetsåtgärder. Inom Friskolan Svettpärlan använder vi därför bland annat följande säkerhetsåtgärder:

• Behörighetsstyrning. Bara de som har behov av uppgifter får behandla dem.
• Krypteringsskydd. Vår molnbaserade lagring (Google och OneDrive) lagras krypterat i molnet. Vi använder Schoolsoft för kommunikation med vårdnadshavare. Vårdnadshavare kan via e-post och sms uppmärksammas på att de har meddelande på Schoolsoft.
• Delningsplattformar. Istället för att mejla en fil kan man dela ett dokument som lagras i en molntjänst (till exempel Google Drive) vilket innebär att man kan styra tillgången till informationen även i efterhand.
• Stark autentisering. Valda tjänster inom vår IT-miljö har stark autentisering, exempelvis Prorenata som används av Elevhälsoteamet. Personalens datorer skyddas av starka lösenord.

Rätt till registerutdrag

Du har rätt att få information från oss om huruvida vi behandlar dina personuppgifter, och om så är fallet har du även rätt att få information om:

• syftet med att vi behandlar dina personuppgifter
• vilka kategorier av personuppgifter vi behandlar
• vilka personuppgifter vi lämnar ut till tredjepart (mottagare eller kategorier av mottagare) om det är aktuellt
• hur länge dina personuppgifter sparas och vilka gallringskriterier vi utgår ifrån
• dina rättigheter (rätten till radering, rättelse och begränsning av dina uppgifter, rätten till dataportabilitet, rätten att invända mot behandling och rätten att klaga till tillsynsmyndigheten).
• från vilka källor vi hämtar dina personuppgifter (i de fall vi hämtar dem någon annanstans ifrån än direkt från dig)
• ifall dina personuppgifter används för automatiskt beslutsfattande och vilka konsekvenser detta kan få för dig

All information om vilka personuppgifter som samlas in, rättslig grund för behandlingen, vad uppgifterna ska användas till, hur länge uppgifterna ska sparas, vilka som har tillgång till dem och med vilka vi delar vissa av uppgifterna med (t ex SCB och kommunen) finns samlad i dokumentet ”Förteckning över personuppgifter” på Schoolsoft.

Om du vill begära ut information om dina personuppgifter och/eller få ett samlat registerutdrag med de uppgifter som vi har registrerade om dig, kontakta anna.strenius@svettparlan.se Din begäran kommer att behandlas så snart som möjligt, senast inom 30 dagar. Det kostar ingenting att begära och få ut ett registerutdrag. Om du däremot vill begära ut flera kopior förbehåller vi oss rätten att ta ut en rimlig administrationsavgift. När du skickar in din begäran elektroniskt, kommer du också att få registerutdraget tillbaka i digital form. Detta sker via delning av dokument via Onedrive.

Rätten till rättelse

Vi är måna om att all personlig information som finns lagrad hos oss är korrekt. Om du skulle upptäcka att vi trots detta har ofullständiga eller felaktiga personuppgifter om dig i våra register ber vi att du meddelar oss detta så vi har möjlighet att korrigera, komplettera eller ta bort information.

Rätten till radering

Du har rätt att begära att vi raderar dina personuppgifter under vissa förutsättningar:

• När dina personuppgifter inte längre behövs för de(t) ändamål som uppgifterna samlades in för
• Om du tagit tillbaka ditt samtycke, dvs du inte längre samtycker till behandlingen (förutsatt att behandlingen grundar sig på ditt samtycke som enda rättsliga grund)
• Om uppgifterna används för marknadsföringsändamål
• När din rätt till personlig integritet väger tyngre än vårt berättigade intresse av att fortsätta behandla personuppgifter om dig (förutsatt att behandlingen grundar sig på berättigat intresse som rättslig grund)
• Om vi har behandlat dina personuppgifter på ett sätt som är oförenligt med gällande lagstiftning
• Om personuppgifterna har använts för att erbjuda så kallade informationssamhällets tjänster till ett barn

Vi kommer alltid att gallra och radera personuppgifter när det krävs enligt lag. Se även i avsnittet länge upp om gallring av personuppgifter.

Om vi inte kan tillmötesgå din begäran om att bli raderad, kommer vi att meddela dig detta beslut och informera om varför. Om du ändå vill gå vidare och försöka få dina uppgifter raderade kvarstår möjligheten för dig att lämna in klagomål till Integrationsskyddsmyndigheten (IMY) eller gå vidare med ditt ärende till domstol.

Rätten till begränsning

Du har rätt att få behandling av dina personuppgifter begränsad under vissa omständigheter:

• Under en period medan vi kontrollerar att uppgifterna är korrekta efter att du har invänt mot behandlingen eller ifrågasatt uppgifternas korrekthet.
• Om behandlingen är olaglig, och du trots detta har motsatt dig att uppgifterna raderas och istället begärt att användningen av dem ska begränsas
• När vi inte längre behöver dina personuppgifter för det ursprungliga syftet, men de behöver finnas kvar för att du ska kunna fastställa, göra gällande eller försvara ett rättsligt anspråk.

Om vi begränsar behandlingen av dina personuppgifter enligt ovan kommer vi fortfarande lagra uppgifterna men inte använda den annat än (i) med ditt samtycke, (ii) för att fastställa, göra gällande eller försvara rättsliga anspråk, (iii) för att skydda någon annan fysisk eller juridisk persons rättigheter eller (iv) för skäl som rör ett viktigt allmänintresse.

Rätten till dataportabilitet

När vi behandlar dina personuppgifter på ett automatiserat sätt, antingen med ditt samtycke som rättslig grund eller för att uppfylla ett avtal, så har du rätt att själv få ut de personuppgifter som du har lämnat till oss i ett strukturerat, allmänt använt och maskinläsbart format – så kallad dataportabilitet.

Rätten att invända

Om du invänder mot behandlingen av dina personuppgifter, kommer vi att upphöra med behandlingen om vi inte kan visa på en faktisk berättigad anledning till att fortsätta. Vi kan också komma att fortsätta behandla dina personuppgifter om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.

Vi hoppas att den här informationen är användbar för dig och bidrar med förtydliganden när det gäller varför och hur vi behandlar dina personuppgifter. Om du har frågor om hur vi behandlar dina personuppgifter, tveka inte att ta kontakt med oss: anna.strenius@svettparlan.se 0734-238803

Du har också rätt att lämna ett klagomål till tillsynsmyndigheten, se nedan, när det gäller hur vi behandlar dina uppgifter.

Om du som kund hos Friskolan Svettpärlan vill klaga på vår hantering av personuppgifter kan du vända dig till personuppgiftsansvarige på Friskolan Svettpärlan eller till Integritetsskyddsmyndigheten som är tillsynsmyndighet för dataskyddsförordningen.

Kontaktuppgifter Integritetsskyddsmyndigheten:

Telefon: 08-657 61 00

E-post: imy@imy.se

Postadress:
Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm

Denna informationstext uppdaterades senast den 30/3-22.