Bekendtgørelse om fælles dataansvar i forbindelse med administration af befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
Uddannelses- og Forskningsstyrelsens bekendtgørelse nr. 1869 af 8/12 2020.
I medfør af § 13, stk. 4, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v., jf. lovbekendtgørelse nr. 1325 af 9. september 2020, fastsættes efter bemyndigelse i henhold til § 1, stk. 1, i bekendtgørelse nr. 1390 af 23. september 2020 om delegation af børne- og undervisningsministerens beføjelser i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v. og i lov om statens voksenuddannelsesstøtte:
§ 1. I bilag 1 fastsættes Uddannelses- og Forskningsstyrelsens og uddannelsesstedernes respektive ansvar for overholdelse af forpligtelserne som dataansvarlige i henhold til databeskyttelsesforordningen, jf. kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26.
§ 2. Bekendtgørelsen træder i kraft den 1. januar 2021.
Bilag 1
1. Indledning
1.1. Uddannelses- og Forskningsstyrelsen stiller et administrativt system (US2000) til egen rådighed og til rådighed for statslige institutioner, privat- og offentligt selvejende institutioner og private institutioner (herefter uddannelsesstederne), der udbyder uddannelser eller undervisningsforløb, der er omfattet af § 2, stk. 1, og regler fastsat i medfør af § 2, stk. 2, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v. Uddannelsesstederne er forpligtet til at benytte US2000 i henhold til regler fastsat i 13, stk. 1, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
1.2. Uddannelses- og Forskningsstyrelsen anvender US200 i forbindelse med følgende opgaver:
– Afgørelse om ret til befordringsrabat, herunder om hvornår der er tale om daglig befordring, efter §§ 2, 3 og 4, stk. 1, nr. 1-4, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v., og regler fastsat i medfør heraf.
– Afgørelse om tilbagebetaling af for meget modtaget godtgørelser efter en kilometersats, jf. § 9 b i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v., og regler fastsat i medfør heraf.
– Afgørelse om kontant udbetaling af befordringsrabat, jf. § 8 i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v., og regler fastsat i medfør heraf.
– Behandling af klager til Ankenævnet for Statens Uddannelsesstøtteordninger, jf. § 16, stk. 3, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
– Tilsyn med uddannelsesstedernes administration, jf. § 13, stk. 3, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
– Vejledning af uddannelsessøgende og deltagere samt uddannelsessteder om befordringsrabat og godtgørelse efter en kilometersats.
1.3. Uddannelsesstederne anvender US2000 i forbindelse med følgende opgaver:
– Afgørelser om studieaktivitet, jf. § 4, stk. 1, nr. 5, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
– Afgørelser om ret til godtgørelse efter en kilometersats, jf. § 9 i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v., og regler fastsat i medfør heraf.
– Modtagelse af ansøgninger om dispensation fra krav om, at den daglige rejsetid mellem den uddannelsessøgendes eller deltagerens bopæl og uddannelsessted ikke overstiger 3½ timer hver vej, jf. regler fastsat i § 2, stk. 4, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v. og om kontant udbetaling af befordringsrabat, jf. regler fastsat i medfør heraf § 8, stk. 2, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
– Videresendelse af ovennævnte ansøgninger til Forsknings- og Uddannelsesstyrelsen, jf. regler fastsat i medfør af § 13, stk. 1, 2. pkt., i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
– Bistand i forbindelse med de uddannelsessøgendes eller deltagernes digitale ansøgning, jf. regler fastsat i medfør af § 14, nr. 2, i lov om befordringsrabat til uddannelsessøgende i ungdomsuddannelser m.v.
– Vejledning af uddannelsessøgende og deltagere om befordringsrabat og godtgørelse efter en kilometersats.
2. Fælles dataansvar
2.1. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
2.2. Foreligger der et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.
2.3. Efter databeskyttelsesforordningens artikel 26, stk. 2, skal ordningen på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de personer, der registreres oplysninger om.
2.4. Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
2.5. Den ansvarsfordeling, der her fastsættes, hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor både Uddannelses- og Forskningsstyrelsen og uddannelsesstederne.
2.6. Ved uddannelsesstedernes anvendelse af US2000, foreligger der et fælles dataansvar mellem Uddannelses- og Forskningsstyrelsen og uddannelsesstederne. Ved vurderingen heraf er der bl.a. lagt vægt på, at de behandlinger af personoplysninger, som finder sted i US2000, sker til begge parters formål og med fælles hjælpemidler (US2000), jf. under punkt 1.2 og 1.3.
3. Overordnet ansvarsfordeling
3.1. Som bruger af US2000 er den enkelte uddannelsessted ansvarlig for den behandling af personoplysninger, som uddannelsesstedet foretager, jf. punkt 1.3, herunder korrekt indsamling og registrering af oplysninger. Det enkelte uddannelsessted er ligeledes ansvarlig for iagttagelsen af den registreredes rettigheder i forhold til den behandling af personoplysninger, som uddannelsesstedet foretager.
3.2. Som ansvarlig myndighed for US2000 er Uddannelses- og Forskningsstyrelsen ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau for US2000, der passer til de identificerede risici for behandlingen.
4. Principper og behandlingshjemmel
4.1. Uddannelses- og Forskningsstyrelsen og uddannelsesstederne er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, at der forligger et gyldigt behandlingsgrundlag og at dette kan dokumenteres.
5. Den registreredes rettigheder
5.1. Uddannelses- og Forskningsstyrelsen er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:
– Oplysningspligt ved indsamling af personoplysninger hos den registrerede, jf. artikel 13.
– Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14.
– Den registreredes indsigtsret, jf. artikel 15.
– Ret til berigtigelse, jf. artikel 16.
– Ret til sletning (retten til at blive glemt), jf. artikel 17.
– Ret til begrænsning af behandling, jf. artikel 18.
– Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 19.
– Ret til indsigelse mod en behandling, jf. artikel 21.
5.2. Såfremt uddannelsesstedet modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af Uddannelses- og Forskningsstyrelsens ansvar, jf. punkt 5.1, oversender uddannelsesstedet hurtigst muligt denne til besvarelse hos Uddannelses- og Forskningsstyrelsen.
5.3. Uddannelsesstederne og Uddannelses- og Forskningsstyrelsen er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at efterleve forpligtelserne over for de registrerede.
6. Behandlingssikkerhed og dokumentation for overholdelse af Databeskyttelsesforordningen
6.1. Uddannelses- og Forskningsstyrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Uddannelses- og Forskningsstyrelsen, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger. Det indebærer bl.a., at Uddannelses- og Forskningsstyrelsen skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at begrænse de identificerede risici. Uddannelses- og Forskningsstyrelsen skal være i stand til at påvise, at Uddannelses- og Forskningsstyrelsens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1. Dette kan eksempelvis indebære udarbejdelse af procedurer for anmodninger om indsigt eller opfyldelse af oplysningspligten, jf. under punkt 5.1.
6.2. Uddannelses- og Forskningsstyrelsen er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.
6.3. For den del af behandlingen som knytter sig til det enkelte uddannelsessteds anvendelse af US2000, er det enkelte uddannelsessted ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer at det enkelte uddannelsessted, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger, herunder foranstaltninger, der sikrer, at alene brugere med et arbejdsbetinget behov har adgang til US2000. Det indebærer bl.a., at det enkelte uddannelsessted skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at begrænse de identificerede risici. Det enkelte uddannelsessted skal være i stand til at påvise, at uddannelsesstedets behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1. Dette kan eksempelvis indebære udarbejdelse af procedurer for videresendelse af anmodninger om indsigt eller opfyldelse af oplysningspligten til Uddannelses- og Forskningsstyrelsen, jf. under punkt 5.2.
7. Anvendelse af databehandlere og eventuelle underdatabehandlere
7.1. Uddannelses- og Forskningsstyrelsen er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i tilknytning til US2000.
7.2. Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Uddannelses- og Forskningsstyrelsen ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Uddannelses- og Forskningsstyrelsen er herefter bl.a. forpligtet til:
– Alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
– At sikre, at der foreligger en gyldig databehandleraftale mellem Uddannelses- og Forskningsstyrelsen og databehandleren.
– At sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
– At sikre, at der i relevant omfang føres tilsyn med anvendte databehandlere og eventuelle underdatabehandlere.
7.3 Hvis oplysningerne behandles af databehandlere, skal Uddannelses- og Forskningsstyrelsen efter anmodning fra uddannelsesstederne oplyse om indholdet af aftalerne med databehandlerne, herunder om eventuelle underdatabehandlere.
7.4. Hvis oplysningerne behandles af databehandlere og eventuelle underdatabehandlere, jf. pkt. 7.1, skal Uddannelses- og Forskningsstyrelsen efter anmodning fra uddannelsesstederne oplyse om resultatet af gennemførte tilsyn og initiativer i anledning heraf, jf. pkt. 7.2.
8. Fortegnelse
8.1. Uddannelses- og Forskningsstyrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Uddannelses- og Forskningsstyrelsen fører fortegnelser over de behandlingsaktiviteter, som foretages i US2000.
8.2. Uddannelses- og Forskningsstyrelsen orienterer efter anmodning uddannelsesstederne om indholdet af ovennævnte fortegnelser.
8.3. Den enkelte uddannelsessted skal – eventuelt på baggrund af indholdet i fortegnelserne hos Uddannelses- og Forskningsstyrelsen – udarbejde egne fortegnelser over de behandlingsaktiviteter, der er omfattet af denne bekendtgørelse.
9. Anmeldelse af brud på persondatasikkerheden til Datatilsynet
9.1. Uddannelses- og Forskningsstyrelsen er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet.
9.2. Den enkelte uddannelsessted er dog ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af US2000. I et sådant tilfælde er Uddannelses- og Forskningsstyrelsen forpligtet til at bistå uddannelsesstedet med nødvendige oplysninger.
10. Underretning om brud på persondatasikkerheden til den registrerede
10.1. Uddannelses- og Forskningsstyrelsen er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.
10.2. Den enkelte uddannelsessted er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 om underretning til den registrerede om brud på persondatasikkerheden, hvis et brud på persondatasikkerheden skyldes forhold hos SVU-administratoren. I et sådant tilfælde er Uddannelses- og Forskningsstyrelsen forpligtet til at bistå uddannelsesstedet med nødvendige oplysninger.
11. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
11.1. Uddannelses- og Forskningsstyrelsen er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Uddannelses- og Forskningsstyrelsen forud for behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
11.2. Uddannelses- og Forskningsstyrelsen er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når kravet om høring finder anvendelse.
12. Overførsel af personoplysninger til tredjelande eller internationale organisationer
12.1. Uddannelses- og Forskningsstyrelsen er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, hvis der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.
13. Klager
13.1. Uddannelsesstederne og Uddannelses- og Forskningsstyrelsen er hver især ansvarlig for behandling af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilken uddannelsesstederne eller Uddannelses- og Forskningsstyrelsen efter denne bekendtgørelse er ansvarlig.
13.2. Hvis et uddannelsessted eller Uddannelses- og Forskningsstyrelsen modtager en klage, som rettelig bør behandles af den anden part, sendes klagen til denne part snarest muligt.
13.3. Hvis et uddannelsessted eller Uddannelses- og Forskningsstyrelsen modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, sendes denne del af klagen til besvarelse hos denne part snarest muligt.
13.4. Den registrerede skal, i forbindelse med et uddannelsessted eller Uddannelses- og Forskningsstyrelsens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne bekendtgørelse.
14. Orientering af den anden part
14.1. Uddannelses- og Forskningsstyrelsen og de enkelte uddannelsessteder orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og det system, der er omfattet af denne bekendtgørelse.