Dataskyddsbeskrivning för studentexamensregistret

Uppdaterad

Lagreferensser:

  • Lag om studentexamen (502/2019)
  • Lag om nationella studie- och examensregister (884/2017)
  • Lag om offentlighet i myndigheternas verksamhet (621/1999)
  • EU:s allmänna dataskyddsförordning (GDPR2016/679)

1. REGISTERBENÄMNING

Studentexamensregistret

2. PERSONUPPGIFTSANSVARIG

Studentexamensnämnden

Hakaniemenranta 6, 00530 Helsingfors

Telefon (växel): 0295 338 200

E-post: lautakunta@ylioppilastutkinto.fi

Dataskyddsombud

E-post: tietosuoja@oph.fi

Telefon (växel): 029 533 1000

3. ÄNDAMÅL OCH RÄTTSLIG GRUND FÖR BEHANDLINGEN AV PERSONUPPGIFTER

Studentexamensregistret förs och används för att ordna studentexamen, för att bevara uppgifter om avlagda examina och de prov som ingår i dessa, samt för att följa upp studentexamens funktionalitet (L 884/2017, 12 §).

Den rättsliga grunden för behandlingen av personuppgifter är att den personuppgiftsansvarige behöver uppfylla en rättslig förpliktelse (GDPR 2016/679, artikel 6.1 c).

Därutöver kan uppgifter behandlas för arkivändamål av allmänt intresse samt för vetenskapliga, historiska eller statistiska ändamål (GDPR 2016/679, artikel 6.1 e).

Studentexamensnämnden har av tvingande skäl som rör ett viktigt allmänt intresse rätt att behandla särskilda kategorier av personuppgifter (GDPR 2016/679, artikel 9.2 g), för att:

  • möjliggöra att en examinand som på grund av sjukdom, funktionsnedsättning, särskilda läs- eller skrivsvårigheter, främmande språk som modersmål eller annan jämförbar orsak inte kan avlägga prov på samma sätt som andra examinander får avlägga provet på ett avvikande sätt (L 502/2019, 9 §)
  • beakta i bedömningen om en examinandens provprestation har försämrats på grund av sjukdom, funktionsnedsättning eller annan jämförbar tvingande orsak och särskilda arrangemang inte kan anses tillräckliga för att trygga jämlika förutsättningar (L 502/2019, 18 §)
  • godkänna en försenad anmälan till examen av särskilt vägande skäl såsom sjukdom eller därmed jämförbar orsak (L 502/2019, 8 §)
  • på ansökan ogiltigförklara en anmälan till ett prov av särskilt vägande skäl såsom sjukdom, studier eller arbete utomlands (L 502/2019, 8 §)
  • möjliggöra fortsatt avläggande av examen efter att examinandens maximala tid passerat, om hinder såsom sjukdom, heltidsstudier utomlands eller annan jämförbar orsak förelegat (L 502/2019, 13 §).

4. KATEGORIER AV REGISTRERADE

Examinander i studentexamen.

5. PERSONUPPGIFTSBITRÄDEN

  • Av rektor utsedda lärare som utför preliminär bedömning samt personer utsedda att genomföra studentexamen
  • Studentexamensnämndens censorer och tjänstemän
  • Tekniska administratörer av registret

Samtliga biträden behandlar uppgifter för den personuppgiftsansvariges räkning och omfattas av sekretess.

6. REGISTERINNEHÅLL

I registret lagras de uppgifter som anges i lag (L 884/2017, 14 §):

  • namn, personbeteckning, elevnummer, kön, modersmål samt utbildningsuppgifter som krävs för att delta i och beviljas studentexamen
  • uppgift om examenstillfällets avgiftsfria provval, om examinanden anmäler sig till flera prov vid samma tillfälle och inte alla är avgiftsfria
  • provprestationer, bedömningsanteckningar, vitsord och poäng
  • tidpunkt för avläggande eller underkännande, omtagna prov och komplettering av examen.

Registret kan dessutom innehålla övriga examensspecifika uppgifter som är nödvändiga med hänsyn till ändamålet (L 884/2017, 14 §).

Examinandens provprestationer är sekretessbelagda myndighetshandlingar (L 621/1999, 24 § 1 mom. 30 punkten).

Pappersbaserade provprestationer lagras inte i registret (L 884/2017, 32 § 7 mom.).

Dokument som visar arbetsfördelningen mellan bedömare vid läroanstalter är sekretessbelagda i ett år från examenstillfället (L 621/1999, 24 § 1 mom. 30 punkten).

Studentexamensprov övervakas tekniskt. Övervakningen genererar uppgifter om examinandens och dennes dators beteende under provet. Endast uppgifter relevanta för att upptäcka fusk samlas in. Dessa uppgifter är sekretessbelagda (L 621/1999, 11 §, 24 § 7 och 30 punkten).

Logguppgifter och användarförvaltningsuppgifter uppstår vid användningen av registret och kan användas vid övervakning och felsökning.

Uppgifterna i registret bevaras permanent (L 884/2017, 16 §). Uppgift om val av avgiftsfria prov bevaras dock i fem år efter att rätten till avgiftsfri utbildning enligt läropliktslagen (1214/2020, 16 §) upphört.

Uppgifter kan raderas om de inte längre anses nödvändiga för ändamålet.

7. REGELMÄSSIGA KÄLLOR

Utbildningsanordnaren ska på begäran lämna Studentexamensnämnden de uppgifter som behövs för att ordna och verkställa studentexamen (L 502/2019, 24 §). Studentexamensnämndens allmänna föreskrifter och anvisningar anger vilka uppgifter som ska tillhandahållas.

Examinanderna producerar provprestationer som överlämnas till Studentexamensnämnden för bedömning.

Via tjänsten för utlämnande av studie- och examensuppgifter (L 884/2017, kapitel 6) får Studentexamensnämnden från Utbildningsstyrelsen:

  • från läropliktsregistret: uppgiften om examinanden har rätt till avgiftsfri utbildning (L 884/2017, kapitel 2 a), och
  • från det nationella informationsresursen för undervisning och utbildning: uppgifter om examinanden, uppgifter om godkänt avlagd gymnasieutbildning eller annan utbildning eller examen som krävs för studentexamen, samt uppgift om avgiftsfri studierätt (L 884/2017, kapitel 2).

Från befolkningsdatasystemet inhämtas uppgift om examinandens namn och modersmål.

8. REGELMÄSSIGA ÖVERLÅTELSER AV UPPGIFTER

Vid utlämnande av personuppgifter ur studentexamensregistret tillämpas bestämmelserna i lagen om offentlighet i myndigheternas verksamhet (Dataskyddslag 1050/2018, 28 §).

Studentexamensnämnden lämnar ut examensresultaten efter att de färdigställts till samtliga gymnasier samtidigt. Examensbetyget och intyget över avlagda prov överlämnas till det gymnasium där examinanden har anmält sig till studentexamen.

Studentexamensresultaten och den bedömda provprestationen lämnas ut till examinanden och till vårdnadshavaren för en examinand under 18 år via Utbildningsstyrelsens tjänst Studieinfo (Opintopolku) (L 502/2019, 18 §).

Studentexamensnämnden överför till läropliktsregistret (L 884/2017, kapitel 2 a) de uppgifter som är nödvändiga för att fastställa läroplikten och rätten till avgiftsfri utbildning.

Studentexamensnämnden lämnar vidare ut till antagningsregistret (L 884/2017, kapitel 4) de uppgifter som är nödvändiga vid antagning av studerande till sådana studier som leder till lägre och högre högskoleexamina enligt universitetslagen, samt till yrkeshögskoleexamina och högre yrkeshögskoleexamina enligt yrkeshögskolelagen. Uppgifter kan även lämnas ut, enligt universitetets eller yrkeshögskolans bedömning, för annan utbildning som anordnas av högskolan.

Studentexamensnämnden lämnar ut från registret, trots sekretessbestämmelserna, till Statistikcentralen de personuppgifter som är nödvändiga för framställning av statistik och som beskriver en persons utbildning (Statistiklagen 280/2004, 15 § punkt 5).

9. ÖVERFÖRING TILL TREDJE LAND

Uppgifter överförs inte utanför EU eller EES.

10. PRINCIPER FÖR SKYDD AV REGISTRET

Registret skyddas genom lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 32 i dataskyddsförordningen.

A) Manuellt material

Manuellt material förvaras i utrymmen med övervakad åtkomst. All manuell hantering av uppgifter sker under kontrollerade former.

B) Elektroniskt material

Uppgifterna på provlokalens server under studentexamensprovet skyddas med lösenord. Examinandens inloggning till servern i provlokalen och hens aktivitet under provet loggas för utveckling av systemet.

Uppgifterna som behandlas i gymnasiernas examensservicetjänst skyddas genom stark autentisering. Efter provet överförs uppgifterna (examinandens personuppgifter och provprestationer) från provlokalens server till examensservicetjänsten med hjälp av en stark asymmetrisk krypteringsalgoritm. Inloggningar i tjänsten och aktivitet i tjänsten loggas för att säkerställa efterlevnaden av användarvillkoren och för att utveckla systemet.

Alla användarkonton för Studentexamensnämndens tjänstemän är personliga och rollbaserade, och rollerna definierar vilka uppgifter och funktioner användaren har åtkomst till i registret. Enskilda användares inloggningar och misslyckade inloggningsförsök kan vid behov utredas i efterhand. All åtkomst till och ändring av uppgifter loggas.

Logguppgifterna i registret är skyddade mot ändringar och åtkomsten till dessa är begränsad. Personbeteckningar i registret är krypterade.

Användarnas anslutningar till registret och dataöverföringen till Utbildningsstyrelsens datasystem (se punkt 7) är krypterade.

Säkerhetskopior av registret är skyddade. Produktionsmiljön för registret använder automatiserad distribution av säkerhetsuppdateringar.

11. DEN REGISTRERADES RÄTTIGHETER

Den registrerade har rätt att få veta om personuppgifter som rör hen behandlas eller inte (artikel 15.1 i dataskyddsförordningen).

Den registrerade har rätt att kräva att Studentexamensnämnden utan onödigt dröjsmål rättar inexakta, föråldrade, bristfälliga eller på annat sätt felaktiga personuppgifter (artikel 16 i dataskyddsförordningen). Nämnden vidtar åtgärder efter att en begäran om rättelse mottagits. Om nämnden upptäcker fel i behandlade personuppgifter rättas de även utan att den registrerade begärt det.

Den registrerade kan inte kräva radering av sina personuppgifter så länge behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller när behandlingen sker för att fullgöra en uppgift av allmänt intresse eller utövande av offentlig makt som den personuppgiftsansvarige har (artikel 17.3 b i dataskyddsförordningen).

Den registrerade kan begära begränsning av behandlingen av sina personuppgifter (artikel 18 i dataskyddsförordningen). Rätten att begränsa behandling kan dock endast tillämpas i den utsträckning det inte hindrar den personuppgiftsansvarige från att uppfylla lagstadgade skyldigheter.

Den registrerade har inte rätt att invända mot behandlingen av sina personuppgifter, eftersom behandlingen grundar sig på lagstadgade skyldigheter för den personuppgiftsansvarige och på utövande av offentlig makt (artikel 21 i dataskyddsförordningen). Rätten att invända kan endast tillämpas på behandling som inte grundar sig på lag.

I tjänsten Studieinfo (Opintopolku) ges examinanden och vårdnadshavaren till en minderårig examinand möjlighet att ta del av den bedömda skriftliga eller på annat sätt sparade provprestationen (L 502/2019, 18 §).

Rättelse av Studentexamensnämndens beslut om bedömning av en provprestation får begäras i enlighet med förvaltningslagen. Begäran om rättelse ska lämnas in till Studentexamensnämnden inom 14 dagar från den tidpunkt då den som har rätt att begära rättelse haft möjlighet att få kännedom om bedömningen och om hur bedömningsgrunderna har tillämpats på examinanden (L 502/2019, 22 §).

Den registrerade har rätt att få information om en personuppgiftsincident som rör hens uppgifter, om incidenten sannolikt innebär en hög risk för den registrerades rättigheter och friheter (artikel 34 i dataskyddsförordningen).

Varje registrerad har rätt att inge klagomål till tillsynsmyndigheten om hen anser att behandlingen av personuppgifter strider mot dataskyddsförordningen (artikel 77 i dataskyddsförordningen).

12. AUTOMATISERAT BESLUTSFATTANDE OCH PROFILERING

Uppgifterna i registret används inte för profilering och inget automatiserat beslutsfattande förekommer. Tekniska övervakningsuppgifter används enbart för upptäckt av fusk och genererar inga automatiserade beslut.