De væsentligste nye temaer er:
- CPR-nummer er en særlig oplysningskategori,
som det kræver lovhjemmel eller samtykke at
behandle. - Alle virksomheder har pligt til at anvende ‘sikker
mail’, hvis de behandler følsomme eller fortrolige
personoplysninger, herunder CPR-nummer, via
mail. - Krav til databehandleraftaler: Hvem skal skolen
have databehandleraftaler med, og hvad skal
aftalerne indeholde. - Krav til risiko- og konsekvensanalyser (ikke
lovpligtigt for frie skoler).
Se vejledningen her.
Nyt om offentliggørelse af billeder
Efter redaktionens afslutning har Datatilsynet desuden opdateret sin vejledning om offentliggørelse af billeder på internettet. Skellet mellem portrætbilleder og situationsbilleder bruges nu heller ikke længere af Datatilsynet. I stedet kan skolen offentliggøre billeder med samtykke eller på baggrund af interesseafvejningsreglen om legitim interesse i offentliggørelse. Når I offentliggør billeder uden samtykke, er det afgørende, at de personer, der optræder på billederne, ikke med rimelighed må kunne føle sig udstillet, udnyttet eller krænket, herunder i markedsføringsøjemed.
En tommelfingerregel er, at samtykke er bedst som hjemmel til offentliggørelse af billeder fra skolens hverdagssituationer med elever. Billeder fra offentlige sammenhænge kan offentliggøres uden samtykke. Det gælder fx åbent hus, gymnastikopvisninger, idrætsturneringer, bedsteforældredag, teaterforestillinger, etc.