GDPR

Vårt GDPR arbete

Din personliga integritet är viktig för oss och vi arbetar på olika sätt för att skydda och respektera den. Inte minst genom att följa dataskyddsförordningen (GDPR). Bland annat genom att inte använda dina personuppgifter till mer än det nödvändiga, men även genom att arbeta seriöst med säkerhet och dokumentation. På den här sidan har vi försökt samla all information om vårt GDPR- arbete. Du är välkommen att kontakta oss på gdpr@medlefors.se om du har frågor eller förbättringsförslag.

Säkerhet och sekretess

Vi har en hög säkerhetsnivå kring hanteringen av personuppgifter. Endast personer med särskild behörighet inom Medlefors känner till hur vårt säkerhetssystem är uppbyggt och hela vår personal är bunden av ett sekretessavtal som förhindrar spridning av data, information och personuppgifter. Endast behörig personal har tillgång till personuppgifter och behörigheten styrs av vår driftavdelning enligt instruktion från ledningen. Medlefors skyddar dina personuppgifter genom en kombination av tekniska och organisatoriska lösningar. Anställda på Medlefors samt personuppgiftsbiträden och underbiträden ska följa Medlefors interna informationssäkerhetspolicy. Personuppgifter som skickas in till Medlefors utan att de efterfrågas kommer inte att sparas längre än en månad, undantaget gäller spontana ansökningar samt avtalsärenden.

GDPR-säkrade rutiner

Vi har tydliga rutiner för hantering av eventuella personuppgiftsincidenter. Vår driftavdelning sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen.

Vi upprättar personuppgiftsbiträdesavtal gentemot våra leverantörer för våra program och tjänster. Vi vidtar alla de tekniska och organisatoriska åtgärder som krävs både enligt GDPR och generellt för att du som gäst ska känna dig trygg med att insamlade personuppgifter behandlas säkert och lagenligt.

Vår personuppgifts- och integritetspolicy

Vi ansvarar för den personliga information som du förser oss med. För att du som gäst och besökare till våra utbildningar och aktiviteter ska känna dig trygg så beskriver denna policy hur Medlefors behandlar, lagrar och hanterar dina personuppgifter. Medlefors ansvarar för samtliga uppgifter som du lämnar i kontakt med oss vilket kan vara via vår hemsida, via telefon, epost, chat, brevledes eller direkt på någon av våra utbildningar, seminarier eller andra aktiviteter.

Behandlingen av personuppgifter sker på de rättsliga grunderna avtal, rättslig förpliktelse, utförande av uppgift av allmänt intresse samt behandling på grund av berättigat intresse.

Tillämpningsområden

Denna policy gäller personer som besöker oss och/eller är användare av vår hemsida, är deltagare i någon av våra utbildningar, projekt eller utbildningar arrangerade av samverkanspartner till oss, övriga hotellgäster samt vår personal. Den gäller också vid nyttjande av våra digitala och fysiska tjänster samt våra kanaler på sociala medier. Personuppgifter är information som enskilt eller i kombination med andra uppgifter kan användas för att identifiera dig som användare som en fysisk nu levande person.

Våra register finns till endast för att vi skall kunna skapa och leverera de underlag vi behöver för vår bidragsfinansierade verksamhet, uppfylla andra lagkrav och för att vi skall kunna nå ut till våra målgrupper. Vi använder inte uppgifterna till något annat ändamål än detta.

Offentlighetsprincipen

Vår verksamhet är inte offentlig och har därför inte någon skyldighet att lämna ut information om verksamheten till allmänheten. Vi har inte heller de krav på arkivering som offentliga myndigheter har.

Arkiv

Vår folkhögskoleverksamhet är ålagd att följa arkivlagen, vilket innebär att vi ska ha ett ordnat och välvårdat arkiv som tillgodoser rätten att ta del av handlingar, behovet av information för rättssäkerhet och god förvaltning samt forskningens behov. Vilka dokument som arkiveras och hur länge de sparas framgår av vår arkivpolicy.

Behandling av personuppgifter

Vi behandlar personuppgifter i enlighet med svensk lag och lämnar inte ut personuppgifter till utomstående, förutom till de myndigheter eller liknande vi har att rapportera till.

För sökande och kursdeltagare

Deltagande i kurser är frivilligt och det är även lämnandet av personuppgifter, men det är en förutsättning för att kunna söka till och delta i kurser. Vi sparar och behandlar personuppgifter för sökande och kursdeltagare för att kunna genomföra kurserna på bästa sätt, för god deltagaradministration och för att leva upp till krav på rapportering och arkivering. De personuppgifter vi behandlar om kursdeltagare är:

Namn, personnummer, adress, e-post, telefonnummer och bankkontonummer

Kontaktuppgifter till närmast anhörig

Studieresultat och studieorganisation som schema och gruppindelning

Närvaro/frånvaro/sjukdom (se Känsliga personuppgifter och skyddad identitet nedan)

Eventuella funktionsnedsättningar som deltagaren själv meddelat skolan och som ligger till grund för särskilt stöd (se Känsliga personuppgifter och skyddad identitet nedan)

I förekommande fall skriftliga varningar, disciplinära beslut och förbättringskontrakt (se Känsliga personuppgifter och skyddad identitet nedan)

För anställda

För anställda behandlas personuppgifter som är nödvändiga och relevanta för att Medlefors ska kunna sköta personaladministrationen inom anställningsförhållandet, fullgöra sina avtalsenliga förpliktelser mot de anställda och fullgöra sina skyldigheter enligt arbetsrätten och skattelagstiftningen. Detta utgör också Medlefors lagliga grund för personuppgiftsbehandlingen. Om den anställde inte lämnar sina personuppgifter kan Medlefors inte fullgöra anställningsavtalet.

Följande uppgifter registreras eller kan komma att registreras om de anställda:

Namn, adress, e-post, personnummer, telefonnummer, folkbokföringsuppgifter, ackumulerad inkomst, innehållen preliminärskatt, uppgifter om bankkonto, anställningstid, anställningsform, löneuppgifter, semester, kompensationsledighet, rapporterad arbetstid, övertid, frånvaro och frånvaroorsak, facklig tillhörighet, närmast anhörig och barn.

Behandling om personuppgifter som är att anse som känslig, exempelvis sådan personuppgiftsbehandling som gäller hälsa, utförs bara efter nödvändighet och med stöd i lag.

Lagring av personuppgifter

Lagringstid

Ansökningshandlingar sparas i upp till ett års tid efter antagningsprocessen oavsett om den sökande blivit antagen eller ej, detta för att kunna följa upp eventuella synpunkter på antagningsprocessen.

Deltagares personuppgifter behandlas så länge deltagaren studerar på skolan samt sparas upp till sju år efter avslutade studier, detta för att kunna följa upp eventuella synpunkter eller kompletteringar efter att studierna avslutats.

Behörigheter, intyg och omdömen bevaras i minst femtio år.

Personuppgifter för anställda kommer att behandlas så länge det är nödvändigt för att kunna fullgöra förpliktelser enligt anställningsavtalet eller enligt arbetsrättslig och skatterättslig lagstiftning. När anställningsförhållandet upphör kommer de uppgifter som inte är relevanta att behålla också att raderas.

Digital lagring

När personuppgifter lagras digitalt görs det på lokala servrar, i upphandlade molntjänster som möter höga säkerhetskrav eller i upphandlade IT-system (se IT-system och IT-säkerhet samt Personuppgiftsbiträde nedan).

Fysisk lagring

Personuppgifter som inte är av känslig karaktär förvaras i pärmar på personalens kontor eller i mappar i Medlefors arkiv. Alla känsliga personuppgifter (se Känsliga personuppgifter och skyddad identitet nedan) förvaras inlåsta i vårt bankvalv.

IT-system och IT-säkerhet

Medlefors använder IT-systemen Schoolsoft, Novaschem och Avanti för deltagaradministration och Hogia Lön plus samt Payslip för personalens löneadministration samt Timecare och Webtime för personalens arbetstidsredovisning. Vi använder Picasso för registrering av våra hotell, konferens och restauranggäster samt deltagare och övriga gäster som vi fakturerar.

Alla system är lösenordskyddade och kan bara kommas åt av behörig personal. All personal har egna användarkonton med lösenord till sina arbetsdatorer och datorn ska alltid låsas innan man lämnar rummet.

Personuppgiftsbiträde

Medlefors delar inte personuppgifter med tredje part annat än till anlitade personuppgiftsbiträden med gällande avtal eller de myndigheter vi har att rapportera till. Vi tecknar personuppgiftsbiträdesavtal med samverkansparter för kursers genomförande samt IT-system för deltagar- och personaladministration.

Känsliga personuppgifter och skyddad identitet

Med känsliga personuppgifter avses uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.

Personuppgifter av detta slag ska i möjligaste mån inte hanteras av Medlefors. När verksamheten ändå kräver att dessa uppgifter hanteras ska de hanteras med stor försiktighet och alltid lagras bakom lösenordsskydd eller inlåst i vårt bankvalv. Den som har skyddade personuppgifter ansvarar själv för att informera skolans expedition om detta.

Tystnadsplikt

Det råder inte någon generell tystnadsplikt på Medlefors. Det som sägs i samtal mellan kursdeltagare och personal stannar mellan dessa personer om så överenskommits. Det är viktigt att hanteringen av personliga uppgifter som lämnas i förtroende till Medlefors personal sätter den enskildes integritet i centrum (se Känsliga personuppgifter och skyddad identitet ovan). Sekretessen för elevvårdande verksamhet regleras av Offentlighet- och sekretesslagen 23 kap 5§.

Bilder

Bilder från verksamheten kan publiceras internt, på Medlefors hemsida, i sociala medier och i våra trycksaker. Om någon inte vill förekomma på sådana bilder måste man själv informera oss om detta. Vi följer de pressetiska regler som skaptas av allmänhetens pressombudsman (PO-PON). Se www.po.se

Incidenter

Om personuppgifter, avsiktligt eller oavsiktligt, går förlorade eller röjs, t ex genom att personuppgifter av misstag skickas till fel person eller en dator med personuppgifter stjäls ses det som en personuppgiftsincident. Personuppgiftsincidenter ska alltid meddelas till Medlefors rektor/verksamhetschef för dokumentation och bedömning.

Vid allvarliga personuppgiftsincidenter som innebär risker för de registrerade ska de registrerade meddelas skyndsamt och en anmälan göras till Datainspektionen inom 72 timmar från upptäckten.

Cookies

Vi använder cookies för att ge en personlig upplevelse och för att vår webbplats ska fungera på bästa sätt. Vi kontrollerar hur webbplatsen används genom att kolla på trafikmönster samlar in och analyserar beteendedata baserat på användning av webbplatsen och tjänster i syfte att förbättra användarupplevelsen.

Överföring av information

Medlefors sparar sin information inom EU. Bokföringsdata sparas i Sverige eller av skatteverket godkänt land. Vi säljer inte vidare någon information till 3:e part.

Dina rättigheter

Du har rätt att få information om vilka personuppgiftsbehandlingar som görs hos oss. Vi har samlat dessa i tabellen Personuppgiftsbehandlingar. I tabellen syns bland annat ändamål, rättslig grund och lagringstid.

Du har rätt att en gång per år begära ett registerutdrag där du kan se vilka personuppgiftsbehandlingar vi har om just dig.

Du har rätt att begära rättning om vi har felaktigheter registrerade om dig.

Du har rätt att bli raderad under dessa förutsättningar:

Rätten att bli raderad gäller inte om vi är skyldiga enligt lag (tex bokföringslagen) att behålla uppgifterna.

Du har rätt till dataportabilitet (rätt att få dina personuppgifter flyttade) under förutsättning att den rättsliga grunden är samtycke eller avtal och det du kan få ut är personuppgifter som rör dig, som du själv tillhandahållit eller som genererats av dina handlingar/aktiviteter.

Du har rätt att begära en begränsning i behandlingen, men inte få begäran uppfylld om det är ett krav att behandlingen sker för att tjänsten ska fungera.

Du har rätt att invända mot en personuppgiftsbehandling och Medlefors kommer då att upphöra med behandlingen under tiden frågan utreds.

Du har rätt att framföra klagomål till Dataskyddsinspektionen över behandlingar som utförs av oss.

Om du vill åberopa någon av dina rättigheter så kontaktar du oss på gdpr@medlefors.se.

 

Annamaria Hedlund
Rektor / Verksamhetschef
Medlefors Folkhögskola