Dataskyddsbeskrivning, behandling av personuppgifter inom den grundläggande utbildningen

Publicerad 1.8.2024 (Uppdaterad 5.8.2025)

Personuppgiftsansvarig är Esbo stad.

Direktören för den finska grundläggande utbildningen Juha Nurmi

Direktören för Svenska bildningstjänster Barbro Högström

E-postadress: fornamn.efternamn@esbo.fi

Telefon: +358 9 81621 (växel)

Rektorerna/skolföreståndarna ansvarar i sina skolor för åligganden som gäller registret. Den registrerade kan vända sig till rektorn/skolföreståndaren för att få närmare uppgifter om registret eller sina rättigheter.

E-postadress: fornamn.efternamn@esbo.fi

Telefon: +358 9 81621 (växel)

Esbo stads dataskyddsombud Helena Niemi

Plats: PB 12, 02070 Esbo stad

Telefon: +358 9 81621 (växel)

E-postadress: tietosuoja@espoo.fi

• Ordnande av undervisning och skötande av uppgifter som anknyter till elevförhållandet
• Utvärdering av undervisningen och sammanställning av statistik för Esbo stads bruk. Vid statistikföring behandlas uppgifterna utan identifikationer
• Utlämnande av lagstadgade uppgifter om de olika skolornas elevantal till statens datainsamling

Inom undervisningsväsendet används följande stadsomfattande system och digitala miljöer där personuppgifter som gäller elever och eventuellt vårdnadshavare behandlas:

• skoladministrationssystemen Primus och Kurre (inklusive Wilma, som är ett webbaserat användargränssnitt för Primus och Kurre)
• arbetsmiljön Google Workspace for Education (inklusive bland annat Classroom, Meet, Forms)
• arbetsmiljön Microsoft M365 (inklusive bland annat Teams, OneDrive, Forms)
• skolbibliotekssystemet Axiell Aurora
• digitala läromedel Edustore
• ruttplaneringsprogrammet ReittiGIS
• det digitala bedömningsverktyget Digilukiseula
• Lösningar i anslutning till produktion av IKT-tjänster (såsom hantering av it-apparater)

Nedan specificeras närmare för vilka ändamål personuppgifter som anknyter till ordnandet av undervisning behandlas i dessa system och miljöer.

Personuppgifter kan också behandlas i skolvisa applikationer som används i undervisningen. Den registrerade kan vända sig till rektorn/skolföreståndaren för registret för att få närmare uppgifter om registret eller sina rättigheter.

Det kan vara nödvändigt att för ordnande av grundläggande utbildning även behandla uppgifter utanför systemen/miljöerna, till exempel som stöd för elevbedömningen som läraren gör samt för beredning av beslut om skolskjuts, ordnande av skolmåltider (specialdieter), administrering av simundervisning i simhallar, ordnande av skolutflykter eller lägerskolor, genomförande av enkäter, behandling av material som gäller utvärdering av undervisningen, skötsel av uppgifter enligt läropliktslagen samt produktion av IKT-tjänster, såsom funktioner i anknytning till hantering av it-apparater.

Personuppgifter i registret kan också behandlas när det är nödvändigt för testning av datasystem, till exempel när anordnaren av undervisning tar i bruk ett nytt datasystem.

Primus, Kurre och Wilma

Primus och Kurre

• Anordnande av grundläggande utbildning och övervakning av fullgörandet av läroplikten (4 § och 26 § i lagen om grundläggande utbildning).
• Skötsel av uppgifter i anslutning till elevförhållandet.
• Skötsel av uppgifter enligt läropliktslagen 
• Genomförande av stöd för lärande och skolgång enligt 20 a § i lagen om grundläggande utbildning (bedömning och plan med bilagor)
• Webblanketten för hörande om stöd för lärande och skolgång inom finsk grundläggande utbildning
• Ordnande av skolskjutsar
• Skapande av en användaridentitet i e-tjänsterna inom studiemiljön (Microsoft M365, Google Workspace for Education)
• Producering av en tjänst för hantering av mobila enheter (Apple School Manager / Jamf School)
• Hantering av användarnamn för användargränssnittet Wilma
• På grundval av uppgifterna i Primus utlämnas skolvisa lagstadgade uppgifter om elevantal för statens datainsamling. (Lagen om finansiering av undervisnings- och kulturverksamhet, lagen om statsandel för kommunal basservice)
• Med uppgifter ur Primus produceras statistik för Esbo stads bruk. Vid statistikföring behandlas personuppgifterna utan identifikationer.
• Uppgifterna om elevernas ämnes- och kursval finns i Kurres läsordningsprogram för upprättande av läsordningar

Wilma (webbaserat användargränssnitt för skoladministrationssystemet Primus och Kurre)

Wilma kan användas för följande åtgärder:

• Registrering av frånvaro
• Elevbedömning
• Anmälan av nya skolelever
• Kursval och kursanmälningar
• Samarbete mellan skolan och hemmet
• Information (kommunikation med och meddelanden till vårdnadshavarna och meddelanden från vårdnadshavarna till skolan)
• Enkäter och informering om resultaten
• Iakttagelser om eleven och feedback om elevens skolgång (lektionsanteckningar)
• Val av skola med årskurs 7–9 och tillhörande uppgifter
• Delgivning av beslut som gäller en elev, om vårdnadshavaren gett sitt samtycke till detta.

Microsoft M365

• Anordnande av grundläggande utbildning (i M365 ingår e-verktyg och innehåll som användarna producerat)
• Hantering av användarrättigheterna i M365
• Möjliggörande av interaktion mellan användarna inom de egna grupperna
• Användning av en e-posttjänst

Google Workspace for Education

• Anordnande av grundläggande utbildning (i Google Workspace ingår e-verktyg och innehåll som användarna producerat)
• Hantering av användarrättigheterna i Google Workspace
• Möjliggörande av interaktion mellan användarna inom de egna grupperna
• Hantering av inställningarna i de apparater som ansluts till tjänsten och i de program och applikationer som används i apparaterna (till exempel Chrome, Classroom och Drive)

Skolbibliotekssystemet Axiell Aurora

• Genomförande av biblioteksverksamhet som stöder den grundläggande utbildningen (47 § i lagen om grundläggande utbildning)
• Systemet består av tre delar: ett bibliotekssystem, ett användargränssnitt för självbetjäning och ett webbibliotek. Studerandeuppgifterna finns i bibliotekssystemet, och användargränssnittet för självbetjäning och webbiblioteket Axiell Arena utnyttjar studerandeuppgifterna som förts in i systemet.

Digitala läromedel Edustore

• Upphandlingskanalen Edustore för anskaffning av digitala och tryckta läromedel samt tillhörande material och tillbehör.

ReittiGIS

• Ruttplaneringsprogrammet ReittiGIS är ett redskap för planering av elevupptagning, skolvägar och skolskjutsar.

Det digitala bedömningsverktyget DigiLukiseula

• DigiLukiseula är ett forskningsbaserat verktyg för identifiering av stödbehov, som används för bedömning av läs- och skrivförmågan. DigiLukiseula används i årskurs 1, 2, 4 och 7. Resultaten utnyttjas på elev-, grupp-, skol- och kommunnivå. På skol- och kommunnivå behandlas uppgifterna inte med fokus på enskilda elever, utan för att analysera resultaten på stadsnivå med tanke på behoven av att utveckla undervisningen.

Verktyg för produktion av IKT-tjänster

• Med tjänsten för hantering av it-apparater avses informationssäker hantering av arbetsstationer och mobila enheter i skolorna och hos eleverna. Detta innebär till exempel att eleverna använder den utrustning som de fått från skolan endast för inlärningsändamål. Samtidigt säkerställs att uppdateringar installeras och olika program distribueras på ett kontrollerat sätt till apparaterna.

   

• Utskriftstjänsten används för säker utskrift genom vilken eleverna kan skriva ut material på ett säkert och kontrollerat sätt. 

Artikel 6.1 c i EU:s allmänna dataskyddsförordning: behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, det vill säga för att ordna grundläggande utbildning enligt lagen om grundläggande utbildning och för att sköta uppgifter enligt läropliktslagen.

Särskilda kategorier av personuppgifter: Enligt 6 § i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Behandlingen av särskilda kategorier av personuppgifter beror på de uppgifter som enligt lagen om grundläggande utbildning eller läropliktslagen ankommer på utbildningsanordnaren. 

Behandlingen av personbeteckningen grundar sig på 29 § 1 mom. i dataskyddslagen. För skötseln av de lagstadgade uppgifterna är det viktigt att den registrerade och hens personuppgifter på ett entydigt sätt skiljs åt från de andra registrerade och deras personuppgifter.  

Hanterings- och loggregister för användarrättigheter

• Dataskyddsbeskrivning Azure AD hanterings- och loggregister

Primus, Kurre och Wilma

• Elevens namn, personbeteckning och kontaktuppgifter samt foto
• Elevens användarnamn på användargränssnittet Wilma och AD-användarnamn på elevnätet
• Vårdnadshavarnas namn, kontaktuppgifter och användarnamn på Wilma
• Uppgifter om elevens roll (grundskoleelev, elev i hemundervisning, ämnesstuderande, elev i sjukhusundervisning)
• Uppgifter om val av läroämnen och lärokurser
• Uppgifter om elevbedömning
• Beslut som gäller eleven
• Elevens skolgångshistoria
• Uppgifter om elevens invandring
• Uppgifter om skolskjutsar
• Uppgifter om elevens frånvaro
• Uppgifter om tillrättavisning av eleven och disciplinära åtgärder (till exempel fostrande samtal, kvarsittning)
• Andra uppgifter som anknyter till undervisning och ordnande av undervisning (till exempel S2-undervisning, stöd för lärande och skolgång, språkprogram, språkbadsundervisning och tvåspråkig undervisning, åskådningsämne)
• Elevens deltagande i eftermiddagsverksamheten, tjänsteproducent och verksamhetstid (heltid/deltid)
• Pedagogiska handlingar: bedömning och plan med bilagor
• Som särskilda kategorier av personuppgifter behandlas uppgifter om religiös eller filosofisk övertygelse samt eventuellt uppgifter om hälsa.

Microsoft M365

• Personens för- och efternamn
• Användarnamn
• E-postadress
• Studentnummer
• Krypterad unik identifikation
• Uppgifter om skolgången (undervisningsgrupper, skola, klass, läroanstaltsbeteckning)
• Uppgifter om den registrerades roll: personal/studerande
• IP-adress
• Innehåll som producerats av eller uppgifter som lagts till av eleven själv

Med innehåll som producerats av eleven och vårdnadshavaren själv avses bilder, texter, länkar, videofilmer och ljudfiler som förts in i systemet.

Användaren kan i tjänsten lägga till bland annat en beskrivning av sig själv och sitt ansvarsområde, mobiltelefonnummer, positionsinformation, uppgifter om sitt kunnande, födelsedatum samt andra intressen. Användaren kan välja om hen vill visa dessa uppgifter för alla eller endast för en begränsad grupp användare. Användaren har möjlighet, om hen så vill, att tillåta att det innehåll hen producerat får utnyttjas och få uppgifter om sitt nätverkande och sina närmaste kompisar.

Google Workspace for Education

• Elevens namn
• Användarkonto
• Skola
• Årsgrupper
• Krypterad unik identifikation
• Innehåll som producerats av eller uppgifter som lagts till av användaren själv

Administratören kan i tjänsten spara till exempel organisationens namn, webbplats, telefonnummer, adress och uppgift om att ett användarkonto har inaktiverats. Dessutom samlar Google in uppgifter hos användarna som baserar sig på den information som användaren själv matat in, bland annat telefonnummer, foto på användaren, födelsedatum, uppgifter om användarens apparater, bland annat modell, operativsystemets version, unik enhetsidentifierare och det mobilnät som använts, inklusive mobiltelefonnummer. Google kan koppla enhetsidentifieraren eller telefonnumret till ett Google-konto.

Skolbibliotekssystemet Axiell (Aurora)

• Identifikationsdel: Namn, skola, klass, e-postadress, användarnamn, bibliotekskortets nummer, utlåningsuppgifter, gruppens handledande lärare, PIN-kod/lösenord
• Pseudonymiserad del: Object ID som fungerar som en teknisk identifikation för kunden, men innehåller inte till exempel personbeteckning eller andra identifierande uppgifter.

Digitala läromedel Edustore

• Användarens namn
• Skolans namn
• Klass
• Krypterad unik identifikation
• E-postadress

ReittiGIS

• Ur befolkningsdata namn, personbeteckning, hemadress, modersmål och medborgarskap för personer i eller under läropliktsåldern
• Integration med Primus, från vilken eleverna kan visas på kartan. Då innehåller elevens uppgifter också information om hens skola.
• Elevernas individuellt mätta avstånd mellan hemmet och skolan, på basis av hemadress.

Det digitala bedömningsverktyget DigiLukiseula

I programmet, som förvaltas av Niilo Mäki Instituutti, lagras följande uppgifter:

• studentnummer
• namnet eller en del av namnet på de elever som läraren registrerat i tjänsten
• undervisningsgrupp för elever som läraren har registrerat i tjänsten
• för eleverna i årskurs 7 de uppgifter som eleven själv uppger: kön, modersmål (finska/svenska/annat), senaste vitsord i modersmål, matematik, svenska och engelska, information om eleven har konstaterats ha läs- eller skrivsvårigheter, enkät om erfarenheter av läsning och skrivande
• elevens resultat ur tjänsten

Hur behandlas uppgifterna i systemet? 

I Esbo stad förs resultaten av DigiLukiseula in i Primus. För behandling av utvärderingsresultaten kombineras resultaten med bakgrundsinformation i Primus (till exempel skola, kön, modersmål och stödåtgärder) för att analysera och följa upp olika gruppers läs- och skrivfärdigheter. Utvärderingsmaterialet pseudonymiseras. Dessa uppgifter behandlas inte med fokus på enskilda elever, utan för att analysera resultaten på stadsnivå med tanke på behoven av att utveckla undervisningen.

Verktyg för produktion av IKT-tjänster

• Hantering av it-apparater (arbetsstationer och mobila enheter)

Hanteringen av arbetsstationer innehåller information om enheterna, liksom i andra distanshanteringslösningar, till exempel modell, serienummer, operativsystem och inloggningsinformation. Av systemet framgår dessutom namnet på den skola eller det verksamhetsställe där enheten är placerad.

I hanteringen av mobila enheter har man övergått till en modell utan inloggning och därför behöver elevernas personuppgifter inte behandlas. Hanteringen av mobila enheter innehåller information om enheterna, liksom i andra distanshanteringslösningar, till exempel modell, serienummer och operativsystem. Av systemet framgår dessutom namnet på den skola eller det verksamhetsställe där enheten är placerad.

Alla användarnamn eller gruppnamn är löpande alfanumeriska serier, såsom skolansnamn.ipad.elev01. Användarnamnet är artificiellt och hänvisar inte till en viss person utan till en viss enhet. Det är ett virtuellt användarnamn som är specifikt för varje mobil enhet som används gemensamt.

För lärare som är huvudanvändare för en skola skapas användarnamn för distanshanteringsmiljön så att lärarna kan sköta administrativa uppgifter. Dessa huvudanvändare kan till exempel lägga till innehåll (applikationer) på enheter, begränsa antalet applikationer som används per lektion och flytta enheter från en administrativ grupp till en annan. För att skapa användarnamnen samlas följande uppgifter in om lärarna som är huvudanvändare: förnamn, efternamn och e-postadress.

• Utskriftstjänst

Utskriftstjänsten innebär att eleverna kan skriva ut material via olika apparater, till exempel en Windows-dator, iPhone, iPad, Android-telefon eller -pekplatta, Mac, Chromebook eller e-post. I utskriftstjänsten sparas användarens namn, användarnamn och skolans namn.

Personuppgifter som behandlas utanför systemen och de digitala miljöerna

Personuppgifterna kan innehålla till exempel elevens identifikations- och kontaktuppgifter, uppgifter om bedömning samt uppgifter om hälsa (gällande skolskjutsar, skolmat, stödåtgärder, särskilda undervisningsarrangemang, frånvaro eller avbrytande av läroplikten).

• Basuppgifterna om elever som börjar grundskolan överförs till skoladministrationssystemen Primus och Kurre från befolkningsdatasystemet Trimble Locus som Esbo stad upprätthåller. Basuppgifterna om studerande och vårdnadshavare uppdateras sedan i skoladministrationssystemet Primus från Trimble Locus med en veckas mellanrum, då det gäller uppgifter om personer som flyttat till Esbo, från Esbo eller inom Esbo. Befolkningsuppgifterna om barn i och under läropliktsåldern i Esbo hämtas ur Trimble Locus till programmet ReittiGIS.
• Vårdnadshavarna kompletterar och uppdaterar uppgifterna med blanketter eller i Wilma. 
• Största delen av de uppgifter som sparats i registret är uppgifter om elevens skolgång som kommit till vid ordnandet av undervisningen.

Byte av skola

• Elevens förra skola får till elevens nya skola överlåta de offentliga uppgifter som är nödvändiga för att ordna undervisning i den nya skolan (16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet).
• Skolan har rätt att av en annan utbildningsanordnare eller kommun få de uppgifter om den läropliktiges ansökan till utbildning, antagning och mottagande av studieplats, inledande och avbrytande av studier och avbrytande av fullgörandet av läroplikten som är nödvändiga för att skolan ska kunna fullgöra sina uppgifter enligt läropliktslagen. (23 § 1 mom. i läropliktslagen) 
• Skolan har trots sekretessbestämmelserna rätt att av en annan utbildningsanordnare eller av den kommun som har handlednings- och tillsynsansvaret få de uppgifter om en studerandes läroplikt och tidigare studier och avbrytande av dem som är nödvändiga för att skolan ska kunna fullgöra sina uppgifter i anslutning till den utbildning som avses i läropliktslagen. (23 § 2 mom. i läropliktslagen)

Pedagogiska handlingar

Pedagogiska handlingar utarbetas med hjälp av användargränssnittet Wilma som ett mångprofessionellt samarbete som avses i lagen om grundläggande utbildning. Ansvarig person för pedagogiska handlingar är klassföreståndaren eller klassläraren.

Digitala studiemiljötjänster

Digitala studiemiljötjänster produceras med användaridentiteten (namn, krypterad unik identifikation, skola, klass, årskurs, undervisningsgrupper, e-postadress, användarnamn) i Vismas skoladministrationssystem Primus.

I Microsofts M365-tjänst administreras användaridentiteten genom Microsofts användarregister, som beskrivs närmare i stadens centrala hanterings- och loggregister för användarrättigheter.

Webblankett för hörande om stöd för lärande och skolgång

Vid behandlingen av webblanketten för hörande om stöd för lärande och skolgång inom finsk grundläggande utbildning fås vårdnadshavarnas personbeteckningar genom stark digital autentisering (suomi.fi).

DigiLukiseula

Resultaten fås från ett system som upprätthålls av Niilo Mäki Instituutti, där eleverna gör DigiLukiseula som en del av den normala skolgången. Eleverna loggar in i systemet med Esbo stads elevanvändarnamn via autentiseringstjänsten MPASSid.

Uppgifter och handlingar lämnas ut till myndigheter som begär dem i enlighet med lagen om offentlighet i myndigheternas verksamhet. Uppgifterna och handlingarna är offentliga, om det inte uttryckligen bestäms i lagen att de ska vara sekretessbelagda.

Uppgifterna är sekretessbelagda enligt 24 § i lagen om offentlighet i myndigheternas verksamhet och 40 § i lagen om grundläggande utbildning.

Koski

• Den nationella centraliserade integrationstjänsten för studierätter och studieprestationer (KOSKI) samlar centraliserat in elevens studieprestationer och studierätter i en enda tjänst. Uppgifterna samlas in direkt ur elevregistret. (Lagen om nationella studie- och examensregister 884/2017)

Byte av skola eller övergång till gymnasium eller yrkesutbildning

• Om en elev byter grundskola får skolan till den nya grundskolan överföra de offentliga uppgifter som är behövliga för att ordna undervisning (16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet).
• När en läropliktig övergår till en annan utbildningsanordnares utbildning ska den tidigare utbildningsanordnaren trots sekretessbestämmelserna utan dröjsmål lämna den nya utbildningsanordnaren de uppgifter som är nödvändiga för ordnandet av den läropliktiges utbildning. Motsvarande uppgifter ska lämnas också på begäran av den nya utbildningsanordnaren. (23 § 3 mom. i läropliktslagen)

Uppsökande ungdomsarbete

• Undervisningsanordnare kan lämna ut identifierings- och kontaktuppgifter med tanke på det uppsökande ungdomsarbetet till den unges hemkommun om unga som har avslutat sin grundläggande utbildning men inte har placerat sig i utbildning efter den grundläggande utbildningen (11 § 2 mom. 1 punkten, 4 mom. 1 punkten i ungdomslagen).

Aktörer inom elevhälsan

• Kuratorer och psykologer inom elevhälsan samt skolhälsovårdare i Västra Nylands välfärdsområde har i enlighet med 23 § i lagen om informationshantering inom den offentliga förvaltningen begränsad åtkomsträtt (rätt att se) till nödvändiga uppgifter om en elev som är kund (elevens namn, personbeteckning, kontaktuppgifter samt vårdnadshavarnas namn och kontaktuppgifter). Med den berördas samtycke kan en begränsad åtkomsträtt (rätt att se) gälla elevens frånvaroanteckningar och lektionsanteckningar.
• Utbildningsanordnaren kan lämna ut nödvändiga uppgifter om eleven i de situationer som anges i lagen, till exempel när elevens ärende behandlas multiprofessionellt i samarbete med yrkespersoner inom elevhälsan (16 a och 17 § i lagen om grundläggande utbildning).

Överföring av uppgifter till tjänsteproducenter

Tjänsteproducenter som anlitas vid anordnandet av undervisningen (till exempel producenter för digitala miljöer) behandlar elevernas personuppgifter i den omfattning det behövs för att producera tjänsten. Esbo stad är alltid personuppgiftsansvarig för uppgifterna.

Microsofts underleverantörer

• Lista över underleverantörer som Microsoft använder: https://go.microsoft.com/fwlink/p/?linkid=2096306(extern länk, öppnas i ett nytt fönster)

Googles underleverantörer

• Lista över underleverantörer som Google Workspace for Education använder: https://gsuite.google.com/intl/en/terms/subprocessors.html(extern länk, öppnas i ett nytt fönster)

Överföring av uppgifter till andra system

• Elevers adressuppgifter överförs till applikationen Reitti-GIS för behandling av placering av elever och för skolskjutsar
• HRT:s företagsportal för skolelevers biljetter
• Movit, system för hantering av abonnerad skjuts
• Överföring av uppgifter om elever till Utbildningsstyrelsens Studieinfo
• Uppgifter överförs till Statistikcentralen enligt statistiklagen.
• Användning av enkätverktyget Webropol

Om den registrerade/vårdnadshavaren eller någon annan laglig företrädare till en minderårig studerande ger ett skriftligt specificerat samtycke kan uppgifter också ges till andra instanser. Uppgifter kan lämnas ut om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter. (26 § i lagen om offentlighet i myndigheternas verksamhet)

Rätten att överlåta offentliga uppgifter ur en myndighets personregister bestäms i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet. Enligt bestämmelsen ska mottagaren ha rätt att registrera och använda de utlämnade personuppgifterna. Personuppgifter får lämnas ut endast på en specificerad begäran om uppgifter. (13 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet).

Pedagogiska handlingar

• Handlingarna innehåller sekretessbelagda uppgifter.
• När en läropliktig övergår till en annan utbildningsanordnares utbildning ska den tidigare utbildningsanordnaren trots sekretessbestämmelserna utan dröjsmål lämna den nya utbildningsanordnaren de uppgifter som är nödvändiga för ordnandet av den läropliktiges utbildning. Motsvarande uppgifter ska lämnas också på begäran av den nya utbildningsanordnaren. (23 § 3 mom. i läropliktslagen)
• De som deltar i elevvårdsarbetet för en elev har rätt att till varandra och elevens lärare, rektorn och den myndighet som ansvarar för undervisning och verksamhet enligt lagen om grundläggande utbildning ge ut information som är nödvändig för att ändamålsenligt ordna undervisningen för eleven (40 § 2 mom. i lagen om grundläggande utbildning).

Enligt 21 § i lagen om grundläggande utbildning kan personuppgifter lämnas ut för en extern utvärdering av utbildningen (t.ex. PISA eller TIMSS eller utvärderingar som utförs av Nationella centret för utbildningsutvärdering). För detta ändamål lämnas de personuppgifter ut som är nödvändiga för ordnandet av utvärderingen. Enskilda studerande utvärderas inte i dessa utvärderingar.

Personuppgifter behandlas i huvudsak i system och informationslager inom Europeiska unionens (EU) eller Europeiska ekonomiska samarbetsområdets (EES) område. En del av personuppgiftsbiträdena eller de tjänster som de tillhandahåller förekommer utanför EU/EES, varvid personuppgifter också överförs utanför området. Uppgifterna i systemen överförs utanför EU/EES till exempel i situationer där det IT-system eller den molntjänst som används för behandlingen av personuppgifter finns utanför EU/EES, såsom en server som tillhandahålls av en amerikansk tjänsteleverantör.

I situationer där personuppgifter överförs utanför EU/EES ska skyddsåtgärder vidtas för att upprätthålla den höga skyddsnivå för personuppgifter som krävs enligt den europeiska dataskyddslagstiftningen även efter överföringen av personuppgifter. Åtgärderna är bland annat Europeiska kommissionens beslut om adekvat skyddsnivå och att mottagaren av personuppgifterna har förbundit sig till de skyddsåtgärder som krävs, såsom dataskyddsramen mellan EU och USA (EU-US Data Privacy Framework). Som skyddsåtgärder kan det också krävas att standardavtalsklausuler, som godkänts av Europeiska kommissionen, används som en del av de avtal som är förpliktande för personuppgiftsbiträdena. Dessutom förutsätts att lämpliga tekniska och administrativa skyddsåtgärder iakttas.

Primus, Kurre och Wilma

Uppgifter överförs inte utanför EU eller EES.

Bibliotekssystemet Axiell Aurora

Uppgifter överförs inte utanför EU eller EES.

Digitala läromedel Edustore

Uppgifter överförs inte utanför EU eller EES.

ReittiGIS

Uppgifter överförs inte utanför EU eller EES.

Det digitala bedömningsverktyget DigiLukiseula

Uppgifter överförs inte utanför EU eller EES.

Digitala studiemiljötjänster

• Microsoft M365

Personuppgifter överförs utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Microsoft Corporation är ett amerikanskt företag som är med i EU-US Data Privacy Framework.

Avtal om behandling av personuppgifter i Microsoft Professional Services:

https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA(extern länk, öppnas i ett nytt fönster)

• Google Workspace for Education

Personuppgifter överförs utanför EU eller EES. Google LLC är ett amerikanskt företag som är med i EU-US Data Privacy Framework.

Googles standardavtalsklausuler som godkänts av EU-kommissionen: 

https://gsuite.google.com/terms/mcc_terms.html(extern länk, öppnas i ett nytt fönster) och Googles tilläggsklausul:

https://gsuite.google.com/terms/dpa_terms.html(extern länk, öppnas i ett nytt fönster)

Hantering av arbetsstationer

Uppgifter överförs inte utanför EU eller EES.

Hantering av mobila enheter

• Apple School Manager

Personuppgifter överförs utanför EU eller EES.

Avtalsvillkoren för Apples tjänster, inklusive standardavtalsklausulerna som godkänts av kommissionen kan läsas på Apples webbplats:

https://www.apple.com/legal/education/data-transfer-agreements/datatransfer-eu-en.pdf(extern länk, öppnas i ett nytt fönster)

• Jamf School

Personuppgifter överförs utanför EU eller EES. Jamf Software, LLC är ett amerikanskt företag som är med i EU-US Data Privacy Framework.

Esbo stads tjänst produceras av ett datacenter i Tyskland (eu-central-1)

Information om var Jamfs molntjänst finns: https://learn.jamf.com/en-US/bundle/technical-articles/page/Jamf_Cloud_Hosted_Data_Region_Information.html(extern länk, öppnas i ett nytt fönster).

Information om Jamfs datasäkerhet: https://learn.jamf.com/en-US/bundle/jamf-school-security-overview/page/Jamf_School.html(extern länk, öppnas i ett nytt fönster).

Utskriftstjänst

Uppgifter överförs inte utanför EU eller EES.

Vid lagring och förstöring av uppgifter iakttas Esbo stads informationsstyrningsplan samt Riksarkivets gällande bestämmelser och föreskrifter.

Personuppgifterna förvaras i elevregistret ett (1) år efter att användningen av tjänsten upphört. Vid radering av uppgifter beaktas eventuella lagstadgade förpliktelser att förvara uppgifter. Uppgifter och dokument som finns i digitala miljöer förvaras i nättjänsterna arkiverade enligt bildningssektorns informationsstyrningsplan ett år efter att läroplikten avslutats.

Personuppgifter och vitsordsuppgifter arkiveras och förvaras permanent. Ansökningarna och beslut förvaras under läropliktstiden plus tio (10) år. Uppgifter om provfrågor och svar som anknyter till bedömningen sparas i skolor med årskurserna 1–6 i ett (1) läsår och i skolor med årskurserna 7–9 i sex (6) månader efter slutbedömningen. Av betygen förvaras permanent avgångsbetyg och intyg över avgång samt betyg över påbyggnadsundervisningens lärokurs. Läsårsbetyg, mellanbetyg och periodbetyg förvaras under läropliktstiden. Pedagogiska handlingar som anknyter till stöd för lärande förvaras i tio år efter läropliktstiden. Uppgifter om frånvaro förvaras ett (1) år efter det aktuella läsåret.

Befolkningsuppgifterna om barn som är i eller under läropliktsåldern uppdateras regelbundet i systemet ReittiGIS. I samband med uppdateringarna raderas uppgifter om dem som passerat läropliktsåldern. Mätresultaten som gäller skolvägens längd tas bort från systemet när uppgifterna har överförts till Primus och/eller den handling som används i arbetet.

DigiLukiseula: Elevens personuppgifter förvaras i Niilo Mäki Instituuttis system i 48 månader från det att elevkontot skapades. Efter det raderas personuppgifterna, varefter de anonymiserade resultaten lagras av Niilo Mäki Instituutti och kan användas för forskning och utveckling. I Esbo stad förvaras personuppgifterna i elevregistret. Det pseudonymiserade utvärderingsmaterialet förvaras i högst sju år, under vilka det är möjligt att följa resultaten från årskurs 1 upp till årskurs 7. Skolan kan förvara sammanställningen som den fått från Niilo Mäki Instituuttis system i ett (1) år.

I dataskyddslagstiftningen garanteras den registrerade olika rättigheter vid behandlingen av personuppgifter. En begäran som gäller den registrerades rättigheter kan skickas till stadens dataskyddsombud eller till kontaktpersonen för registret, se kontaktuppgifterna ovan.

Den personuppgiftsansvarige kan vid behov begära att den registrerade lämnar ytterligare uppgifter för genomförande av begäran.

Den personuppgiftsansvarige ska besvara begäran om den registrerades rättigheter utan onödigt dröjsmål och senast inom en månad från mottagandet av begäran. Denna period kan vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet samt begära rättslig prövning.

Begäranden av en registrerad och de åtgärder som hänför sig till dem är i regel avgiftsfria. Om begäranden av en registrerad dock är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran.

Den registrerade har rätt att få en bekräftelse av den personuppgiftsansvarige om att denne behandlar personuppgifter som gäller den registrerade, samt rätt att få tillgång till uppgifter och få en kopia av dem. Utlämnandet av uppgifter får dock inte inverka skadligt på andras friheter och rättigheter. 

Den registrerade har rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål korrigerar felaktiga personuppgifter som berör den registrerade. Dessutom har den registrerade rätt att få ofullständiga personuppgifter kompletterade med beaktande av de ändamål för vilka personuppgifterna behandlades.

Den registrerade har under vissa förutsättningar rätt att be den personuppgiftsansvarige radera personuppgifter som gäller den registrerade. Om till exempel behandlingen av personuppgifter har grundat sig på samtycke och den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen, har den registrerade rätt att få sina uppgifter raderade. Den registrerade har dock inte rätt att få uppgifter raderade om personuppgifterna måste behandlas för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller för myndighetsutövning som hör till den personuppgiftsansvarige.

Den registrerade har rätt att begära att behandlingen av hens personuppgifter begränsas i vissa situationer. Rätten gäller till exempel om den registrerade bestrider att hens personuppgifter är korrekta, varvid behandlingen begränsas till en tid under vilken den personuppgiftsansvarige kan se till att uppgifterna är korrekta. Rätten är tillämplig också om den registrerade har motsatt sig behandlingen av personuppgifter i väntan på svar om huruvida den personuppgiftsansvariges legitima grunder åsidosätter den registrerades grunder.

Den registrerade har, av skäl som hänför sig till hens specifika situation, rätt att när som helst göra invändningar mot behandling av hens personuppgifter, då behandlingen grundar sig på utförandet av en uppgift som gäller ett allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. I detta fall får den personuppgiftsansvarige fortsätta behandlingen av personuppgifter endast om den personuppgiftsansvarige visar att det finns ett väsentligt och välgrundat skäl för behandlingen. Behandlingen får också fortsätta om behandlingen är nödvändig för att upprätta, framställa eller försvara ett rättsyrkande.

Den registrerade har rätt att lämna in ett klagomål till tillsynsmyndigheten, om hen anser att behandlingen av personuppgifter som gäller hen strider mot dataskyddslagstiftningen. Den registrerade kan lämna in ett klagomål till dataombudsmannens byrå: https://tietosuoja.fi/sv/(extern länk, öppnas i ett nytt fönster)

Ändringshistoria:

12.2.2025 Lukuseula har raderats från behandlingssätten, innehållet i DigiLukiseula har uppdaterats, dataöverföring till andra system, HRT och Movit har lagts till under punkt 9.

5.8.2025 Hanteringen av mobila enheter som behandlingssätt har ändrats och utvidgats till att gälla all produktion av IKT-tjänster. Reformen av stödet för lärande som trädde i kraft 1.8.2025 har beaktats.