Resultater af Datatilsynets tilsyn og krav til opbevaringsperioder
Datatilsynet har afsluttet et planlagt tilsyn af flere skolefotoudbyderes behandling af personoplysninger. Overordnet ses god efterlevelse, men én udbyders opbevaringstid blev kritiseret ud fra GDPRs princip om opbevaringsbegrænsning.
Udbyderen blev bedt om at forkorte opbevaring af skolefotos fra op til ti år, da genbestillinger ikke kunne begrunde perioden. Udbyderen har meddelt, at fristen nedsættes til tre år.
Rollefordeling og sikring af de registreredes rettigheder
Tilsynet havde også fokus på rollefordelingen mellem skoler og udbydere, herunder hvornår skolen er dataansvarlig, og udbyderen er databehandler. Korrekte roller er forudsætning for lovligt grundlag, oplysningspligt og rettidig sletning.
Datatilsynet fremhæver behovet for databehandleraftaler, dokumenterede procedurer for indsigt og sletning samt passende tekniske og organisatoriske foranstaltninger. Parterne skal kunne demonstrere efterlevelse med fortegnelser og interne kontroller.
Anbefalede tiltag og relevante ressourcer
Skoler og leverandører bør nu gennemgå slettepolitikker, opbevaringsperioder og bestillingsflows for at sikre nødvendighed og proportionalitet. Træn medarbejdere i at håndtere anmodninger fra forældre og elever.
Datatilsynets samlede observationer findes i det afsluttende brev på datatilsynet.dk. Se også vejledningen om rollefordeling her og tjeklisten til skoler her.
