Dataskyddsbeskrivning för gymnasiernas e-tjänst

Uppdaterad

Lagreferenser:

  • Lag om studentexamen (502/2019)
  • Lag om offentlighet i myndigheternas verksamhet (621/1999)
  • EU:s allmänna dataskyddsförordning (GDPR 2016/679)

Register för gymnasiernas e-tjänst.

Studentexamensnämnden

Hagnäskajen 6, 00530 Helsingfors

Telefon (växel): 0295 331 700

E-post: lautakunta@ylioppilastutkinto.fi

Dataskyddsombud

E-post: tietosuoja@oph.fi

Telefon (växel): 029 533 1000

Personuppgifter behandlas för att tillhandahålla och underhålla gymnasiernas e-tjänst samt för att möjliggöra säker elektronisk ärendehantering. Gymnasiernas e-jänst är Studentexamensnämndens elektroniska tjänst genom vilken gymnasierna och övriga parter som deltar i ordnandet av examen sköter lagstadgade ärenden som hänför sig till studentexamen.

Personuppgifter behandlas särskilt för följande ändamål:

Via tjänsten kan följande ansökningar och anmälningar lämnas in och handläggas:

  • anmälan om examinander som inte uppfyller kraven på deltagande
  • anmälan om störning under prov
  • anmälan om innefattande av prov i examen
  • ansökan om tillstånd till anmälan efter utsatt tid
  • ansökan om ändring av anmälningsuppgifter
  • ansökan om annullering av anmälan
  • läs- och skrivsvårigheter
  • bristfälliga färdigheter i undervisningsspråket hos examinander med främmande språk som modersmål
  • sjukdom, funktionshinder eller synnerligen svår livssituation

Personuppgifter behandlas för att ta emot, handlägga och avgöra ansökningar samt för att sköta kommunikation i samband med beslut.

Via tjänsten lämnar gymnasierna utlåtanden till Studentexamensnämnden för handläggning av ansökningar.

Personuppgifter behandlas för att upprätta, lämna in och foga utlåtanden till handläggningen av ärendet.

Personuppgifter behandlas dessutom för att:

  • identifiera användare och administrera åtkomsträttigheter
  • säkerställa tjänstens tekniska funktion
  • genomföra informationssäkerhets- och loggövervakning
  • fullgöra lagstadgade skyldigheter

Studentexamensnämndens uppgifter regleras i lagen om studentexamen (502/2019). Behandlingen av personuppgifter grundar sig på artikel 6.1 c i EU:s allmänna dataskyddsförordning (uppfyllande av en rättslig förpliktelse). Uppgifter kan dessutom behandlas för arkivändamål av allmänt intresse samt för vetenskapliga, historiska eller statistiska ändamål (GDPR 2016/679, artikel 6.1 e).

Studentexamensnämnden har av tvingande skäl som rör ett viktigt allmänt intresse rätt att behandla särskilda kategorier av personuppgifter (GDPR 2016/679, artikel 9.2 g), för att

  • möjliggöra att en examinand som på grund av sjukdom, funktionsnedsättning, specifika läs- eller skrivsvårigheter, annat modersmål än undervisningsspråket eller annan jämförbar orsak inte kan avlägga prov på samma sätt som andra examinander får avlägga provet på ett avvikande sätt (L 502/2019, 9 §);
  • beakta i bedömningen om en examinands provprestation har försämrats på grund av sjukdom, funktionsnedsättning eller annan jämförbar tvingande orsak och särskilda arrangemang inte kan anses tillräckliga för att trygga jämlika förutsättningar för examinanden att avlägga provet (L 502/2019, 18 §);
  • godkänna en försenad anmälan till examen av särskilt vägande skäl såsom sjukdom eller därmed jämförbar orsak (L 502/2019, 8 §);
  • på ansökan ogiltigförklara en anmälan till ett prov av särskilt vägande skäl såsom sjukdom, studier eller arbete utomlands eller annan jämförbar orsak (L 502/2019, 8 §);
  • möjliggöra fortsatt avläggande av examen efter att examinandens maximala tid passerat, om hinder såsom sjukdom, heltidsstudier utomlands eller annan jämförbar orsak förelegat; om examinanden på grund av nämnda orsak har förhindrats att delta i prov under två på varandra följande examenstillfällen, kan examinanden fortsätta avläggandet av examen under de två examenstillfällen som omedelbart följer på utgången av den maximala tiden (L 502/2019, 13 §).

Registrerade är:

  • användare av gymnasiernas webbtjänst (t.ex. rektorer, lärare och övriga representanter som gymnasiet har utsett)
  • personer som nämns i ansökningar och utlåtanden i den utsträckning deras personuppgifter behandlas

  • Studentexamensnämndens tjänstemän
  • Tekniska administratörer av registret

Registret för gymnasiernas webbtjänst kan innehålla följande uppgifter:

  • användarens namn och befattning
  • kontaktuppgifter (t.ex. e-postadress)
  • användarnamn och uppgifter om inloggning
  • uppgifter om inlämnade ansökningar och handläggningen av dessa
  • uppgifter i utlåtanden
  • tekniska logguppgifter om användningen av tjänsten

Personuppgifter lagras endast så länge det är nödvändigt för att uppfylla de ändamål som beskrivs i denna beskrivning samt för att fullgöra lagstadgade skyldigheter.

  • Handlingar som hänför sig till ansökningar och utlåtanden lagras i sex (6) år.
  • Förvaltningsbeslut bevaras permanent i enlighet med arkivlagstiftningen.
  • Tekniska användnings- och logguppgifter för tjänsten lagras under en begränsad tid för att säkerställa informationssäkerheten och övervakningen.

Personuppgifterna erhålls i huvudsak från:

  • de registrerade själva
  • utlåtandegivare som gymnasierna har utsett (L 502/2019, 24 § 1 mom.)

Personuppgifter lämnas inte ut till utomstående, om inte utlämnandet grundar sig på lag.

Uppgifter kan lämnas ut till myndigheter med stöd av lagstadgade skyldigheter.

Utbildningsanordnaren har trots sekretessbestämmelserna rätt att få uppgifter om Studentexamensnämndens beslut om specialarrangemang enligt 9 § och om förlängd examenstid enligt 13 § 3 mom. för en examinand som har anmält sig till ett prov i studentexamen, i den utsträckning det är nödvändigt för att ordna proven (L 502/2019, 24 § 2 mom.).

Personuppgifter överförs inte utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.

Registret skyddas genom lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 32 i dataskyddsförordningen.

Alla användarkonton för Studentexamensnämndens tjänstemän är personliga och rollbaserade, och rollerna definierar vilka uppgifter och funktioner användaren har åtkomst till i registret. Enskilda användares inloggningar och misslyckade inloggningsförsök kan vid behov utredas i efterhand. All åtkomst till och ändring av uppgifter loggas.

Logguppgifterna i registret är skyddade mot ändringar och åtkomsten till dessa är begränsad. Personbeteckningar i registret är krypterade.

Säkerhetskopior av registret är skyddade. Produktionsmiljön för registret använder automatiserad distribution av säkerhetsuppdateringar.

Den registrerade har rätt att få veta om personuppgifter som rör hen behandlas eller inte (artikel 15.1 i dataskyddsförordningen).

Den registrerade har rätt att kräva att Studentexamensnämnden utan onödigt dröjsmål rättar inexakta, föråldrade, bristfälliga eller på annat sätt felaktiga personuppgifter (artikel 16 i dataskyddsförordningen). Nämnden vidtar åtgärder efter att en begäran om rättelse mottagits. Om nämnden upptäcker fel i behandlade personuppgifter rättas de även utan att den registrerade begärt det.

Den registrerade kan inte kräva radering av sina personuppgifter så länge behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller när behandlingen sker för att fullgöra en uppgift av allmänt intresse eller utövande av offentlig makt som den personuppgiftsansvarige har (artikel 17.3 b i dataskyddsförordningen).

Den registrerade kan begära begränsning av behandlingen av sina personuppgifter (artikel 18 i dataskyddsförordningen). Rätten att begränsa behandling kan dock endast tillämpas i den utsträckning det inte hindrar den personuppgiftsansvarige från att uppfylla lagstadgade skyldigheter.

Den registrerade har inte rätt att invända mot behandlingen av sina personuppgifter, eftersom behandlingen grundar sig på lagstadgade skyldigheter för den personuppgiftsansvarige och på utövande av offentlig makt (artikel 21 i dataskyddsförordningen). Rätten att invända kan endast tillämpas på behandling som inte grundar sig på lag.

Den registrerade har rätt att få information om en personuppgiftsincident som rör hens uppgifter, om incidenten sannolikt innebär en hög risk för den registrerades rättigheter och friheter (artikel 34 i dataskyddsförordningen).

Varje registrerad har rätt att inge klagomål till tillsynsmyndigheten om hen anser att behandlingen av personuppgifter strider mot dataskyddsförordningen (artikel 77 i dataskyddsförordningen).

Uppgifterna i registret används inte för profilering och inget automatiserat beslutsfattande förekommer.