Dataskyddsbeskrivning, Behandling av personuppgifter inom gymnasieutbildningen

Datum för publicering av dataskyddsbeskrivningen: 2.8.2024 (Uppdaterad 7.8.2025)

Esbo stad är personuppgiftsansvarig.

Direktör för utbildning på andra stadiet Tapio Erma

Direktör för Svenska bildningstjänster Barbro Högström

E-postadress: etunimi.sukunimi@espoo.fi

Telefon: +358 9 81621 (växel)

Rektorerna ansvarar för uppgifter i anslutning till registret för sitt gymnasium. Den registrerade kan vända sig till rektorn för att få närmare uppgifter om registret eller sina rättigheter.

E-postadress: etunimi.sukunimi@espoo.fi

Telefon: +358 9 81621 (växel)

Esbo stads dataskyddsombud

Helena Niemi

Adress: PB 12, 02070 Esbo stad

Telefon: +358 9 81621 (växel)

E-postadress: tietosuoja@espoo.fi

Ändamålen med behandlingen

• Anordnande av undervisning och utförande av uppgifter i anslutning till studerandeförhållandet
• Sammanställning av statistik för Esbo stads bruk. Vid statistikföring behandlas uppgifterna utan identifikationer.
• Utlämnande av lagstadgade uppgifter om de olika gymnasiernas studerandeantal till statens datainsamling.

Behandlingssätt

Vid undervisningsväsendet används följande stadsomfattande system och digitala miljöer där personuppgifter som gäller studerande och eventuellt vårdnadshavare behandlas:

• skoladministrationssystemet Primus och Kurre (inkl. Wilma som är ett webbaserat användargränssnitt för Primus och Kurre)
• arbetsmiljön Google Workspace for Education (inkl. bl.a. Classroom, Meet, Forms)
• arbetsmiljön Microsoft M365 (inkl. bl.a. Teams, OneDrive, Forms)
• skolbibliotekssystemet Axiell Aurora
• digitala läromedel Edustore
• det digitala bedömningsverktyget Digilukiseula
• Lösningar i anslutning till produktion av IKT-tjänster (såsom hantering av it-apparater)

Nedan specificeras närmare för vilka ändamål personuppgifter som anknyter till ordnandet av undervisning behandlas i dessa system och miljöer.

Personuppgifter kan också behandlas i skolvisa applikationer som används i undervisningen. Den registrerade kan vända sig till rektorn för registret för att få närmare uppgifter om registret eller sina rättigheter.

Det kan vara nödvändigt att behandla uppgifterna för ordnande av gymnasieundervisning även utanför systemen/miljöerna, till exempel som stöd för lärarens bedömning, ordnande av skolmåltider (specialdieter), ordnande av skolutflykter eller lägerskolor, för att producera enkäter eller för skötsel av uppgifter enligt läropliktslagen samt produktion av IKT-tjänster, såsom funktioner i anknytning till hantering av it-apparater.

Registrets personuppgifter kan också behandlas om det är nödvändigt för testningsändamål, t.ex då man tar i bruk nya datasystem.

För vilka ändamål behandlas personuppgifter i systemen och de digitala miljöerna?

Primus, Kurre och Wilma

Primus och Kurre

• Anordnande av gymnasieutbildning (Gymnasielagen 3§)
• Uppgifter i anslutning till studerandeförhållandet.
• Skötsel av uppgifter enligt läropliktslagen
• Skapande av en användaridentitet i e-tjänsterna inom studiemiljön (Microsoft M365, Google Workspace for Education)
• Produktion av en tjänst för hantering av mobila enheter (AppleID / Jamf )
• Hantering av användar-ID för användargränssnittet Wilma.
• På grundval av uppgifterna i Primus utlämnas skolvisa lagstadgade uppgifter om elevantal för statens datainsamling. (Lagen om finansiering av undervisnings- och kulturverksamhet, lagen om statsandel för kommunal basservice)
• Av uppgifterna i Primus produceras statistik för Esbo stads bruk. Vid statistikföring behandlas personuppgifterna utan identifikationer.
• Uppgifterna om studerandenas ämnes- och kursval finns i Kurres läsordningsprogram för upprättande av läsordningar.
   

Wilma (webbaserat användargränssnitt för skoladministrationssystemet Primus och Kurre)

Wilma kan användas för följande åtgärder:

• Registrering av frånvaro
• Studerandebedömning
• Kursval och kursanmälningar
• Samarbete mellan gymnasiet och hemmet
• Information (kommunikation med och meddelanden till vårdnadshavarna och meddelanden från vårdnadshavarna till gymnasiet)
• Enkäter och feedback på dem.
• Iakttagelser och feedback om elevens skolgång (lektionsanteckningar)
• Delgivning av beslut som gäller en studerande, om vårdnadshavaren gett sitt samtycke till detta.
   

Microsoft M365

• Anordnande av gymnasieutbildning (I M365 ingår e-verktyg och innehåll som användarna producerat)
• Hantering av användarrättigheterna i M365
• Möjliggörande av interaktion mellan användarna inom de egna grupperna
• Användning av en e-posttjänst
   

Google Workspace for Education

• Anordnande av gymnasieutbildning (I Google Workspace ingår e-verktyg och innehåll som användarna producerat)
• Hantering av användarrättigheterna i Google Workspace
• Möjliggörande av interaktion mellan användarna inom de egna grupperna
• Hantering av inställningarna i de apparater som ansluts till tjänsten och i de program och applikationer som används i apparaterna (t.ex. Chrome, Classroom och Drive)
   

Skolbibliotekssystemet Axiell Aurora

• Stöd för studier i modersmål och litteratur i gymnasieundervisningen (11 § i gymnasielagen)
• Systemet består av tre delar: ett bibliotekssystem, ett användargränssnitt för självbetjäning och ett webbibliotek. Elevuppgifterna finns i bibliotekssystemet, och användargränssnittet för självbetjäning och webbiblioteket Axiell Arena utnyttjar elevuppgifterna som förts in i systemet.

Digitala läromedel Edustore

• upphandlingskanalen Edustore för anskaffning av digitala och tryckta läromedel och tillhörande material och tillbehör.
   

Det digitala bedömningsverktyget DigiLukiseula

• DigiLukiseula är ett forskningsbaserat verktyg för identifiering av stödbehov, som används för bedömning av läs- och skrivförmågan. 

Verktyg för produktion av IKT-tjänster

• Med tjänsten för hantering av it-apparater avses informationssäker hantering av arbetsstationer och mobila enheter i skolorna och hos eleverna. Detta innebär till exempel att eleverna använder den utrustning som de fått från skolan endast för inlärningsändamål. Samtidigt säkerställs att uppdateringar installeras och olika program distribueras på ett kontrollerat sätt till apparaterna.
• Utskriftstjänsten används för säker utskrift genom vilken eleverna kan skriva ut material på ett säkert och kontrollerat sätt. 

Artikel 6.1 c i EU:s allmänna dataskyddsförordning: behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, det vill säga för att ordna gymnasieundervisning enligt gymnasielagen.

Särskilda kategorier av personuppgifter: Enligt 6 § i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Behandlingen av särskilda kategorier av personuppgifter beror på de uppgifter som enligt gymnasielagen eller läropliktslagen ankommer på utbildningsanordnaren.

Behandlingen av personbeteckningen grundar sig på 29 § 1 moment i dataskyddslagen. Med tanke på att man ska kunna sköta de lagstadgade uppgifterna är det viktigt att den registrerade och hens personuppgifter på ett entydigt sätt skiljs åt från de andra registrerade och deras personuppgifter.  

Datainnehåll i systemen och de digitala miljöerna

Azure AD hanterings- och loggregister

• Dataskyddsbeskrivning Azure AD hallinta- ja lokirekisteri
   

Primus, Kurre och Wilma

• Studerandens namn, personbeteckning och kontaktuppgifter samt foto
• Studerandens användarnamn på användargränssnittet Wilma och AD-användarnamn på elevnätet
• Vårdnadshavarnas namn, kontaktuppgifter och användarnamn på Wilma
• Uppgifter om val av läroämnen och lärokurser
• Uppgifter om studerandebedömning
• Beslut som gäller studeranden
• Studerandens skolgångshistoria
• Invandrarens uppgifter
• Uppgifter om studerandens frånvaro
• Andra uppgifter som hör samman med undervisning och ordnande av undervisning
• Uppgifter om studentexamen och studentskrivningar
• Studerandes rätt till avgiftsfri utbildning 
   

Som särskilda kategorier av personuppgifter behandlas uppgifter om religiös eller filosofisk övertygelse samt eventuellt uppgifter om hälsa.

Microsoft M365

• Personens för- och efternamn
• Användarnamn
• E-postadress
• Studentnummer
• Krypterad unik identifikation
• Uppgifter om skolgången (undervisningsgrupper, skola, klass, läroanstaltsbeteckning)
• Uppgifter om den registrerades roll: personal/studerande
• IP-adress
• Innehåll som producerats av eller uppgifter som lagts till av eleven själv
   

Med innehåll som producerats av eleven och vårdnadshavaren själv avses bilder, texter, länkar, videofilmer och ljudfiler som förts in i systemet.

Användaren kan i tjänsten lägga till bl.a. en beskrivning av sig själv och sitt ansvarsområde, mobiltelefonnummer, positionsinformation, uppgifter om sitt kunnande, födelsedag samt andra intressen. Användaren kan välja om hen vill visa dessa uppgifter för alla eller en begränsad grupp av användare. Användaren har möjlighet, om hen så vill, att tillåta att det innehåll hen producerat får utnyttjas och få uppgifter om sitt nätverkande och sina närmaste kompisar.

Google Workspace for Education

• Studerandens namn
• Användarkonto
• Skola
• Årsgrupper
• Krypterad unik identifikation
• Innehåll som producerats av eller uppgifter som lagts till av användaren själv
   

Administratören kan i tjänsten spara t.ex. organisationens namn, webbplats, telefonnummer, adress och uppgift om att ett användarkonto har inaktiverats. Dessutom samlar Google hos användarna uppgifter som baserar sig på den information som användaren själv matat in, bl.a. telefonnummer, foto på användaren, födelsetid, uppgifter om användarens utrustning, bl.a. modell, operativsystemets version, unik enhetsidentifierare och det mobilnät som använts, inklusive mobiltelefonnummer. Google kan koppla enhetsidentifieraren eller telefonnumret till ett Google-konto.

Skolbibliotekssystemet Axiell (Aurora)

• Identifikationsdel: Namn, skola, klass, e-postadress, användarnamn, bibliotekskortets nummer, utlåningsuppgifter, gruppens handledande lärare, PIN-kod/lösenord
• Pseudonymiserad del: Object ID som fungerar som en teknisk identifikation för kunden men som inte innehåller t.ex. personbeteckning eller andra identifierande uppgifter.
   

Digitala läromedel Edustore

• Användarens namn
• Skolans namn
• Klass
• Krypterad unik identifikation

• E-postadress

   

Det digitala bedömningsverktyget DigiLukiseula

I programmet, som förvaltas av Niilo Mäki Instituutti, lagras följande uppgifter:

• studentnummer
• information som läraren lagt till i tjänsten
• information tillagd av en gymnasieelev
• studentresultat från tjänsten

Hur behandlas uppgifterna i systemet?

I Esbo stad förs resultaten av DigiLukiseula in i Primus. För behandling av utvärderingsresultaten kombineras resultaten med bakgrundsinformation i Primus (till exempel skola, kön, modersmål och stödåtgärder) för att analysera och följa upp olika gruppers läs- och skrivfärdigheter. Utvärderingsmaterialet pseudonymiseras. Dessa uppgifter behandlas inte med fokus på enskilda elever, utan för att analysera resultaten på stadsnivå med tanke på behoven av att utveckla undervisningen.

Verktyg för produktion av IKT-tjänster

• Hantering av it-apparater (arbetsstationer och mobila enheter)

Hanteringen av arbetsstationer innehåller information om enheterna, liksom i andra distanshanteringslösningar, till exempel modell, serienummer, operativsystem och inloggningsinformation. Av systemet framgår dessutom namnet på den skola eller det verksamhetsställe där enheten är placerad.

I hanteringen av mobila enheter har man övergått till en modell utan inloggning och därför behöver elevernas personuppgifter inte behandlas. Hanteringen av mobila enheter innehåller information om enheterna, liksom i andra distanshanteringslösningar, till exempel modell, serienummer och operativsystem. Av systemet framgår dessutom namnet på den skola eller det verksamhetsställe där enheten är placerad.

Alla användarnamn eller gruppnamn är löpande alfanumeriska serier, såsom skolansnamn.ipad.elev01. Användarnamnet är artificiellt och hänvisar inte till en viss person utan till en viss enhet. Det är ett virtuellt användarnamn som är specifikt för varje mobil enhet som används gemensamt.

För lärare som är huvudanvändare för en skola skapas användarnamn för distanshanteringsmiljön så att lärarna kan sköta administrativa uppgifter. Dessa huvudanvändare kan till exempel lägga till innehåll (applikationer) på enheter, begränsa antalet applikationer som används per lektion och flytta enheter från en administrativ grupp till en annan. För att skapa användarnamnen samlas följande uppgifter in om lärarna som är huvudanvändare: förnamn, efternamn och e-postadress.

• Utskriftstjänst

Utskriftstjänsten innebär att eleverna kan skriva ut material via olika apparater, till exempel en Windows-dator, iPhone, iPad, Android-telefon eller -pekplatta, Mac, Chromebook eller e-post. I utskriftstjänsten sparas användarens namn, användarnamn och skolans namn.

Personuppgifter som behandlas utanför systemen och de digitala miljöerna

Personuppgifterna kan innehålla t.ex. studerandens identifikations- och kontaktuppgifter, uppgifter om bedömning samt uppgifter om hälsa (gällande skolbespisning).

• Basuppgifterna om studerande och vårdnadshavare uppdateras i skoladministrationssystemet Primus från Trimble Locus med en veckas mellanrum, då det gäller uppgifter om personer som flyttat till Esbo, bort från Esbo eller inom Esbo.
• Uppgifterna om de nya gymnasiestuderande som antagits i den gemensamma antagningen erhålls från Utbildningsstyrelsens tjänst Studieinfo.
• Vårdnadshavarna och de studerande kompletterar och uppdaterar uppgifterna med blanketten Uppdatering av vårdnadshavarens kontaktuppgifter och publiceringstillstånd för gymnasiestuderanden eller Uppdatering av kontaktuppgifter och publiceringstillstånd för gymnasiestuderanden eller med ett meddelande via Wilma.
• Största delen av de uppgifter som sparats i registret är uppgifter om studerandens skolgång som kommit till vid ordnandet av undervisningen.
   

Byte av eller övergång till gymnasium

• Studerandens föregående gymnasium får till studerandens nya gymnasium överlåta de offentliga uppgifter som är nödvändiga för att ordna undervisning i det nya gymnasiet (Lagen om offentlighet i myndigheternas verksamhet 16 § 3 mom.).
• Den som har uppgifter om en studerandes hälsotillstånd och funktionsförmåga som är nödvändiga för skötseln av mottagarens uppgifter har trots sekretessbestämmelserna rätt att lämna ut uppgifterna till rektorn för en läroanstalt och andra personer som ansvarar för säkerheten vid läroanstalten, för att en trygg studiemiljö ska kunna garanteras och, med den studerandes samtycke, till dem som ansvarar för studiehandledningen, för att kunna anvisa till andra studier eller stödtjänster (58 § 1 mom. 1 och 2 punkten i gymnasielagen).
• Skolan har rätt att av en annan utbildningsanordnare eller kommun få de uppgifter om den läropliktiges ansökan till utbildning, antagning och mottagande av studieplats, inledande och avbrytande av studier och avbrytande av fullgörandet av läroplikten som är nödvändiga för att skolan ska kunna fullgöra sina uppgifter enligt läropliktslagen. (23 § 1 mom. i läropliktslagen)
• Skolan har trots sekretessbestämmelserna rätt att av en annan utbildningsanordnare eller av den kommun som har handlednings- och tillsynsansvaret få de uppgifter om en studerandes läroplikt och tidigare studier och avbrytande av dem som är nödvändiga för att skolan ska kunna fullgöra sina uppgifter i anslutning till den utbildning som avses i läropliktslagen. (23 § 2 mom. i läropliktslagen)

Digitala studiemiljötjänster produceras med användaridentiteten (namn, krypterad unik identifikation, skola, klass, årskurs, undervisningsgrupper, e-postadress, användarnamn) i Vismas skoladministrationssystem Primus.

I Microsofts M365-tjänst administreras användaridentiteten genom Microsoft Azure Ad, som är stadens centraliserade hanterings- och loggregister för användarrättigheter, Microsoft AD och Azure AD.

Uppgifter och handlingar lämnas ut till myndigheter som begär dem i enlighet med lagen om offentlighet i myndigheternas verksamhet. Uppgifterna och handlingarna är offentliga, om det inte uttryckligen bestäms i lagen de ska vara sekretessbelagda.

Uppgifterna är sekretessbelagda enligt 24 § i lagen om offentlighet i myndigheternas verksamhet och 40 § i lagen om grundläggande utbildning.

Koski

• Den nationella centraliserade integrationstjänsten för studierätter och studieprestationer (KOSKI) samlar centraliserat in elevens studieprestationer och studierätter i en enda tjänst. Uppgifterna samlas in direkt ur elevregistren. (Lagen om nationella studie- och examensregister 884/2017)
• KOSKI är en del av tjänsten Studieinfo.fi, som Utbildningsstyrelsen förvaltar.
   

Byte av skola eller övergång till gymnasium eller yrkesutbildning

• Studerandens föregående gymnasium kan till studerandens nya gymnasium eller läroanstalt överlåta sådana offentliga uppgifter som behövs för anordnandet av undervisningen (Lagen om offentlighet i myndigheternas verksamhet 16 § 3 mom)
• När en läropliktig övergår till en annan utbildningsanordnares utbildning ska den tidigare utbildningsanordnaren trots sekretessbestämmelserna utan dröjsmål lämna den nya utbildningsanordnaren de uppgifter som är nödvändiga för ordnandet av den läropliktiges utbildning. Motsvarande uppgifter ska lämnas också på begäran av den nya utbildningsanordnaren. (23 § 3 mom. i läropliktslagen)
• Den som har uppgifter om en studerandes hälsotillstånd och funktionsförmåga som är nödvändiga för skötseln av mottagarens uppgifter har trots sekretessbestämmelserna rätt att lämna ut uppgifterna till rektorn för en läroanstalt och andra personer som ansvarar för säkerheten vid läroanstalten, för att en trygg studiemiljö ska kunna garanteras och, med den studerandes samtycke, till dem som ansvarar för studiehandledningen, för att kunna anvisa till andra studier eller stödtjänster (58 § 1 mom. 1 och 2 punkten i gymnasielagen).
• Om en elev som är under 18 år övergår från grundläggande utbildning till undervisning, verksamhet eller utbildning som en annan utbildningsanordnare ordnar i enlighet med gymnasielagen, ska den tidigare utbildningsanordnaren trots bestämmelserna om sekretess utan dröjsmål lämna uppgifter som är nödvändiga för ordnande av undervisningen eller utbildningen till den nya utbildningsanordnaren. Motsvarande uppgifter kan lämnas också på begäran av den nya utbildningsanordnaren.  (Lagen om grundläggande utbildning 40 § 4 mom.)
   

Uppsökande ungdomsarbete

En utbildningsanordnare ska lämna ut identifierings- och kontaktuppgifter för unga som inte är läropliktiga och som avbryter sina studier inom yrkesutbildning eller gymnasieutbildning (11 § 2 mom. 1 punkten i ungdomslagen).

Utbildningsanordnaren kan låta bli att lämna ut ovan nämnda uppgifter, om utbildningsanordnaren med stöd av information som den förfogar över och med beaktande av den unges situation och stödbehov som helhet bedömer att den unga personen inte är i behov av tjänster och annat stöd inom det uppsökande ungdomsarbetet. (11§ 3 mom. i ungdomslagen)

Utbildningsanordnaren kan lämna ut identifierings- och kontaktuppgifter för en läropliktig ung person som avbryter studierna inom gymnasieutbildningen.

Aktörer inom elevhälsan

• Kuratorer och psykologer inom elevhälsan samt skolhälsovårdare i Västra Nylands välfärdsområde har i enlighet med 23 § i lagen om informationshantering inom den offentliga förvaltningen begränsad åtkomsträtt (rätt att se) till nödvändiga uppgifter om en studerande som är kund (den studerandes namn, personbeteckning, kontaktuppgifter samt vårdnadshavarnas namn och kontaktuppgifter). Med den studerandes samtycke kan en begränsad nyttjanderätt (rätt att se) gälla den studerandes frånvaroanteckningar och lektionsanteckningar.
• Utbildningsanordnaren kan lämna ut nödvändiga uppgifter om den studerande i de situationer som anges i lagen, till exempel när den studerandes ärende behandlas multiprofessionellt i samarbete med yrkespersoner inom elevhälsan (16 a och 17 § i lagen om grundläggande utbildning).

Överföring av uppgifter till tjänsteproducenter

• Tjänsteproducenter som anlitas vid anordnandet av undervisningen (t.ex. producenter för digitala miljöer) behandlar elevernas personuppgifter i den omfattning det behövs för att producera tjänsten. Esbo stad är alltid personuppgiftsansvarig för uppgifterna.
   

Microsofts underleverantörer

• Förteckning över underleverantörer som Microsoft anlitar: https://go.microsoft.com/fwlink/p/?linkid=2096306(extern länk, öppnas i ett nytt fönster)
   

Googles underleverantörer

• Förteckning över underleverantörer som Google G Suite anlitar: https://gsuite.google.com/intl/en/terms/subprocessors.html(extern länk, öppnas i ett nytt fönster)
   

Överföring av uppgifter till andra system

• Uppgifter om anmälan till studentexamen till studentexamensnämnden.
• Uppgifter om fakturering för studentskrivningarna till Esbo stads JOTO-system.
• Uppgifter enligt statistiklagen till Statistikcentralen (Statistiklagen 15 §).
• Användning av enkätverktyget Webropol

Om den registrerade/vårdnadshavaren eller någon annan laglig företrädare till en minderårig elev ger ett skriftligt specificerat samtycke kan uppgifter också ges till andra instanser. Uppgifter kan lämnas ut om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter. (Lagen om offentlighet i myndigheternas verksamhet 26 §)

Utlämnande av offentliga uppgifter ur en myndighets personregister bestäms enligt 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet. Enligt bestämmelsen ska mottagaren ha rätt att registrera och använda de utlämnade personuppgifterna. Personuppgifter får lämnas ut endast på en specificerad begäran om uppgifter. (Lagen om offentlighet i myndigheternas verksamhet 13 § 2 mom.).

Sekretessbelagda uppgifter får lämnas ut till en annan utbildningsanordnare endast om den studerande/vårdnadshavaren till en minderårig studerande ger sitt samtycke till det eller om det i lag tagits in bestämmelser om rätten att lämna ut eller få uppgifter.

Enligt 56§ i gymnasielagen kan personuppgifter överlåtas för en extern utvärdering av utbildningen (t.ex PISA eller TIMSS eller utvärderingar som utförs av det nationella centret för utbildningsutvärdering) . För detta ändamål överlåts de personuppgifter som är nödvändiga för ordnandet av utvärderingen. Enskilda elever utvärderas inte i dessa utvärderingar.

Personuppgifter behandlas i huvudsak i system och informationslager inom Europeiska unionens (EU) eller Europeiska ekonomiska samarbetsområdets (EES) område. En del av personuppgiftsbiträdena eller de tjänster som de tillhandahåller förekommer utanför EU/EES, varvid personuppgifter också överförs utanför området. Uppgifterna i systemen överförs utanför EU/EES till exempel i situationer där det IT-system eller den molntjänst som används för behandlingen av personuppgifter finns utanför EU/EES, såsom en server som tillhandahålls av en amerikansk tjänsteleverantör.

I situationer där personuppgifter överförs utanför EU/EES ska skyddsåtgärder vidtas för att upprätthålla den höga skyddsnivå för personuppgifter som krävs enligt den europeiska dataskyddslagstiftningen även efter överföringen av personuppgifter. Åtgärderna är bland annat Europeiska kommissionens beslut om adekvat skyddsnivå och att mottagaren av personuppgifterna har förbundit sig till de skyddsåtgärder som krävs, såsom dataskyddsramen mellan EU och USA (EU-US data Privacy Framework). Som skyddsåtgärder kan det också krävas att standardavtalsklausuler, som godkänts av Europeiska kommissionen, används som en del av de avtal som är förpliktande för personuppgiftsbiträdena. Dessutom förutsätts att lämpliga tekniska och administrativa skyddsåtgärder iakttas.

Primus, Kurre och Wilma

Uppgifter överförs inte utanför EU eller EES.

Bibliotekssystemet Axiell Aurora

Uppgifter överförs inte utanför EU eller EES.

Digitala läromedel Edustore

Uppgifter överförs inte utanför EU eller EES.

Det digitala bedömningsverktyget DigiLukiseula

Uppgifter överförs inte utanför EU eller EES.

Digitala studiemiljötjänster

• Microsoft M365

Personuppgifter överförs utanför EU eller EES.

Microsoft Corporation är ett amerikanskt företag som är med i EU-US Data Privacy Framework.

Avtal om behandling av personuppgifter i Microsoft Professional Services:

https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA?lang=32 (extern länk, öppnas i ett nytt fönster)(extern länk, öppnas i ett nytt fönster)

• Google Workspace for Education

Personuppgifter överförs utanför EU eller EES.

Google LLC är ett amerikanskt företag som är med i EU-US Data Privacy Framework. 

Standardavtalsklausuler som godkänts av EU-kommissionen: https://gsuite.google.com/terms/mcc_terms.html(extern länk)(extern länk, öppnas i ett nytt fönster)(extern länk, öppnas i ett nytt fönster),

samt Googles tilläggsavtalsklausul:

https://gsuite.google.com/terms/dpa_terms.html(extern länk)(extern länk, öppnas i ett nytt fönster)(extern länk, öppnas i ett nytt fönster)

Hantering av arbetsstationer

Uppgifter överförs inte utanför EU eller EES.

Hantering av mobila enheter

• Apple School Manager

Personuppgifter överförs utanför EU eller EES.

Avtalsvillkoren för Apples tjänster inklusive de av kommissionen godkända standardavtalsklausulerna kan läsas på Apples webbplats:

https://www.apple.com/legal/education/data-transfer-agreements/datatransfer-eu-en.pdf(extern länk)(extern länk, öppnas i ett nytt fönster)(extern länk, öppnas i ett nytt fönster)

• Jamf School

Jamf Software, LLC är ett amerikanskt företag som är med i EU-US Data Privacy Framework.

Esbo stads tjänst produceras av ett datacenter i Tyskland (eu-central-1)

Information om var Jamfs molntjänst finns: https://learn.jamf.com/en-US/bundle/technical-articles/page/Jamf_Cloud_Hosted_Data_Region_Information.html(extern länk, öppnas i ett nytt fönster)(extern länk).

Information om Jamfs informationssäkerhet: https://learn.jamf.com/en-US/bundle/jamf-school-security-overview/page/Jamf_School.html(extern länk, öppnas i ett nytt fönster)(extern länk)

Vid lagring och förstöring av uppgifter iakttas Esbo stads informationsstyrningsplan samt Riksarkivets gällande bestämmelser och föreskrifter.

Personuppgifterna förvaras i elevregistret ett (1) år efter att användningen av tjänsten upphört. Vid radering av uppgifter beaktas eventuella lagstadgade förpliktelser att förvara uppgifter. Uppgifter och dokument som finns i digitala miljöer förvaras i nättjänsterna arkiverade enligt undervisningsväsendets arkivbildningsplan ett år efter att läroplikten avslutats.

I lagarna om dataskydd garanteras den registrerade olika rättigheter vid behandlingen av personuppgifter. En begäran som gäller den registrerades rättigheter kan skickas till stadens dataskyddsombud eller till kontaktpersonen för registret, se kontaktuppgifterna ovan.

Den personuppgiftsansvarige kan vid behov begära att den registrerade lämnar ytterligare uppgifter för genomförande av begäran.

Den personuppgiftsansvarige ska besvara begäran om den registrerades rättigheter utan onödigt dröjsmål och senast inom en månad från mottagandet av begäran. Denna period kan vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

Begäranden av en registrerad och de åtgärder som hänför sig till dem är i regel avgiftsfria. Om begäranden av en registrerad dock är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran.

Den registrerade har rätt att få en bekräftelse av den personuppgiftsansvarige om att denne behandlar personuppgifter som gäller den registrerade, samt rätt att få tillgång till uppgifter och få en kopia av dem. Utlämnandet av uppgifter får dock inte inverka skadligt på andras friheter och rättigheter.

Den registrerade har rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål korrigerar felaktiga personuppgifter som berör den registrerade. Dessutom har den registrerade rätt att få ofullständiga personuppgifter kompletterade med beaktande av de ändamål för vilka personuppgifterna behandlades.

Den registrerade har under vissa förutsättningar rätt att be den personuppgiftsansvarige radera personuppgifter som gäller den registrerade. Om till exempel behandlingen av personuppgifter har grundat sig på samtycke och den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen, har den registrerade rätt att få sina uppgifter raderade. Den registrerade har dock inte rätt att få uppgifter raderade om personuppgifterna måste behandlas för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller för myndighetsutövning som hör till den personuppgiftsansvarige.

Den registrerade har rätt att begära att behandlingen av hens personuppgifter begränsas i vissa situationer. Rätten gäller till exempel om den registrerade bestrider att hens personuppgifter är korrekta, varvid behandlingen begränsas till en tid under vilken den personuppgiftsansvarige kan se till att uppgifterna är korrekta. Rätten är tillämplig också om den registrerade har motsatt sig behandlingen av personuppgifter i väntan på svar om huruvida den personuppgiftsansvariges legitima grunder åsidosätter den registrerades grunder.

Den registrerade har, av skäl som hänför sig till hens specifika situation, rätt att när som helst göra invändningar mot behandling av hens personuppgifter, då behandlingen grundar sig på utförandet av en uppgift som gäller ett allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. I detta fall får den personuppgiftsansvarige fortsätta behandlingen av personuppgifter endast om den personuppgiftsansvarige visar att det finns ett väsentligt och välgrundat skäl för behandlingen. Behandlingen får också fortsätta om behandlingen är nödvändig för att upprätta, framställa eller försvara ett rättsyrkande.

Den registrerade har rätt att lämna in ett klagomål till tillsynsmyndigheten, om hen anser att behandlingen av personuppgifter som gäller hen strider mot dataskyddslagstiftningen. Den registrerade kan lämna in ett klagomål till dataombudsmannens byrå: www.tietosuoja.fi(extern länk, öppnas i ett nytt fönster).

Ändringshistoria: 

7.8.2025 Hanteringen av mobila enheter som behandlingssätt har ändrats och utvidgats till att gälla all produktion av IKT-tjänster. Lade till Det digitala bedömningsverktyget DigiLukiseula.