För dig som förmedlar våra utbildningar

Vi värnar om personlig integritet och dataskydd. Den 25 maj börjar den nya dataskyddslagen, GDPR (General Data Protection Regulation), gälla inom EU och därmed även i Sverige. Här listar vi värdefull information för dig som förmedlar våra utbildningar, till exempel Arbetsförmedlingen och kommuner.

För Lernia är det viktigt att du som kund känner dig trygg med hur vi behandlar dina personuppgifter och att vi säkerställer dataskydd för personuppgifter i de tjänster vi levererar till dig. Lernia behandlar inom ramen för våra dotterbolag/divisioners respektive verksamheter en stor mängd personuppgifter vilket är en naturlig följd av våra tjänsters karaktär.

Personuppgiftsbehandling förekommer i alla våra tjänster såsom vuxenutbildning, rekrytering, uthyrning av personal, karriärväxling och omställning. Reglerna skiljer sig lite mellan utbildningstjänster och bemanning. Denna information syftar primärt till att beskriva personuppgiftsbehandling inom våra vuxenutbildningstjänster.

Lernias GDPR-arbete

Lernia har sedan en lång tid arbetat intensivt med att anpassa vår verksamhet efter gällande Dataskyddslagstiftning. Det handlar om införande av en modern dataskyddsorganisation och processer och rutiner för de medarbetare som hanterar personuppgifter. Lernia gör också vissa systemanpassningar för att möta krav på hög säkerhet och för att möjliggöra effektiv hantering av behörighetsfrågor, gallringar, återkoppling till registrerade m.m. Ytterligare utvecklingsinsatser är planerade under våren och hösten för att ge bättre tekniskt och automatiserat stöd i vissa behandlingar, exempelvis delning av dokument innehållande personuppgifter.

Alla Lernias medarbetare har fått grundläggande utbildning om de nya reglerna för personuppgiftshantering och utbildas löpande i förändrade processer och rutiner avseende det dagliga arbetet. Vidare har Lernia har en dataskyddsorganisation med dataskyddsombud, dataskyddsansvarig och dataskyddskommitté. Rutiner finns för hantering av dataskyddsincidenter, dokumentation och eskalering av förfrågningar avseende individernas rättigheter. Lernias Dataskyddsombud kan nås via dpo@lernia.se.

Personuppgiftsbiträdesavtal upprättas med alla leverantörer som på något sätt behandlar personuppgifter åt någon av koncernens verksamheter. Lernias register för lagring av personuppgifter finns i huvudsak i Sverige. I den mån lagring i annat land förekommer finns dessa inom EES-området eller har ett Safe Harbour-avtal, Privacy Shield-överenskommelse eller liknande.

Inom Lernias vuxenutbildning har vi flera kategorier av kunder. Våra största utbildningskunder är Arbetsförmedlingen och Sveriges kommuner. Bland Lernias kunder finns även företag och andra organisationer samt egenföretagare och privatpersoner som själva beställer och betalar sin utbildning. Till stora delar är reglerna för personuppgiftsbehandling lika för deltagare från dessa kundgrupper. På marginalen kan olika regler finnas.

Behandling av personuppgifter

För att du som skickar deltagare till utbildningar hos Lernia ska känna dig trygg med hur Lernia behandlar deltagarnas och dina personuppgifter beskriver vi nedan hur Lernia tänker kring skydd av personuppgifter. Som en extra service finns även informationen översatt på fem språk för inskrivna deltagare.

Deltagare i utbildning

Vid behandling av den enskilde deltagarens personuppgifter försöker vi som utbildningsanordnare att hålla balansen mellan deltagarens rätt till integritet och vår möjlighet att ge det bästa stödet. De flesta uppgifter vi behandlar om deltagare är enkla, det handlar om namn, adress och kontaktuppgifter. Det förekommer också att vi behandlar uppgifter som kan vara känsliga, se vidare längre ner i denna text.

Personuppgiftsansvarig och/eller personuppgiftsbiträde?

Beroende på omständigheterna kan Lernia inta rollen som personuppgiftsansvarig eller som personuppgiftsbiträde åt er som kund. Olika regler gäller beroende på vilken roll Lernia har.

När Lernia genomför utbildning och behandlar deltagarnas personuppgifter i kundens IT-system(register) är det ni som kund som bestämmer ändamålen och medlen med behandlingen och Lernia är då ert personuppgiftsbiträde. För sådana situationer behöver ett personuppgiftsbiträdesavtal upprättas, antingen som ett självständigt dokument, eller som en bilaga till huvudavtalet med er som kund.

När Lernia behandlar deltagares personuppgifter i eget IT-system (register) och bestämmer ändamålen och medlen med behandlingen är Lernia personuppgiftsansvarig. Lernia är då den som avgör varför en viss behandling ska ske och har möjlighet att påverka hur behandlingen ska utföras.

Lernia menar att den vanligaste situationen vid genomförande av utbildning är att såväl Lernia som kunden har ett eget IT-system (register) med uppgifter om deltagarna. Lernia och kunden är då båda personuppgiftsansvariga för den behandling som sker i det egna IT-systemet (registret). I den mån Lernias medarbetare har tillgång till kundens system är Lernia i denna egenskap personuppgiftsbiträde åt kunden och ett biträdesavtal behövs för att reglera den behandling Lernia gör i kundens system.

Ändamål för behandling av deltagares personuppgifter

Generellt för alla personuppgifter om deltagare som Lernia inhämtar gäller att de ska användas för elev-/deltagaradministrativa ändamål, dvs. för att kunna planera, genomföra och följa upp utbildning i enlighet med skollagen, lagen om yrkeshögskolan, Skolverkets föreskrifter om utbildning, läroplaner, kursplaner och andra av myndigheter beslutade styrande dokument för utbildning.

Vilka personuppgifter behandlas?

Personuppgifterna kan förekomma i många former, t.ex. skriftligen, muntligen, som bild, film- eller ljudinspelning.

Det måste t.ex. gå att skapa scheman och lektionspass samt veta vilka som går utbildningen. Personuppgifterna kan behövas för det dagliga pedagogiska och administrativa arbetet för lärarna, t.ex. provscheman, planeringar, nyheter, deltagares inlämningar av uppgifter m.m.

Personuppgifter kan även komma att behandlas automatiskt i undervisningen t.ex. via en lärplattform eller via e-post. Personuppgiftsbehandling kan också komma att ske för att deltagarna ska kunna få ett konto i Lernias IT-miljö, tillgång till en dator e. dyl. för att deltagarna ska kunna skriva skolarbeten eller leta efter information på internet. Lernia behandlar även Deltagarnas personuppgifter för resultatuppföljningar som görs inom ramen för kundens systematiska kvalitetsarbete eller genom nationell uppföljning och utvärdering.

Behandling av känsliga personuppgifter i utbildningsverksamheten

Lernia hanterar även känsliga personuppgifter om deltagare i utbildning. Det sker bl.a. i enlighet med den (kommande) särlagstiftning om detta som gäller i stället för dataskyddsförordningen.

Behandlingen sker endast om den är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet eller, i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. 

Lagliga grunder för behandling inom utbildningsverksamheten

Vår bedömning är att merparten av de personuppgifter om deltagare som Lernia använder får behandlas utan samtycke på följande lagliga grunder. Det gäller bl.a. för att vi ska kunna utföra utbildningen i enlighet med gällande bestämmelser, främst Skollagen samt förordningar och föreskrifter som utgår från Skollagen. På motsvarande sätt att utföra utbildningen i enlighet med tillämpliga bestämmelser när Lernia utför uppdragsutbildning åt andra myndigheter, arbetsmarknadsutbildning etc. Men även för att Lernia ska kunna fullgöra sina skyldigheter enligt rättsregler om redovisning och skatter. Lernia har dessutom ett starkt intresse av att behandla personuppgifterna.

De lagliga grunderna för Lernias behandling av personuppgifter inom utbildningsverksamheten är:

  • Utförande av uppgift av allmänt intresse
  • Utförande av ett led i myndighetsutövning
  • Rättslig förpliktelse
  • Intresseavvägning
  • Samtycke

Beskrivning av de lagliga grunderna hittar du på Information om personuppgiftsbehandling för deltagare.

Behandling av kundkontakters personuppgifter

Lernia behandlar sedvanliga uppgifter om kunders kontaktpersoner. Ändamålet med behandlingen är att kunna upprätthålla kundrelationer och den lagliga grunden är intresseavvägning.

Uppgifterna lagras under den tid Lernia bedömer att uppgifterna är nödvändiga för att upprätthålla relationen med kunden. Radering sker när Lernia får kännedom om att uppgifterna inte längre är adekvata eller relevanta för ändamålet, eller på begäran av kontaktpersonerna.

Har du ytterligare frågor är du alltid välkommen att kontakta din kontaktperson hos Lernia eller vårt dataskyddsombud som nås via dpo@lernia.se.

Dela gärna