Integritetspolicy

Vår integritetspolicy

GDPR – General Data Protection Regulation.

Information delges alla personer som har kontakt med Gyatrollets förskola AB enligt dataskyddslagen gällande fr.o.m. 25 maj 2018.

Inledning
Vi värnar om din och ditt barns integritet och arbetar för att säkerställa att era personuppgifter skyddas. Du ska kunna känna dig trygg när du anförtror oss dina personuppgifter.

Nedan följer vår integritetspolicy som fastställer hur Gyatrollets förskola AB använder, bearbetar, skyddar och arkiverar/gallrar dina personuppgifter. Den utgår från gällande dataskyddslagstiftning och förtydligar hur vi arbetar för att ta tillvara dina rättigheter och din integritet.

Syfte
Syftet med policyn är att säkerställa att Gyatrollets förskola AB hanterar personuppgifter i enlighet med EUs dataskyddsförordning GDPR.

Policyn omfattar alla handlingar där personuppgifter hanteras och innehåller såväl strukturerad som ostrukturerad data. Du ska få veta hur vi behandlar dina personuppgifter, vad vi använder dem till, vilka som får ta del av dem och under vilka förutsättningar samt hur du kan ta tillvara dina rättigheter.

  • Barnens och vårdnadshavarnas personuppgifter är deras egna – vi lånar dem bara.
  • Vi ska enbart använda de personuppgifter som vi verkligen behöver för det aktuella syftet.
  • Vi ska i så liten utsträckning som möjligt hantera (samla in, lagra och sprida) känsliga personuppgifter.
  • Vi ska i möjligaste mån eftersträva att vår hantering av personuppgifter vilar på annan rättslig grund än samtycke.

Behandling av personuppgifter

 

Vi behandlar era personuppgifter främst för att fullfölja våra förpliktelser mot er. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för ändamål, och vi strävar alltid efter att använda de minst integritetskänsliga uppgifterna.

Om dataskyddsförordningen – Lagens sex grundprinciper
Dataskyddsförordning har sex grundprinciper. De är 1) laglighet, 2) ändamålsbegränsning, 3) uppgiftsminimering, 4) korrekthet, 5) lagringsminimering samt 6) integritet och konfidentialitet.

De sex grundprinciperna innebär att personuppgifter:

  1. Ska behandlas på ett lagligt, korrekt och öppet sätt (laglighet).
  2. Bara får samlas in för särskilda, uttryckligen angivna och berättigade ändamål. De får inte användas för något ändamål som inte är förenligt med dessa ändamål (ändamålsbegränsning).
  3. Ska vara adekvata, relevanta och man ska inte samla in fler personuppgifter än vad som är nödvändigt för det angivna ändamålet (uppgiftsminimering).
  4. Ska vara riktiga och (om nödvändigt) uppdaterade (korrekthet).
  5. Inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålen (lagringsminimering).
  6. Bara får behandlas om de kan skyddas på ett lämpligt sätt (integritet och konfidentialitet)

Behandlas dina personuppgifter på ett betryggande sätt?

  • Vi utarbetar rutiner och arbetssätt för att personuppgifter ska hanteras på ett säkert sätt. Utgångspunkten är att endast arbetstagare och andra personer inom förskolan som behöver personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem.
  • I fråga om känsliga personuppgifter har vi inrättat särskilda behörighetskontroller, vilket innebär ett högre skydd för dina personuppgifter.
  • Vårt säkerhetssystem är utvecklade med din integritet i fokus och skyddar i mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för din integritet.
  • Vi har flera policyer för IT-säkerhet för att säkerställa att dina personuppgifter behandlas säkert.
  • Vi överför inte personuppgifter i andra fall än de som uttryckligen anges i denna policy.

Vi får tillgång till dina personuppgifter på följande sätt:
För att kunna fullgöra våra förpliktelser är det nödvändigt för förskolan att inhämta vissa uppgifter direkt från dig och som du har skyldighet till att lämna dem.

  • Uppgifter som du lämnar när du registrerar dig i vår kö
  • Uppgifter som du lämnar i samband med avtal och inskolning
  • Uppgifter som registreras när du besöker vår hemsida
  • Uppgifter som registreras när du använder vårt dokumentationsverktyg Tyra
  • Uppgifter som vi får från offentliga register
  • Uppgifter som du lämnar till förskolans personal
  • Uppgifter som vi får när du anmäler er till alla våra utskick (e-postadress)
  • Uppgifter som vi får när du svarar på enkäter och undersökningar
  • Uppgifter som vi får när du kontaktar oss, besöker oss eller på annat sätt tar kontakt med oss

När lämnar vi ut dina personuppgifter?

 

Personuppgiftsbiträde
Vår utgångspunkt är att inte lämna ut dina personuppgifter till tredje part om du inte har samtyckt till det eller om det inte är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag. I de fall vi lämnar ut personuppgifter till tredje part upprättar vi sekretessavtal samt säkerställer att personuppgifterna behandlas på ett betryggande sätt.

Ett viktigt krav i den nya lagstiftningen är att den som behandlar personuppgifter ska kunna visa att man följer bestämmelserna i lagen. Det gäller oavsett om man behandlar personuppgifterna själv eller om man överlåter behandlingen till en samarbetspartner. Därför tecknar Gyatrollets förskola AB personuppgiftsbiträdesavtal med alla leverantörer som på något sätt behandlar personuppgifter åt någon av koncernens verksamhet. Vi använder speciella mallar för detta.

Hur länge lagrar vi uppgifter om dig?
Insamlade personuppgifter som inte längre behövs ska gallras, medan vissa insamlade personuppgifter måste arkiveras under kortare eller längre tid innan de kan raderas. För att säkerställa att arkivering och gallring sker korrekt finns en dokumenthanteringsplan och en rutin för arkivering. Dokumenthanteringsplanen anger hur företagsuppgifter och avtal ska gallras medan arkiveringsrutinen beskriver hur länge förskolans specifika dokument av barnens ska sparas.

Användning av digitala verktyg
En policy för användning av digitala verktyg är en viktig del av våra rutiner. Syftet med den är att hjälpa medarbetare att använda digitala verktyg och medier med gott omdöme och att undvika risker. Den ska läsas av alla medarbetare samt vid nyanställning innan de börjar arbeta för Gyatrollets förskola AB.

Personuppgiftsincident
En personuppgiftsincident är en händelse där vi oavsiktligt förlorat, ändrat eller delat med oss av personuppgifter till någon obehörig. Exempel på personuppgiftsincidenter är när:

  • ett mail med integritetskänsliga personuppgifter om ett barn skickats till fel person,
  • en registerpärm med personuppgifter stjäls från förskolan,
  • ett misstänkt intrång skett i Tyra.

När en personuppgiftsincident har inträffat ska det omgående informeras till förskolechefen. Förskolechefen ansvarar för dokumentation och eventuell rapportering till Datainspektionen (inom 72 timmar från att incidenten identifierats). Vid behov informeras vårdnadshavare om vad som skett och vilka åtgärder som vidtagits.

Hantering av personuppgifter

Vilka personuppgifter samlar vi in och behandlar om dig?
Gyatrollets förskola AB avser att behandla alla personuppgifter på ett lagligt öppet och rättvist sätt i enlighet med lagstiftningen. Vi behandlar inte personuppgifter i annat fall än när de behövs för att fullgöra förpliktelser enligt avtal och lag.

Här följer exempel på personuppgifterna vi behandlar:

  • Namn
  • Adress
  • E-postadress
  • Telefonnummer
  • Personnummer
  • Grupp/förskola
  • Fotografier/bilder/film
  • Vistelsetid
  • Ersättning
  • Beskrivning av barnets förändrade kunnande
  • Egenvård – medicinska behandlingsschema
  • Orosanmälningar till socialtjänsten
  • Diskriminering/kränkande behandling
  • Specialkost
  • Incident/tillbudsrapporter
  • Klagomålshantering
  • Specialpedagogiska behov
  • Extra anpassningar
  • Särskilda behov (medicinska, psykosociala, psykiska)
  • Inkomstuppgift
  • Kontoinformation
  • Användarnamn
  • Uppgifter som du registrerade självmant och frivilligt uppger

Hanteringen av personuppgifter består av flera olika moment där varje moment juridiskt sett betraktas som en personuppgiftsbehandling. Hanteringen kan ses som en process som börjar med insamling och avslutas med gallring.

  1. Inhämtning
    2. Lagring/registrering/samtycke
    3. Hantering/spara
    4. Delning
    5. Arkivering/gallring
  2. Inhämtning
    För att kunna fullfölja våra villkor enlig lag, förordningar och avtal är det nödvändigt att inhämta era personuppgifter. Vi behöver också dina personuppgifter för att ge dig bra service exempelvis vad gäller uppföljning och information. Era personuppgifter behandlas, exempelvis när vårdnadshavare placerar sitt barn i kö eller när ett barn börjar på förskolan.
  3. Lagring/registrering/samtycke
    Innan personuppgifter samlas in måste förskolan bedöma om samtycke krävs. Samtyckes avtal kan i vissa fall inhämtas av personuppgifter som inte uppfyller lagar och förordningar. Vi inhämtar samtycke i de fall som inte lyder under de lagar, förordningar och avtal.

I förskolan krävs alltid båda vårdnadshavarnas samtycke för att få publicera en bild/foto/film på sociala medier, på webbsida eller i tryck där barnet går att identifiera.

Förskolechefens ansvarar för att förskolan har dokumenterade och korrekta samtycken för de situationer där bilder/foton/filmer används i förskolans lokala marknadsföring eller inom verksamheten.

Du har när som helst rätt att återkalla ditt samtycke. Vi kommer då inte längre att behandla era personuppgifter eller inhämta nya, under förutsättning att det inte behövs för att fullgöra våra skyldigheter enligt avtal eller lag. Tänk på att återkallelse av samtycke kan innebära att vi inte kan fullgöra vissa aktiviteter och information som vi har i verksamheten i förhållande till er.

Förskolechefen ansvarar för att dessa samtycken gallras när de inte längre är aktuella.

  1. Hantering/Spara
    Att spara personuppgifter är detsamma som att lagra dem. Våra olika alternativ är i vårt IT-system Office 365 (en molntjänst), e-post, på en filserver eller analogt på papper. De får inte sparas längre tid än vad som behövs för ändamålet.

Hur ska okänsliga personuppgifter sparas?
Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan därför sparas digitalt på samtliga lagringsplatser som Gyatrollets förskola AB tillhandahåller, till exempel på filservern, i e-post, i Office 365 eller analogt. Egna digitala system, utanför de uppräknade, är inte tillåtna.

Hur ska integritetskänsliga personuppgifter sparas?
Integritetskänsliga personuppgifter är exempelvis personnummer, uppgifter om barnets förändrade kunnande, beskrivningar av barnets förmågor, beskrivningar av deras hemförhållanden eller en anmälan om kränkande behandling. Integritetskänsliga personuppgifter ska alltid hanteras med försiktighet och sparas i de system som de är avsedda för. Endast om hanteringen är säker kan sådan information exporteras ur systemet och sparas på annan plats som Gyatrollets förskola AB tillhandahåller.

  • Pedagogiska kartläggningar och utredningar sparas i Office 365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på̊ datorn i ett lösenordskyddat dokument.
  • Uppgifter om barnets eller familjens sociala situation sparas i Office 365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordskyddat dokument.
  • Kränkningsanmälningar ska göras och sparas i Office 365
  • Anmälan om tillbud/olycksfall ska göras och sparas i Office 365

Hur ska känsliga personuppgifter sparas?
Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Känsliga personuppgifter ska alltid hanteras med extra försiktighet och sparas i avsedda IT-system. De ska inte lyftas ut ur avsedda IT-system eller sparas på annan plats om inte hanteringen är säker.

  • Förskolepersonal kan behöva spara känsliga personuppgifter. Det kan exempelvis vara en pedagog som behöver skriva egna minnesanteckningar vid en situation för att alla barn ska få de bästa förutsättningarna utifrån sina behov. Denna typ av anteckningar ska göras och sparas i Office 365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordskyddat dokument.
  • Uppgifter om allergi och specialkost ska göras och sparas i Office365 så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordskyddat dokument.
  1. Dela
    Med delning av personuppgifter menas att personuppgifter delas/sprids mellan individer. När person A delar personuppgifter med person B ska det göras med omsorg och hänsyn till om det är okänsliga, integritetskänsliga eller känsliga personuppgifter som delas.

Hur ska okänsliga personuppgifter delas?
Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan delas digitalt på̊ de olika sätt som Gyatrollets förskola AB har tillgång till.

Hur ska integritetskänsliga personuppgifter delas?
Integritetskänsliga personuppgifter är exempelvis personnummer, uppgifter om barnets förändrade kunnande, beskrivningar av barnets förmågor eller beskrivningar av deras hemförhållanden. Om vi behöver dela integritetskänsliga personuppgifter utanför avsedda IT-system görs det på följande sätt:

  • Via krypterad e-post (Gyatrollets förskola AB interna e-post är krypterad) om det går att säkerställa att sändare och mottagare tar bort mailet när det inte längre behövs för syftet.
  • Med krypterad e-post om filen är lösenordskyddad och lösenordet skickas på̊ annat sätt.

Hur ska känsliga personuppgifter delas?
Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Om vi behöver dela känsliga personuppgifter utanför avsedda IT- system gör vi det på följande sätt:

  • Via Office365 där du som delar har kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Via e-post om den är krypterad (Gyatrollets förskola AB interna e-post är krypterad) och om det går att säkerställa att sändare och mottagare tar bort e-posten när det inte längre behövs för syftet.
  • Med krypterad e-post om filen är lösenordskyddad och lösenordet skickas på annat sätt.
  1. Arkivera/gallring
    När ändamålet med personuppgifterna inte längre är aktuellt ska personuppgifterna arkiveras eller gallras. Gyatrollets arkiveringsrutin anger hur lång tid olika typer av personuppgifter ska arkiveras. Huvudregeln är – om inget annat anges i arkiveringsrutinen – att personuppgifter om barn och vårdnadshavare ska gallras senast sex månader efter att barnet slutat på förskolan. Om särskilda skäl finns kan uppgifter sparas längre än sex månader. Förskolechef måste göra en bedömning av vilket material som behöver sparas under en längre tid och förskolechefen ansvarar också för att uppgifter tas bort när de inte längre behövs.

Alla personuppgifter gallras från samtliga platser som de lagras på exempelvis e-post, filserver, analogt eller i pärmar.

Personal
Förskolans medarbetare har fått information om dataskyddslagen och förskolans integritetspolicy är förankrad hos samtliga. För att efterleva dataskyddslagen och hantera personuppgifter på ett säkert sätt kommer vi att använda oss av molnlagring i Microsoft Office 365.

Följande riktlinjer gäller på Gyatrollets förskola.

  • Barnens och vårdnadshavarnas personuppgifter är deras egna – vi lånar dem bara.
  • Vi ska enbart använda de personuppgifter som vi verkligen behöver för det aktuella syftet.
  • Vi ska i så lite utsträckning som möjligt hantera (samla in, lagra och sprida) känsliga personuppgifter.
  • Vi ska i möjligaste mån eftersträva att vår hantering av personuppgifter vilar på annan rättslig grund än samtycke.

Dataskydd i Tyra
Tyra är ett digitalt kommunikationssystem för vårdnadshavare och förskolepersonal. Systemets huvudfunktioner är administration, pedagogik och kommunikation. Programmet är webbaserat och kan användas när som helst under dygnet med en dator, läsplatta eller mobiltelefon som har internetuppkoppling.

Tillträde till systemet har den som behöver det i sin yrkesroll och vårdnadshavare. Tillträde till de olika delarna i systemet tilldelas utifrån behov och definieras som roller. Förskolans personal ska som nya användare alltid ha genomgått utbildning för att få tillträde till systemet. Administratörer ska ha genomgått certifiering. Förskolechefen har det övergripande ansvaret för hur systemet används på enheten. Även personal på stabs- och huvudmannanivå ska ha tydliga roller som ger access enbart till de delar de behöver i sin yrkesutövning.

Vem ansvarar för dina personuppgifter – personuppgiftsansvarig
Gyatrollets förskola AB är personuppgiftsansvarig, vilket innebär att vi är ansvariga för hur dina personuppgifter behandlas och att dina rättigheter tas tillvara.

Kontaktuppgifter:
Gyatrollets förskola AB
Gyavägen 2 B
236 37 Höllviken
Tel. 040-45 64 06
E-post: info@gyatrollet.se