GDPR fortegnelse for EASY-P
Produkt/system
EASY-P
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Institutionerne er dataansvarlige for behandling af personoplysninger ifm. elevers uddannelse og indgåelse af uddannelsesaftaler
Databehandler(e)
Styrelsen for IT og Læring.
Hvor opbevares personoplysningerne?
☒ | Hos databehandler(e) |
☒ | Hos den dataansvarlige |
☐ | Begge ovenstående steder |
Er der indgået en databehandleraftale med STIL?
☐ | Ja |
☒ | Nej, se bemærkning |
Bemærkninger til Dataansvarlig - Databehandler
Behovet for databehandleraftale mellem institutionerne og styrelsen er afløftet ved cirkulæreskrivelse, hvor styrelsens opgaver er defineret. Styrelsen har en databehandleraftale med sin underdatabehandler.
Databeskyttelsesrådgiveren (DPO)
Karsten Vest Nielsen, DPO@UVM.DK
Betegnelse og formål
Databehandlingens betegnelse og formål
EASY-P er det centrale praktik-administrative system, der bruges af erhvervsskoler og faglige udvalgs sekretariater til administration af godkendelser af læresteder, uddannelsesaftaler, skolepraktik, praktik i udlandet, praktikpladssøgende samt svendeprøver. EASY P dækker de administrative opgaver, der relaterer sig til praktikdelen af en erhvervsuddannelse, og andre opgaver, der relaterer sig til sagsbehandlingen af praktikdelen.
Databehandlingens formålskategori
1. Administrative formål | ☐ |
2. Statistik | ☐ |
3. Begge dele/både 1 og 2 | ☒ |
Personer og oplysninger
Kategorier af registrerede
Der registreres data om elever og deres uddannelsesaftaler, skolepraktik og praktik i udlandet om, praktikønsker, svendeprøver og evt. om skoleforløb samt hovedforløbskvalifikationer.
Der behandles oplysninger om følgende kategorier af personer:
A) Elever
B) Skuemestre/censorer
C) Kontaktpersoner (virksomheder)
D) Brugere
Omfatter databehandlingen følsomme eller almindelige personoplysninger?
Følsomme oplysninger:Racemæssig eller etnisk baggrund, Politisk overbevisning, Religiøs overbevisning, Filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol, sindssygdom, ordblindhed m.v., seksuelle forhold eller orientering. | ☐ |
Almindelige personoplysninger:Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato (identifikationsoplysning) | ☒ |
Bemærkninger i forhold til følsomme og almindelige personoplysninger
Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer:
Ad A) CPR-nummer, navn, adresse, alternativ adresse, tilknytning til uddannelser og uddannelsesforløb over tid, praktikønsker, uddannelsesaftaler, svendeprøver, svendprøvekarakterer og sager på eleven
Ad B) CPR-nummer, navn, tilknytning til svendeprøver og afgivne karakterer pr. elev.
Ad C) Navn og adresse samt kontaktoplysninger (mobil, email)
Ad D) Navn, skoletilknytning, email og telefonnummer
Datakilde(r) og datamodtagere
Hvor stammer oplysningerne fra?
Data kan komme ind i systemet både via brugerindtastning og gennem system-til system-integrationer.
De forskellige typer data kommer fra følgende kilder:
- Elevdata kommer fra EASY-C/A og markedsgjorte studieadministrative systemer
- Supplerende persondata kommer via EASY-F, der trækker på CPR-registret, samt via brugerindtastning i systemet
- Virksomhedsdata kommer via NN Markedsdata, der trækker på CVR-registret
- Godkendelsesdata indtastes direkte i systemet eller importeres fra EVG (Elektronisk virksomhedsgodkendelse)
- Uddannelsesaftaler, skolepraktik og PiU (Praktik i Udlandet-ordningen) oprettes via brugerindtastning
- Administration af elevkontakt sker via direkte indtastning i EASY-P
Hvem har adgang til at behandle persondata i produktet/systemet?
Eksterne grupper med adgang til at behandle og indtaste oplysninger: medarbejdere på skoler, repræsentanter for faglige udvalgs sekretariater. Interne grupper med adgang til at behandle og indtaste oplysninger: medarbejdere i supporten, produktejere i CDU/team praktik, systemadministrator.
Modtagere
Oplysninger overføres til følgende tredjeparter:
- Arbejdsmarkedets Uddannelsesbidrag (lønoplysninger, cpr-nummer, praktik- og uddannelsesoplysninger – herunder afslutningsårsag, aftaletype, aftale-id, oplysninger om lærested)
- Industriens Pension (aftale-id, fødselsdato, navn, aftalens start- og slutdato, lærested-id, oplysninger om lærested, cvr-nr, P-nummer, uddannelsessted, uddannelse, adresse, speciale).
- Pension Danmark (CVR-nummer og antal igangværende aftaler)
- Region Hovedstaden (CVR-nummer, lønoplysninger, løbenummer, stamoplysninger på lærested, CPR-nummer, elevens stamoplysninger – herunder navn og adresse, oplysninger om aftalen – herunder afslutningens årsag)
Sikkerhedsforanstaltninger
STIL har som statslig myndighed pligt til at arbejde med it-sikkerhed og databeskyttelse efter ISO 27001 ledelsesstandarden for informationssikkerhed. Derudover anvendes ITIL som standardrammeværktøj af STIL til at understøtte stabil og sikker drift.
STIL arbejder som følge heraf med:
- Et it-sikkerhedsledelsessystem jf. ISO27001, herunder en it-sikkerhedspolitik, områdepolitikker samt relevante retningslinjer og procedurer og passende kontroller jf. ISO27002
- Pseudonomisering og kryptering i henhold til artikel 32 af GDPR hvor det vurderes relevant.