Policy Integritet
Nova Softwares målsättning är att du som använder, eller har som avsikt att använda våra tjänster ska känna att skyddet av din personliga integritet är något som är viktigt för oss.
För att kunna erbjuda tjänster behöver vi behandla personuppgifter (personuppgift: information som direkt eller indirekt kan härledas till en fysisk person - så som namn, adress, telefonnummer eller e-post). Syftet med denna policy (fortsatt kallad lntegritetspolicy) är att övergripande redogöra för den personuppgiftsbehandling (personuppgiftsbehandling: hantering som inbegriper personuppgifter- så som insamling, bearbetning eller lagring av personuppgifter) som vi utför, och vilken i någon form kan komma att beröra dig som planerar eller redan har kontakt med oss.
För att underlätta arbetet med personuppgiftsbehandling används ett s.k. register (Qnister) - en tjänst vilken underlättar arbetet med att överblicka och följa upp behandlingen. I Qnister kan vi bl.a. samla in information om behandling som utförs i olika systemobjekt, för vilket syfte (ändamål) behandlingen utförs samt mot vilken/vilka rättslig(a) grund(er) som behandlingen kan stödjas.
Vi har också upprättat en intern Policy för Dataskydd (Dataskyddspolicy), vilken syftar till att redogöra för verksamhetens samlade insatser med utgångspunkt från GDPR (General Data Protection Regulation,dataskyddsförordningen, ersätter Pul- Personuppgifts/lagen, från och med 25 Maj 2018). Denna policy behandlar allt från hur vi arbetar med utbildning och information, hur vi bevakar våra produkter och tjänster för att fånga behov av eventuella anpassningar, till hurviarbetar med interna avtal runt sekretess och tystnadsplikt.
Ovan två källor, är också utgångspunkten till vidare information i detta dokument.
För varje område för behandling redogörs syfte (ändamål med behandlingen) samt att nedan punktlista används för att sammanfatta ett antal centrala områden som anses värdefulla att belysa.
- Personuppgifter: Ex. Vilka personuppgifter som behandlingen inbegriper
- Rättslig grund: Ex. Rättslig grund som används som stöd för att behandla personuppgifter
- Skyddsåtgärder: Ex. Vilka åtgärder för dataskydd som vidtagits för att skydda information
- Geografisk aspekt: Ex. Inom EU/EES eller Land med "Adekvat skyddsnivå"
- Gallring (radering): Hur säkerställs att personuppgifter inte lagras längre än vad ändamål motiverar
- Övrig information:Övrig information som kan vara viktig för att tydliggöra något av ovan områden
Allmänna Dataskyddsförordningen EU 2016/679
"Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter." (Kapitel 1, Artikel 1).
1. Tjänsten Skola24
Vid en leverans av Skola24 behandlas personuppgifter för bl.a. elever, vårdnadshavare och lärare. Den behandling som utförs regleras vidare i ett sk. Personuppgiftbiträdesavtal (PuB-avtal).
Detta PuB-avtal redogör enkelt beskrivet för hur Nova Software i egenskap av Personuppgiftsbiträde (personuppgiftsbiträde: den part som behandlar personuppgifter för den personuppgiftsansvariges räkning; Nova Software) ska behandla personuppgifter för skolan/kommunen i egenskap av Personuppgiftsansvarig (personuppgiftsansvarig: den part som bestämmer ändamål och medel för behandlingen av personuppgifter i skolan/kommunen).
PuB-avtalet innehåller bl.a. skrivelser om att biträdet kan utföra "support" (vilket därigenom medför att en supportfunktion har insyn i de personuppgifter som behandlas för skolans/kommunens räkning, hur personuppgiftsincidenter hanteras samt vika underbiträden som Skola24 använder (se vidare under 1.1)
Syfte (ändamål med behandling): underlätta för en huvudman att bedriva skolverksamhet.
- Personuppgifter: Namn på elever, vårdnadshavare, lärare, kontaktuppgifter (t.ex. e-post)
- Rättslig grund: Rättslig förpliktelse, Allmänt intresse (utbildning - del i myndighetsutövning)
- Skyddsåtgärder: Kryptering, stöd för 2-faktorinloggning, rollstyrning, instruktioner, sekretessavtal
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt PuB-avtal
- Övrig information: Gallring beslutas av Personuppgiftsansvarig (dvs. inte av Nova Software)
Förtydligande Rättslig grund
Rättslig förpliktelse genom stöd av t.ex. Skollagen. Anordnande och bedrivande av utbildning är att se som en uppgift av allmänt intresse. I föreliggande fall även behandling som en del i den personuppgiftsansvariges myndighetsutövning.
1.1. Underbiträden
Vid leverans av Skola24 används sk. underbiträden. Ett underbiträde kan beskrivas som en leverantör som behandlar personuppgifter på uppdrag av Nova Software för skolan/kommunens räkning.
Ett exempel på ett underbiträde som används är Cellsynt AB. Leverantören används i de fall en kund har ett avtal som inkluderar SMS-funktioner - t.ex. ett avtal där ogiltig frånvaro ska aviseras med SMS.
Vid nyttjande av underbiträden, upprättas alltid sk. underbiträdesavtal. Avtalen syftar enkelt beskrivet till att återspegla de viIkor som regleras i PuB-avtalet mellan Nova Software och skolan/kommunen.
Inför eventuella förändringar av underbiträden utgår alltid information till skolan/kommunen. Syftet är att möjliggöra för den personuppgiftsansvarige att inkomma med frågor och/eller invändningar. Givet att det inte föreligger några invändningar, kan fortsatt arbete initieras. I samband med förändringar av underbiträden, är det alltid möjligt för skolan/kommunen att begära en uppdaterad avtalsbilaga.
1.2. Testanvändare
För att inkludera användare vid utvecklingen av Skola24 erbjuds skolpersonal och vårdnadshavare att medverka i olika test- eller användargrupper. Vid intresseanmälan används en bokningsfunktion via vår webbplats. Den information som registreras (namn och kontaktuppgifter) administreras därefter i ett register. Vid registrering behandlas anmälningen som ett samtycke. I de fall en person inte längre önskar medverka vid användartester, finns stöd för avregistrering (dvs. stöd för att återkalla samtycke).
I samband med att testaktiviteter genomförs kan intervjuer med testanvändare komma att genomföras. När enskilda testaktiviteter är genomförda, avpersonifieras eller gallras (raderas) alla personuppgifter.
2. Affärshantering
Vid hantering av affärer (så som vid arbete med affärsförfrågningar och avtalsrelationer) används ett CRM-system. Systemet utgör ett centralt verksamhetsstöd för att hantera befintliga kundrelationer.
Syfte (ändamål med behandling): underlätta arbete med affärer, kontakter, leverans, fakturering.
- Personuppgifter: Kundnamn, kontaktperson, kontaktuppgifter (t.ex. e-post).
- Rättslig grund: Intresseavvägning, Fullgöra avtal
- Skyddsåtgärder: Kryptering, nätverksstyrd åtkomst, instruktioner, sekretessavtal
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt gallringsplan (från Dataskyddspolicy)
- Övrig information: Dokumentation kan kopplas till en aktiv kund (t.ex. offerter och avtal)
3. Användarstöd
För upprättade affärer (avtalsrelationer) som finns hanteras användarstöd i vårt CRM-system. Med användarstöd avses i huvudsak support- eller konsultuppdrag. Support kan handla om att vägleda en användare runt hur en uppgift kan utföras. Konsultuppdrag kan handla om att utföra ett uppdrag för användarens räkning (så som ett "schemaläggningsuppdrag".
Syfte (ändamål med behandling): underlätta arbete med användarstöd mot befintliga kunder.
- Personuppgifter: Kundnamn, kontaktperson, kontaktuppgifter (t.ex. e-post), ärendeinformation
- Rättslig grund: Intresseavvägning, Fullgöra avtal
- Skyddsåtgärder: Kryptering, nätverksstyrd åtkomst, instruktioner, sekretessavtal
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt gallringsplan (från Dataskyddspolicy)
- Övrig information: Dokumentation kan kopplas till en aktiv kund (t.ex. en bifogad bild på ett "fel")
4. Kurshantering
Vid bokning av kurser används en bokningsfunktion via vår webbplats. Samtliga bokningar som läggs, hanteras i vårt CRM-system. Kurser kan erbjudas både genom fysiska och digitala genomföranden.
Bokningar av fysiska kurser kan innehålla vad som är att se som känsliga personuppgifter eftersom det vid fysiska kurser inkluderas kost. För att undvika servering av kost, vilken kan vara förenad med en hälsorisk för våra kursdeltagare, anses det nödvändigt att kunna samla in uppgifter om eventuella "allergier". Insamling görs med stöd av en Intresseavvägning.
Syfte (ändamål med behandling): underlätta arbete med planering och genomförande av kurser.
- Personuppgifter: Kundnamn, kontaktperson, kontaktuppgifter (t.ex. e-post), kostbehov
- Rättslig grund: Intresseavvägning, Fullgöra avtal
- Skyddsåtgärder: Kryptering, nätverksstyrd åtkomst, instruktioner, sekretessavtal
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt gallringsplan (från Dataskyddspolicy)- med särskild frekvenshantering
- Övrig information: Uppgifter om aIlergier (känsliga personuppgifter) gallras efter utfört kurstillfäIle
5. Nyhetsbrev
Vid hantering av nyhetsbrev används en registreringsfunktion via vår webbplats. Den information som registreras, administreras därefter i ett system som styr de faktiska utskicken till de registrerade.
Vid registrering till nyhetsutskicken behandlas anmälningen som ett samtycke. I de fall en person inte längre vill ta del av nyhetsutskick, finns stöd för avregistrering (dvs. stöd för att återkalla samtycke).
Syfte (ändamål med behandling): sprida nyheter runt verksamheten och dess erbjudande.
- Personuppgifter: Kontaktuppgifter (e-post)
- Rättslig grund: Samtycke
- Skyddsåtgärder: Kryptering, rollstyrning, instruktioner, sekretessavtal
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt gallringsplan (från Dataskyddspolicy)
- Övrig information: Med nyheter avses t.ex. information om kommande produktfunktioner
6. Webbinarium
Vid hantering av webbinarium (webinar) används en registreringsfunktion via ett för ändamålet avsett system. Vid registrering till ett webinar behandlas anmälningen som ett samtycke.
Syfte (ändamål med behandling): sprida nyheter runt verksamheten och dess erbjudande.
- Personuppgifter: Kontaktuppgifter (t.ex. namn och e-post)
- Rättslig grund: Samtycke, Fullgöra avtal
- Skyddsåtgärder: Kryptering, rollstyrning, instruktioner, sekretessavtal
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt gallringsplan (från Dataskyddspolicy)
- Övrig information: Efter webinar, kan vi komma att skicka underlag för utvärdering till deltagare
7. Ansökningar
Vid utlysning av tjänster, alternativt fall där en person på eget initiativ skickar in en intresseanmälan till vår HR-funktion, behandlas (lagras) dokumentation på en för ändamålet avsedd lagringsyta. I vissa fall används externa rekryteringsföretag. Vi genomför alltid utredningar av de företag som vi i någon form samverkar med, inte minst för att bedöma företages förmåga att leva upp till GDPR. Om du önskar information om eventuella rekryteringsföretag, hänvisar vi dig i första hand till respektive företag.
Reservation: I samband med ansökningar är det inte lämpligt att upplysa om uppgifter vilka kan anses vara av integritetskänslig karaktär - förutsatt att detta inte kan anses särskilt motiverat. Det kan t. ex. handla om att upplysa om en allergi som kan vara särskilt viktig att beakta inför ett besök hos oss.
Syfte (ändamål med behandling): utvärdera potentiella medarbetare.
- Personuppgifter: Kontaktuppgifter (t.ex. e-post) och av anmälande part övrig information.
- Rättslig grund: Intresseavvägning
- Skyddsåtgärder: Kryptering, nätverksstyrd åtkomst, rollstyrning, instruktioner, sekretessavtal
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt gallringsplan (från Dataskyddspolicy)
- Övrig information: Åtkomst till angiven lagringsyta är begränsad till för ansökningen relevanta roller
8. Cookies/Kakor
En cookie är en liten textfil som genereras när en användare besöker en webbplats. Det finns cookies med syfte att underlätta för användare (besöker webbplats) och cookies med syfte att underlätta för leverantörer (tillhandahåller webbplats). Användarspecifika respektive leverantörsspecifika cookies.
Användarspecifika cookies kan komma ihåg de val (eller inställningar) som en användare gör. Vid nästa besök behöver användaren inte göra dessa val (eller inställningar) igen - de lagras i en cookie. Syftet är att förbättra användarupplevelsen för de användare som återkommande besöker en specifik webbplats.
Leverantörsspecifika cookies kant.ex. hålla reda på vilka ytor som besöks på en webbplats. Genom dessa cookies kan en leverantör bl.a. få indikationer om vilken typ av information som lockar besök-vilket i sin tur kan underlätta arbete med att följa upp och förbättra innehållet mot den/de målgrupp(er) som avses.
Webbplatser som tillhandahålls av Nova Software använder cookies. Vi använder cookies för att skapa en bra användarupplevelse samt för att kunna utvärdera och förbättra innehållet på våra webbplatser.
Som besökare har du också möjlighet att påverka hanteringen av cookies genom din webbläsare.
9. Övrig information
Utöver tidigare redogjord behandling, används också vad som kan ses som indirekta förutsättningar för att vår verksamhet ska fungera. Det handlar om tjänster för att möjliggöra vår kommunikation (i form av utrustning och programvara gällande nätverk, e-post och telefoni). För dessa tjänster behandlas också personuppgifter. Det kan handla om ett mail med en fråga runt en bokning, ett SMS till ensäljare, eller om ett mail till vår "supportfunktion" -vilka förutsätter dessa grundläggande kommunikationstjänster.
Syfte (ändamål med behandling): underlätta kommunikation, planering, support, affärshantering.
- Personuppgifter: IP-adress, kontaktuppgifter (t.ex. e-post eller mobilnummer)
- Rättslig grund: Intresseavvägning, Fullgöra avtal
- Skyddsåtgärder: Kryptering, rollstyrning, instruktioner, sekretessavtal.
- Geografisk aspekt: Inom EU/EES
- Gallring (radering): Enligt gallringsplan (från Dataskyddspolicy)
- Övrig information: Upprättad Dataskyddspolicy innehåller även riktlinjer runt "ostrukturerad data"
Utöver systemnära insatser runt gallring (så som av samtalshistorik) via "telefonväxel", tillämpas också en mängd riktlinjer runt "självgallring" som regleras i upprättad Dataskyddspolicy. Det handlar t.ex. om hur en medarbetare förväntas förhålla sig i fall av olämpliga (integritetskänsliga) mail eller SMS.
Exempel självgallring: Information som kan anses olämplig och integritetskänslig (och vilken ska raderas), kan handla om att en medarbetare vid Nova Software av någon anledning får information i stil med att [ namn ]jobbar inte kvar här längre pga. [ lagbrott] eller pga. [sjukdom].
Reservation: I samband med kontakt via e-post är det inte lämpligt att upplysa om uppgifter vilka kan anses vara av integritetskänslig karaktär - förutsatt att detta inte kan anses särskilt motiverat. Det kan t.ex. handla om att upplysa om en allergi som kan vara särskilt viktig att beakta inför ett besök hos oss!
E-post till Nova Software: Om oäkerhet råder inför att skicka e-post innehållande viss typ av information, så är rekommendationen att kontakt initialt upprättas via telefon. Här kan vi gemensamt utreda hur (eller om) fortsatt informationsutbyteska hanteras för specifika personuppgifter.
Temporär personuppgiftsbehandling: I förekommande fall genomförs temporära insatser där vi också behandlar personuppgifter. Det kant.ex. handla om behandling av personuppgifter inför och under ett kundevent. Hur personuppgifter ska behandlas i dessa fall, redogörs i upprättad Dataskyddspolicy. Det handlar t.ex. om arbetet med att identifiera rättslig grund för behandling av personuppgifter.
I förekommande fall kan informationsutskick komma att göras för att förmedla information som anses högst avgörande att kund får ta del av. Det kant.ex. handla om ett informationsutskick som görs till en viss roll (så som alla administratörer) i Skola24 för att upplysa om en kritisk säkerhetsuppdatering som måste genomföras i närtid, och vilken kan komma att påverka tillgängligheten för Skola24 en kort tid.
I förekommande fall kan undersökningar komma att göras för att utvärdera hur kund upplever kvalitet för de tjänster som tillhandahålls, alternativt för att utvärdera önskemål om framtida anpassningar av tjänsterna som levereras. Det kant.ex. handla om att utvärdera hur kund upplever en supportfunktion. Att genomföra undersökningar syftar till att identifiera kundbehov för att kunna öka kundnöjdhet.
Ovan typ av utskick bedöms vara möjliga att hantera med stöd av en intresseavvägning, men där vissa insatser också kan anses möjliga att hantera med stöd av de avtal som finns med kund - fullgöra avtal.
I förekommande fall kan marknadsföring komma att bedrivas med utgångspunkt från personuppgifter som förfogats i samband med försäljning. Det kant.ex. handla om att marknadsföra en ny produkt eller produktfunktion mot en delmängd av befintliga kunder. Vid denna typ av insatser, kommer det alltid vara möjligt för mottagarna (de fysiska personerna) att motsätta sig framtida marknadsföring.
Denna typ av insats, bedöms vara möjlig att hantera med stöd av Marknadsföringslag (2008:486).
9.1. Registrerades rättigheter
Vid behandling av personuppgifter har den registrerade (den som behandlingen avser) rätt ta del av de personuppgifter som behandlas, för att t.ex. kunna begära rättning av felaktiga personuppgifter.
I de fall där du som elev, vårdnadshavare eller skolpersonal önskar information om de personuppgifter som behandlas om dig i Skola24, är det skolan/kommunen som är ytterst ansvariga.
För att underlätta detta arbete, finns det bl.a. en möjlighet att begära ut ett registerutdrag från Skola24. I de fall du inte längre har ett användarkonto (t.ex. då din anställning som lärare har avslutats), så kan du kontakta skolan/kommunen (huvudmannen) som i egenskap av ombud kan vara behjälplig.
Utlämning av information: Nova Software arbetar mot skolan/kommunen som uppdragsgivare. Det innebär t.ex. att vi inte kan lämna ut någon information till vårdnadshavare - dock förutsatt att det inte kommunicerats (instruerats) från en behörig part inom skolan/kommunen.
I de fall du som skolpersonal önskar information om personuppgifter som Nova Software behandlar om dig (så som uppgifter i vårt CRM-system med anledning av rapporterade supportärende), är det Nova Software som är ytterst ansvariga. Kontakta oss via support@skola24.com för ytterligare information.
9.2. Upphörande av "Privacy Shield"
Microsoft Office 365 används inom organisationen. Detta innebär t.ex. att e-post som skickas till/från våra medarbetare involverar en amerikansk leverantör. Vi bevakar händelseutvecklingen löpande.
Förtydligande: E-post som skickas från produkten Skola24 eller från det CRM-system som används vid support involverar inte Office 365 - I dessa fall används lokala tjänster för att distribuera e-post.
Dataskyddsombud, Nova Software AB
2021-12-15