Vi är GDPR-kompatibla
Vi uppfyller kraven fullt ut för alla våra tjänster.
System och policyer
Denna policy beskriver varför vi behandlar och hur vi skyddar personuppgifter.
Underförädlare
itslearning använder tredjepartsleverantörer för att hjälpa till i samband med tillhandahållandet av tjänster.
Säkerhetsåtgärder
Vi har vidtagit både organisatoriska och tekniska säkerhetsåtgärder.
Begäran om data
Vi följer internationella bestämmelser om enskildas rätt till integritet.
Information till våra kunder om GDPR
EU:s allmänna dataskyddsförordning (GDPR), som godkändes av Europaparlamentet 2016, är den viktigaste förändringen inom dataskyddslagstiftningen på 20 år. Den ersätter dataskyddsdirektivet 95/46/EG samt lokala lagar och förordningar inom EU/EES. Den nya förordningen är utformad för att stärka individens rätt till integritet och harmonisera dataskyddslagarna i hela Europa.
itslearning har varit engagerade i dataskydd sedan företaget grundades 1999 och välkomnar den nya förordningen. Vi kommer att fortsätta att göra vår del för att säkerställa att alla våra kunder följer GDPR. Det finns en stor, outnyttjad potential i att använda teknik och molntjänster för att förbättra undervisningsmetoder och inlärningsresultat. En av nycklarna till att frigöra denna potential är att förtjäna lärarnas, elevernas och vårdnadshavare förtroende. På så sätt är det ökade fokus på dataskydd och integritet som GDPR medför fördelaktigt för alla parter.
itslearning GDPR-åtagande
Vi uppfyller kraven för att alla våra tjänster, inklusive itslearning, Fronter och SkoleIntra, ska vara GDPR-klara. Vi har arbetat med GDPR under en längre tid för att analysera den nya förordningen och göra nödvändiga ändringar i våra tjänster, rutiner och organisation. Under de senaste månaderna har vi gjort tillgänglig all dokumentation, avtalstillägg och rutiner som behövs för att bevisa att ni följer GDPR.
Det är viktigt att säga att för de molntjänster vi tillhandahåller till våra kunder och deras slutanvändare är itslearning vad både befintlig och ny EU-lagstiftning definierar som ett personuppgiftsbiträde. Som personuppgiftsbiträde bestämmer vi inte syftet med eller lagligheten i behandlingen, utan vi behandlar endast uppgifter för våra kunders räkning. GDPR-förordningarna ställer strängare krav på alla personuppgiftsbiträden.
Vårt engagemang för GDPR kräver att vi arbetar för att:
- Säkerställa organisatorisk och teknisk säkerhet för alla tjänster.
- Hjälpa dig med den dokumentation som behövs för att visa efterlevnad och informera dina användare.
- Förse dig med nya avtalstillägg som uppfyller GDPR:s krav på databehandlingsavtal (DPA)
- Ge dig det stöd du behöver när dina användare utövar sina rättigheter som registrerade. Du kan hitta mer information på GDPR Data Request-sidan på vår Support-webbplats.
itslearning har ett dataskyddsombud (DPO) enligt definitionen i GDPR. Förutom att övervaka vår egen efterlevnad och ge råd och utbildning till vår egen personal, är vårt dataskyddsombud tillgängligt för våra kunder och deras dataskyddsombud för att diskutera dataskyddsfrågor.
Kontaktuppgifter till vårt dataskyddsombud:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy@itslearning.com
GDPR kundkrav
I allmänhet kräver GDPR att du gör det:
- Dokumentera och utvärdera all behandling av personuppgifter och de system som används. Syftet med och lagenligheten i behandlingen ska definieras och du ska se till att du inte behandlar personuppgifter som inte behövs för det definierade syftet.
- Säkerställa den organisatoriska och tekniska säkerheten för behandlingen och kunna visa det. Utvärdera dina interna processer för datalagring och säkerhet och dokumentera det. Säkerställ att din egen teknik kan ge tillräcklig teknisk säkerhet och dokumentera detta.
- När du använder tjänster från tredje part, som våra, för att behandla personuppgifter måste du se till att kraven på databehandling är förenliga med GDPR.
- När du skaffar ny teknik som sannolikt kommer att medföra en hög risk för personuppgifter måste du göra en riskanalys - en konsekvensbedömning avseende dataskydd (DPIA). Som befintlig kund är våra tjänster inte ny teknik för dig. Men att göra en DPIA kan ändå vara en bra idé och hjälper dig att dokumentera efterlevnad.
- Användare (registrerade) har starkare rättigheter enligt GDPR. Våra kunder måste ha en process på plats för att ta emot förfrågningar från registrerade och för att bedöma giltigheten i förfrågningarna.
- En särskilt viktig rättighet för den registrerade är öppenhet och information. Se till att informationen till dina användare om allt som krävs enligt GDPR är lättillgänglig, inklusive hur de kan utöva sina rättigheter. Om dina användare är unga bör du se till att denna information även finns tillgänglig på vårdnadshavare .
- Ta del av itslearning dataanvändare Agreement, vars syfte är att reglera de rättigheter och skyldigheter enligt den europeiska dataskyddslagstiftningen, inklusive GDPR, som gäller för den Personuppgiftsansvarige i samband med Standard Service Subscription Agreement.
Ladda ner itslearning dataanvändare Avtal.
För allmänna frågor som rör itslearning produkter och tjänster kan du som alltid kontakta vår supportorganisation. För avtalsmässiga eller kommersiella frågor, vänligen kontakta din kundansvarige.
För specifika GDPR-relaterade frågor från våra kunder, vänligen kontakta vårt dataskyddsombud via e-post privacy@itslearning.com eller ring +35 89 122 4791. All kommunikation med vår DPO måste ske på engelska.
Kommer GDPR att kräva att vi inhämtar samtycke från alla våra användare (eller deras vårdnadshavare)?
För de flesta av våra kunder är svaret nej. Enligt GDPR är samtycke bara en av sex lagliga grunder för att behandla uppgifter. Våra kunder måste välja den lagliga grund som bäst återspeglar den verkliga karaktären av förhållandet mellan er och era användare. För de flesta av våra kunder skulle samtycke inte vara den lämpligaste lagliga grunden för behandlingen. För många av våra kunder skulle den lagliga grunden för behandling vara relaterad till uppgifter som utförs i allmänhetens intresse eller relaterad till dina rättsliga skyldigheter.
Kan itslearning använda personuppgifter för sina egna syften?
Nej. Både för närvarande och enligt den nya GDPR-förordningen kan vi endast behandla data på direkta instruktioner från våra kunder. Uppgifterna är dina, och endast en handfull medarbetare på itslearning har tillgång till personuppgifter under strikt sekretess och säkerhet. Vi kan endast behandla personuppgifter självständigt om det är avgörande för tjänstens integritet eller säkerhet, eller för att analysera eller utvärdera kvaliteten på den tillhandahållna tjänsten.
Vilken typ av information är vi skyldiga att ge användarna om personuppgiftsbehandlingen?
Rätten till insyn och information till användarna (eller deras vårdnadshavare) är stark enligt GDPR. Information som du måste göra lätt tillgänglig kan omfatta:
- Identitet och kontaktuppgifter för den personuppgiftsansvarige/den personuppgiftsansvariges representant
- Kontaktuppgifter till dataskyddsombudet
- Ändamålet med behandlingen och den rättsliga grunden för behandlingen av uppgifterna
- Eventuella avsikter att överföra personuppgifter till ett tredje land (utanför EU/EES) och vilka skyddsåtgärder som har vidtagits, samt hur man kan få en kopia av dessa.
- Den period under vilken personuppgifterna kommer att lagras, eller kriterier som bestämmer perioden.
- Den registrerades rättigheter (tillgång, rättelse, radering etc.)
- Rätt att lämna in klagomål till tillsynsmyndigheten
- Varifrån uppgifterna härstammar
- All användning av automatiskt beslutsfattande/profilering.
Kan någon av våra användare nu kräva att vi raderar deras uppgifter ("rätten att bli bortglömd")?
Förmodligen inte. En användare kan bara begära att få sina uppgifter raderade om den lagliga grunden för behandlingen är Samtycke (se ovan) eller om det ursprungliga syftet eller den ursprungliga lagligheten inte längre är giltig. Våra kunder måste ha processer på plats för att noggrant utvärdera registrerade personers begäran om att deras uppgifter ska raderas. Du kan kontakta vårt dataskyddsombud för att få råd i svåra fall. Om en registrerad beviljas rätten att raderas kommer itslearning , antingen genom vår programvara eller våra supporttjänster, att vara tillgänglig för att hjälpa till att verkställa den registrerades rättigheter.
Kan våra användare nu kräva att vi ger dem en kopia av alla deras personuppgifter?
Ja, i viss utsträckning. Alla era användare har nu starka rättigheter till insyn, information och tillgång till uppgifter. Alla registrerade kan utöva sin rätt att begära en kopia av alla sina personuppgifter, så länge det inte påverkar andra negativt eller om uppgifterna inte redan är tillgängliga för honom/henne. Detta är dock inte en absolut rättighet; andra lagar kan kräva att du skyddar den registrerade eller andra från att få tillgång till vissa typer av information. Du måste noggrant utvärdera dessa förfrågningar enligt GDPR mot rättigheter och skyldigheter i andra förordningar. Du kan kontakta vårt dataskyddsombud för att få råd i svåra fall. Om en registrerad beviljas rätt till åtkomst kommer itslearning , antingen genom vår programvara eller våra supporttjänster, att vara tillgänglig för att hjälpa till att verkställa den registrerades rättigheter.
Kan en användare kontakta itslearning direkt (t.ex. elev, förälder, lärare) för att utöva sina rättigheter enligt GDPR?
Nej. Enligt GDPR är den registrerades (användarens) rättigheter mellan honom och den personuppgiftsansvarige (våra kunder). Alla förfrågningar om registrerade från slutanvändare till itslearning kommer att överlämnas till kunden. itslearning kommer att samarbeta i god tro med kunderna för att säkerställa att de kan utöva de registrerades rättigheter på ett snabbt sätt.
När raderar itslearning personuppgifter?
itslearning raderar personuppgifter efter instruktioner från våra kunder, eller om avtalet mellan oss och kunden upphör. Rutinerna kring radering av kunduppgifter vid uppsägning av tjänst bör anges skriftligen eller i ett dataanvändare -avtal.
En instruktion om att radera en användare i våra tjänster kan antingen utföras manuellt i plattformen av en kundrepresentant, utföras automatiskt genom en integration med ett administrativt system på elev (eller liknande) eller på begäran till vår supportorganisation.
När användare raderas i våra system finns det skyddsåtgärder på plats för att förhindra fel som leder till en oersättlig förlust av data. I många fall måste kunderna manuellt bekräfta raderingen av kunddata, inklusive personuppgifter.
Måste itslearning meddela användare om de har drabbats av ett dataintrång?
Beroende på typen av dataintrång kan våra kunder vara skyldiga att omedelbart meddela både de berörda användarna och tillsynsmyndigheterna. itslearning är skyldigt att utan dröjsmål meddela sina kunder när de får kännedom om ett dataintrång och att hjälpa dem att fullgöra sina skyldigheter att meddela användarna.
Måste jag utse ett dataskyddsombud?
Ja, i många fall. Du är skyldig att utse ett dataskyddsombud om du:
a) Är en offentlig institution
b) Behandlar vissa typer av känsliga uppgifter i stor skala
c) Behandlingen innebär storskalig kontroll eller övervakning
Observera att det är organisationen, inte systemet, som behöver ett dataskyddsombud. I många fall kan din organisation redan ha ett dataskyddsombud. Dataskyddsombudet kan vara en kontrakterad roll. Många statliga institutioner erbjuder dataskyddsombudstjänster till andra institutioner.
Kan jag kräva att en molntjänstleverantör, t.ex. itslearning, endast lagrar personuppgifter i mitt land?
Ett av huvudsyftena med den nya dataskyddsförordningen är att skapa ett fritt flöde av personuppgifter inom Europeiska ekonomiska samarbetsområdet (EES), under en gemensam reglering. I de flesta fall skulle det inte vara tillåtet enligt GDPR att begränsa leverantörers behandling av uppgifter inom EES.
Behandlar itslearning uppgifter utanför EES? Är det tillåtet att behandla uppgifter utanför EES?
GDPR förbjuder inte att personuppgifter flödar utanför EES, men den inför starka skyddsåtgärder för att säkerställa att all behandling av uppgifter utanför EES sker i enlighet med principerna i GDPR. Dessutom måste personuppgiftsansvariga eller personuppgiftsbiträden som behandlar uppgifter utanför EES tillhandahålla detaljerad information om behandlingens art, och i vissa fall tillåta kunder eller användare att invända mot behandlingen.
För de flesta av våra europeiska kunder behandlar itslearning alla personuppgifter inom EES. Det finns vissa undantag i fall där itslearning underlättar valfri integration med verktyg eller tjänster från tredje part som inte är baserade i EES. I dessa fall måste både itslearning och våra kunder följa de krav som anges i GDPR.
Jag har hört att itslearning inte är tillräckligt säkert enligt GDPR! Är detta sant?
GDPR ställer inte upp detaljerade krav på vad som utgör en "säker" molnbaserad tjänst. Det är ett gemensamt ansvar för våra kunder (personuppgiftsansvariga) och itslearning (personuppgiftsbiträdet) att tillhandahålla lämplig organisatorisk och teknisk säkerhet för de personuppgifter som behandlas och att kunna visa detta. Den största förändringen från aktuella till GDPR är att ansvaret för organisationer som inte tillhandahåller lämplig säkerhet skärps.
Under två decennier har itslearning framgångsrikt skyddat behandlingen av personuppgifter för miljontals användare. Tidigare resultat är dock inte alltid en indikation på framtida resultat. Vi investerar därför kontinuerligt i organisatorisk säkerhet, nätverks- och infrastruktursäkerhet samt applikationssäkerhet för att säkerställa att vi kan erbjuda våra slutanvändare säkerhet utöver vad som är lämpligt. Vi låter också regelbundet tredje part granska vår säkerhet, och vi välkomnar våra kunder att utföra sina egna granskningar.
Som de flesta programvaruföretag går itslearning inte in i detalj om säkerhetsåtgärder på plats. Men bland de skyddsåtgärder och processer som finns på plats för att skydda mot kända hot, inklusive:
- Applikationssäkerhet, t.ex. kryptering av all trafik, starkt hashade lösenord, skydd mot sårbarheter som Cross Site Scripting, SQL-injektioner, phishing och andra.
- Nätverkssäkerhet, brandväggar och system för att upptäcka misstänkt beteende eller för att stoppa illvilliga försök att få tillgång till eller äventyra tjänstens motståndskraft (t.ex. DDOS-attacker).
- Organisatorisk säkerhet, t.ex. åtkomstpolicyer, granskningsloggar och sekretessavtal.
- Fysisk säkerhet för att säkerställa att obehörig åtkomst till infrastruktur för behandling av personuppgifter förhindras.
- Procedursäkerhet - IT-hanteringsprocesser för att minimera risken för mänskliga fel, eller testsystem för att identifiera svagheter i programvaran innan vi släpper nya funktioner till våra molntjänster, eller policyer för att säkerställa att uppgifter endast behandlas efter instruktioner från våra kunder.
Varifrån får itslearning personuppgifter om användare?
itslearning inhämtar inte självständigt användardata till våra tjänster. Användardata kan antingen skickas manuellt till plattformen av kundernas representanter, genom en integration med ett tredjepartssystem eller i vissa fall av användarna själva.
Personuppgifterna i itslearning kommer oftast från "elev informationssystem" som kontrolleras av våra kunder. Vi importerar endast uppgifter från tredje parts system efter instruktioner från våra kunder.
Skickar itslearning uppgifter till tredje part?
itslearning inte självständigt skickar uppgifter till tredje part utan instruktioner från våra kunder eller en rättslig skyldighet att göra det. En instruktion från en kund kan komma i form av ett avtal om att integrera med ett verktyg eller en tjänst från tredje part, eller att kundrepresentanter själva skapar en integration med ett verktyg eller en tjänst från tredje part. itslearning vidtar åtgärder för att förhindra att kunder skickar uppgifter till tredje part utan att följa dataskyddsbestämmelserna. Det är dock viktigt att våra kunder implementerar skyddsåtgärder för att säkerställa att data inte överförs till tredje part utan att följa sina juridiska skyldigheter.
Påverkar GDPR amerikanska kunder eller amerikanska slutanvändare?
Inte juridiskt. EU har naturligtvis ingen lagstiftande makt på amerikansk mark. GDPR ger inga rättigheter eller friheter till registrerade som befinner sig i USA. GDPR innebär inte heller några skyldigheter för amerikanska kunder som inte behandlar uppgifter om registrerade i EU/EES. Rättigheterna och skyldigheterna för registrerade och organisationer i USA säkerställs genom delstatliga eller federala bestämmelser eller genom avtal eller frivilliga överenskommelser.
Men itslearning erbjuder i stort sett samma tjänster och samma säkerhetsnivå till våra kunder i USA som vi erbjuder våra kunder i Europa. Amerikanska kunder kommer att dra nytta av itslearning:s strategi och kultur för att säkra personuppgifter enligt GDPR. De grundläggande principerna för skydd av personuppgifter i Europa är en del av den struktur och det avtalsenliga åtagande som vi erbjuder våra amerikanska kunder.