Personuppgiftspolicy

Varje upplysning som avser en identifierad eller identifierbar fysisk person (Registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Den fysiska person som direkt eller indirekt kan identifieras genom en personuppgift.

En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande,
begränsning, radering eller förstöring.

Känsliga personuppgifter är sådana som avser ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och Behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om sexualliv eller sexuell läggning.

Behandling är endast laglig om den sker med laglig grund. Längre ner i dokumentet kan du läsa mer om vilka lagliga grunder som är relevanta på Metapontum.

Behandling ska endast utföras i den utsträckning det är nödvändigt för ett visst ändamål. Med ”nödvändig” ska under GDPR förstås att behandlingen medför effektivitetsvinster eller att lagen kräver det. En behandling ska därför inte anses vara nödvändig om ändamålet kan uppnås lika enkelt och billigt utan att personuppgifter behandlas eller om behandlingen sker i termer “det skulle kunna vara bra att ha…”

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I detta fall Metapontum AB.

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. I detta fall t.ex. Schoolsoft AB som tillhandahåller vår skolplattform.

Ett skriftligt avtal eller annan rättsakt som är bindande för ett personuppgiftsbiträde gentemot en personuppgiftsansvarig och som upprättats enligt artikel 28 av GDPR. Personuppgiftsbiträden och personuppgiftsansvariga ska alltid ingå personuppgiftsbiträdesavtal.

Metapontum inhämtar i första hand personuppgifter från vårdnadshavare rörande dels dennes barn, som elev på Metapontum, samt vårdnadshavaren själv. Utöver detta inhämtar Metapontum personuppgifter rörande framförallt elever men även vårdnadshavare från hemkommun och relevanta myndigheter. Detta endast när det är i enlighet med relevant lagstiftning eller om samtycke lämnats från vårdnadshavare.

Exempel på personuppgifter vi samlar in är: Namn, personnummer, kontaktuppgifter, e-postadress, fysisk adress och liknande. Vi kan även komma att samla in personuppgifter rörande hälsotillstånd både för elever och vårdnadshavare men då främst utifrån vårdnadshavares samtycke.

Metapontum behandlar personuppgifter för att kunna uppfylla alla de krav som idag ställs på en skola. Det handlar om allt från tillsynsansvar, närvarohantering, betygsättning, upprättande av åtgärdsprogram och pedagogiska utredningar till tillhandahållande av digitala plattformar för skolarbete som ordhanterare, matematikprogram och liknande. Dessa behandlas i skolans olika datasystem eller i fysiska arkiv beroende på syftet med behandlandet av personuppgiften.

Det händer att Metapontum lämnar ut personuppgifter till tredje part. Vi kan dela med oss av information till företag som behandlar data på våra vägnar för att vi skall kunna utföra vårt arbete och våra förpliktelser som skola. Det handlar framförallt om företagen Schoolsoft AB, Prorenata AB samt Google LCC. Men även andra företag kan förekomma i tillhandahållandet av digitala verktyg av olika slag. I dessa fall ansvarar personuppgiftsansvarig för att ett personuppgiftsbiträdesavtal finns på plats.

Utöver detta kan Metapontum komma att lämna ut personuppgifter på begäran av socialtjänsten, polismyndigheten eller liknande myndigheter.

Metapontum använder sig huvudsakligen av rättslig förpliktelse, myndighetsutövning eller uppgift av allmänt intresse som lagliga grunder när vi behandlar personuppgifter.

Behandlingen sker enligt gällande lagstiftning och innebär att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Metapontum kommer lagra elever och vårdnadshavares personuppgifter så länge eleven är inskriven på Metapontum. För att underlätta vid byte av skola kan Metapontum komma att spara elevens personuppgifter i upp till tre månader efter att den slutat på Metapontum, då med vårdnadshavares samtycke. Om inte det inte är så att det finns rättsliga förpliktelser att behandla och lagra vissa personuppgifter som t.ex. arkivering av nationella prov.

Metapontum är personuppgiftsansvarig för alla personuppgifter som vi samlar in direkt från elever, vårdnadshavare, anställda eller hemkommun. För det fall Metapontum använder personuppgiftsbiträden ingås alltid skriftliga personuppgiftsbiträdesavtal med personuppgiftsbiträdet.

Du har som registrerad rättigheter i enlighet med artikel 15-22 och 34 i GDPR. Detta innebär att den registrerade har rätt att utan kostnad begära ett registerutdrag.

Den registrerade har även rätt att få sina personuppgifter rättade eller raderade (rätten att bli glömd) om inte Metapontum har laglig skyldighet att behandla och lagra vissa personuppgifter.

Om det sker en personuppgiftsincident som kan leda till en hög risk för den registrerade ska Metapontum utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

Om du är missnöjd med Metapontums behandling av dina personuppgifter kan du också höra av dig till Integritetskyddsmyndigheten.

Metapontum använder endast personuppgiftsbiträden som har ett tillförlitligt IT- och informationssäkerhetsarbete.

När vi agerar som personuppgiftsansvarig vidtar vi alltid lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas i enlighet med avsnitt 2 av den allmänna dataskyddsförordningen.

Vi har en särskild IT- och informationssäkerhetspolicy upprättad för hanteringen av informationssäkerhet.

För ytterligare information om personuppgiftshantering eller om du har frågor om det samma, är du välkommen att konta oss: