14 dages gratis

Prøveabonnement

- og meget mere...
x

Hej eLOV bruger,
Jeg er lov-uglen, og jeg vil nu guide dig igennem vores vigtigste features.
Skriv et paragrafnummer og tryk enter for at springe direkte til paragraffen Hold din mus henover en krydshenvisning for at se teksten der henvises til.
Hvis du klikker på krydshenvisningen, flyttes tekstboksen ud til højre, og du kan flytte rundt på den
Klik på taleboble-ikonet for at tilgå features til bestemmelsen. Du kan se forarbejderne til specifikke bestemmelser. Her kan du se, at § 2 er blevet ændret af 5 forskellige love og ændringslove. Du kan se teksten fra lovforslaget som fremsat, og teksten som vedtaget. Du kan se, hvordan ordlyden blev ændret under behandlingen af lovforslaget. Her ser du de specifikke bemærkninger til ændringen med lovgivers motiver. Du får dermed de vigtigste fortolkningsbidrag ved hånden. Du kan let finde bekendtgørelserne der, hvor de hjemles. Med vores backlinks har vi fundet de bestemmelser, der linker til den bestemmelse, du læser. Her kan du se en video med præsentation af flere features.
Du kan også købe abonnement, så du får adgang til alle features.

0 / -
næste
slå fra

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Den konsoliderede version af denne bekendtgørelsen bygger på bekendtgørelse nr. 1104 af 08. november 2019, og er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

I medfør af § 15 e, stk. 4, i lov om kommunal indsats for unge under 25 år, jf. lovbekendtgørelse nr. 825 af 16. august 2019, og efter forhandling med Kommunernes Landsforening fastsættes:

Der er ingen senere ændringer til denne bekendtgørelse.
Vi har kontrolleret for ændringer den 06. juni 2020

  • Ændringsbekendtgørelsen er implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er delvist implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er endnu ikke implementeret i den konsoliderede bekendtgørelse

§1 Anvendelsesområde
Bekendtgørelsen finder anvendelse ved behandling af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse. Behandlingen af oplysninger sker her til brug for den kommunale ungeindsats, herunder udarbejdelse af og opfølgning på den enkelte unges uddannelsesplan eller uddannelsespålæg, og den arbejdsmarkedsrettede indsats i henhold til kapitel 4 b i bekendtgørelse af lov om kommunal indsats for unge under 25 år.

§2 Dataansvar
Styrelsen for It og Læring stiller som databehandler det fælles datagrundlag for unges uddannelse og beskæftigelse til rådighed for kommunerne, der beskæftiger sig med uddannelses- og arbejdsmarkedsrettede forhold. Styrelsen behandler kun personoplysningerne i det fælles datagrundlag til formål omfattet af § 1.

Stk. 2 Kommunalbestyrelsen er dataansvarlig for behandlingen af de personoplysninger i det fælles datagrundlag, som er indlæst af kommunen vedrørende de personer, der registreres som led i kommunens ungeindsats, jf. § 1.

Stk. 3 Styrelsen for It og Læring og kommunalbestyrelsen er som henholdsvis databehandler og dataansvarlig hver især underlagt de opgaver og ansvar, der følger af databeskyttelsesforordningens generelle regler med de præciseringer, der følger af bekendtgørelsen.

Stk. 4 Bekendtgørelsen er det retligt bindende dokument i medfør af databeskyttelsesforordningens artikel 28, stk. 3, som regulerer Styrelsen for It og Lærings behandling af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse på vegne af den dataansvarlige kommunalbestyrelse til den dataansvarliges formål.

§3 Databehandling på vegne af den dataansvarlige
Styrelsen for It og Læring har ansvaret for at udføre drift, support, vedligeholdelse og udvikling af det fælles datagrundlag for unges uddannelse og beskæftigelse. Styrelsen for It og Læring behandler i den sammenhæng kun personoplysninger ved at stille de indlæste oplysninger i det fælles datagrundlag til rådighed for den kommunale ungeindsats mv. i overensstemmelse med reglerne herom i kapitel 4 b i bekendtgørelse af lov om kommunal indsats for unge under 25 år. Styrelsen for It og Lærings behandling af personoplysninger består af indsamling og opbevaring af persondata i det fælles datagrundlag og behandlingen sker alene efter dokumenteret instruks fra den dataansvarlige kommunalbestyrelse.

Stk. 2 Styrelsen for It og Læring behandler i det fælles datagrundlag oplysninger på individniveau om unge op til 25 år, der er nødvendige for tilrettelæggelsen af den kommunale ungeindsats efter den uddannelses- og arbejdsmarkedsrettede lovgivning. Oplysninger om den unges uddannelsesstatus, uddannelsespålæg, højst afsluttede uddannelse og planer samt mål for indsatser, uddannelse og job kan dog indgå i det fælles datagrundlag for unge op til 30 år, når det er nødvendigt for en fortsat arbejdsmarkedsrettet indsats.

Stk. 3 Styrelsen for It og Læring behandler personoplysninger om uddannelsesparathedsvurdering af unge efter 9. og 10. klasse, optagelse på en uddannelse, resultatet af optagelsesprøver til gymnasiale uddannelser og erhvervsuddannelser, afbrud og afbrudsårsagskoder, gennemførelse af uddannelse, risiko for frafald, jobcenterinitierede aktiviteter, uddannelsespålæg, job- og uddannelsesønsker, kontaktoplysninger (navn, telefonnummer og e-mail-adresse) på tildelt kontaktperson, oplysninger om beskæftigelse ud fra indkomstoplysninger (deltid, fuldtid og offentlig forsørgelse) samt oplysninger om unges CPR-nummer med henblik på en entydig identifikation. Styrelsen for It og Læring behandler i den sammenhæng alene almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og databeskyttelseslovens § 11. Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9.

Stk. 4 Styrelsen for It og Lærings behandling af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse er ikke tidsbegrænset og varer indtil bekendtgørelsen ophæves.

Stk. 5 Styrelsen for It og Læring underretter den dataansvarlige kommunalbestyrelse, hvis en instruks fra kommunalbestyrelsen efter styrelsens mening er i strid med databeskyttelsesforordningen, databeskyttelsesloven eller andre bestemmelser om databeskyttelse i EU-retten eller national ret.

§4 Sletning af personoplysninger
Styrelsen for It og Læring sletter senest personoplysninger i det fælles datagrundlag om de registrerede, når den registrerede fylder 30 år, jf. dog stk. 2 og 3.

Stk. 2 Oplysninger om den registreredes optagelsesprøver slettes 2 år efter seneste indlæsning eller når den unge fylder 25 år.

Stk. 3 Oplysninger om den registreredes uddannelsesparathedsvurdering slettes 2 år efter seneste indlæsning.

§5 Autorisationer og adgangsstyring
Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i det fælles datagrundlag. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber.

§6 Fortrolighed
Styrelsen for It og Læring sikrer, at de i § 5 omfattede personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

§7 Behandlingssikkerhed
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandt andet, alt efter hvad der er relevant, kryptering og logning.

Stk. 2 Fastsættelsen af de i stk. 1 omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

Stk. 3 Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

  • 1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer jf. § 5.

  • 2) Styrelsen instruerer de efter § 5 autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

  • 3) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.

  • 4) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.

Stk. 4 Den dataansvarlige kommunalbestyrelse er ansvarlig for at gennemføre egne relevante organisatoriske og tekniske sikkerhedsforanstaltninger, som knytter sig til den dataansvarliges anvendelse af systemet.

§8 Anmeldelser af brud på persondatasikkerhed til Datatilsynet
Den dataansvarlige kommunalbestyrelse er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes den dataansvarliges egen anvendelse af det fælles datagrundlag for unges uddannelse og beskæftigelse. Den dataansvarlige underretter i dette tilfælde de registrerede om bruddet på datasikkerheden i overensstemmelse med kravene herom i databeskyttelsesforordningens artikel 34.

Stk. 2 Hvis den dataansvarlige efter stk. 1 er ansvarlig for at foretage anmeldelse til Datatilsynet, men den dataansvarlige ikke selv har opdaget bruddet på persondatasikkerheden, underretter Styrelsen for It og Læring den dataansvarlige om sikkerhedsbruddet uden unødig forsinkelse og senest 48 timer efter, at hændelsen er kommet til styrelsens kendskab, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til Datatilsynet indenfor 72 timer.

Stk. 3 Hvis den dataansvarlige efter stk. 1 er ansvarlig for at foretage anmeldelse af brud på persondatasikkerheden til Datatilsynet, bistår Styrelsen for It og Læring under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for styrelsen, den dataansvarlige med at foretage anmeldelsen af bruddet uden unødig forsinkelse og om muligt senest inden for 72 timer. Styrelsen yder vejledning og bistand i forbindelse med tilvejebringelse af de oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til Datatilsynet. Styrelsen yder vejledning og bistand i forbindelse med tilvejebringelse af de oplysninger, som efter databeskyttelsesforordningens artikel 34, stk. 2, skal fremgå af den dataansvarliges underretning til den registrerede i de tilfælde, hvor den dataansvarlige har underretningspligt til Datatilsynet ved et sikkerhedsbrud.

Stk. 4 Styrelsen for It og Læring kan anmelde brud på persondatasikkerheden til Datatilsynet senest 72 timer efter hændelsen er kommet til styrelsens kendskab i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, hvis bruddet på persondatasikkerheden ikke skyldes den dataansvarliges egen anvendelse af systemet. Styrelsen underretter den dataansvarlige om anmeldelse til Datatilsynet senest samtidig med anmeldelsen til Datatilsynet.

§9 Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
Styrelsen for It og Læring iagttager på vegne af den dataansvarlige kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse af personoplysninger, der behandles i det fælles datagrundlag for unges uddannelse og beskæftigelse. Styrelsen foretager forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Stk. 2 Styrelsen for It og Læring iagttager på vegne af den dataansvarlige kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden om visse behandlinger af personoplysninger og konsekvensanalyser, når kravet om høring finder anvendelse.

§10 Bistand med iagttagelse af registreredes rettigheder
Styrelsen for It og Læring bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, som er fastlagt i databeskyttelsesforordningens kapitel 3 og som omfatter:

  • 1) Oplysningspligten ved indsamling af personoplysninger hos den registrerede, jf. artikel 13.

  • 2) Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14.

  • 3) Den registreredes indsigtsret, jf. artikel 15.

  • 4) Retten til berigtigelse, jf. artikel 16.

  • 5) Retten til sletning (»retten til at blive glemt«), jf. artikel 17.

  • 6) Retten til begrænsning af behandling, jf. artikel 18.

  • 7) Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 19.

  • 8) Retten til indsigelse, jf. artikel 21.

Stk. 2 Den enkelte dataansvarlige kommunalbestyrelse er ansvarlig for indlæsning af kommunens egne personoplysninger og for behandlingen af anmodninger eller henvendelser fra de registrerede om de forhold, der er nævnt i stk. 1.

Stk. 3 Hvis Styrelsen for It og Læring modtager en anmodning eller henvendelse fra en registreret person om forhold, der er nævnt i stk. 1, og som vedrører behandling af personoplysninger hos den dataansvarlige kommunalbestyrelse, sender styrelsen henvendelsen til besvarelse hos den dataansvarlige kommunalbestyrelse snarest muligt.

§11 Tilsyn og revision
Styrelsen for It og Læring stiller alle oplysninger, der er relevante og nødvendige for at påvise overholdelse af kravene i bekendtgørelsen, til rådighed for den dataansvarlige kommunalbestyrelse.

§12 Overførsler af personoplysninger til tredjelande eller internationale organisationer
Styrelsen for It og Læring må alene overføre personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse til tredjelande eller internationale organisationer efter dokumenteret instruks fra den dataansvarlige kommunalbestyrelse, jf. § 3, stk. 1.

Stk. 2 Styrelsen for It og Læring har generel godkendelse til at overføre personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse til tredjelande eller internationale organisationer i tilfælde af at overførslen er nødvendig i henhold til udførelse af styrelsens brug af underdatabehandler i medfør af § 13.

Stk. 3 Ved overførsler omfattet af stk. 1 er den dataansvarlige er ansvarlig for at sikre, at der foreligger et gyldigt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel 5. Ved overførsler omfattet af stk. 2 er Styrelsen for It og Læring ansvarlig for at sikre, at der foreligger et gyldigt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel 5.

§13 Styrelsens eventuelle underdatabehandlere
Styrelsen for It og Læring har generel godkendelse til at anvende underdatabehandlere til udførelse af de i § 3, stk. 1 nævnte opgaver eller dele heraf. Det er dog en forudsætning, at styrelsen har pålagt underdatabehandleren tilstrækkelige databeskyttelsesforpligtelser gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret.

Stk. 2 Styrelsen for It og Læring fører tilsyn med underdatabehandlerens overholdelse af sine databeskyttelsesforpligtelser som fastsat i kontrakten eller det andet retligt bindende dokument i henhold til EU-retten eller medlemsstaternes nationale ret som nævnt i stk. 1. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser over for styrelsen, er den dataansvarlige kommunalbestyrelse ikke ansvarlig herfor.

Stk. 3 Styrelsen for It og Læring underretter den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af styrelsens underdatabehandlere og giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

§14 Orientering af den anden part
Styrelsen for It og Læring og den dataansvarlige kommunalbestyrelse orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og systemer, der er omfattet af denne bekendtgørelse.

§15 Fortegnelse
Styrelsen for It og Læring udarbejder en fortegnelse over styrelsens behandlingsaktiviteter i det fælles datagrundlag for unges uddannelse og beskæftigelse i overensstemmelse med databeskyttelsesforordningens artikel 30. Styrelsen offentliggør og opdaterer løbende fortegnelsen på viden.stil.dk.

§16 Ikrafttræden
Bekendtgørelsen træder i kraft den 10. november 2019.

profile photo
Profilside