Persónuverndarstefna (STS-011)

Menntaskólinn við Sund (skólinn) er ábyrgðaraðili að vinnslu persónuupplýsinga í skólanum í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (persónuverndarlögin). Skólinn starfar samkvæmt lögum nr. 92/2008 um framhaldsskóla (framhaldsskólalögin).

Persónuverndarstefnu þessari er ætlað að upplýsa nemendur, forráðamenn og starfsfólk um hvernig skólinn vinnur með persónuupplýsingar. Vinnsla persónuupplýsinga skal vera í samræmi við persónuverndarlögin.

Hvað eru persónuupplýsingar?

Upplýsingar um persónugreindan eða persónugreinanlegan einstakling teljast til persónuupplýsinga samkvæmt persónuverndarlögunum. Nemandi telst persónugreinanlegur ef hægt er að persónugreina hann beint eða óbeint með kennitölu, nafni, netauðkenni, staðsetningargögnum eða með öðrum auðkennum.

Viðkvæmar persónuupplýsingar eru persónuupplýsingar sem tengjast viðkvæmum þáttum eins og líðan, heilsu, kynþætti, stjórnmálaskoðunum, trúarbrögðum, kynlífi, kynhneigð, erfðafræðilegum upplýsingum, þjóðernislegum uppruna og aðild að stéttarfélagi. Þegar unnið er með viðkvæmar persónuupplýsingar gætir skólinn sérstaklega að vinnslunni.

Hvenær vinnur skólinn með persónuupplýsingar?

Algengast er að Menntaskólinn við Sund vinni með persónuupplýsingar til að uppfylla lagaskyldu sína samkvæmt lögum nr. 92/2008 um framhaldsskóla. Það þýðir að starfsfólk skólans vinnur oftast með persónuupplýsingar um nemendur í þeirra þágu á grundvelli heimildar í framhaldsskólalögunum. Skólinn leggur mikla áherslu á að öll vinnsla persónuupplýsinga fari fram samkvæmt meginreglum persónuverndar. Sérstaklega er hugað að því að gætt sé meðalhófs við vinnslu persónuupplýsinga með öðrum orðum að ekki sé unnið með meira af persónuupplýsingum en nauðsynlegt er miðað við tilgang vinnslunnar. Upplýsingarnar sem unnið er með geta verið á pappír eða á rafrænu formi. Hugtakið vinnsla er notað í rúmum skilningi og þegar talað er um ,,vinnslu persónuupplýsinga“ er meðal annars átt við söfnun, flokkun, eyðingu, miðlun, notkun og skoðun skjals.

Dæmi um vinnslu persónuupplýsinga hjá skólanum:

  • Námsmat nemenda
  • Viðtaka ýmissa vottorða frá nemendum
  • Undanþáguumsóknir
  • Skráning á fjarveru
  • Innritun nemenda í framhaldsskóla
  • Móttaka starfsumsókna
  • Launavinnsla

 

Hvaða upplýsingar vinnur skólinn með?

Það fer eftir eðli mála og verkefna skóla hvaða persónuupplýsingar unnið er með um nemendur og starfsfólk. Að jafnaði vinnur Menntaskólinn við Sund með persónuupplýsingar sem teljast ekki viðkvæmar í skilningi persónuverndarlaganna. Dæmi um persónuupplýsingar sem skólinn vinnur með eru:

  • Nafn
  • Kennitala
  • Heimilisfang
  • Símanúmer
  • Netfang
  • Námsárangur

Skólinn vinnur þó einnig með viðkvæmar persónuupplýsingar og fer vinnsla viðkvæmra persónuupplýsinga að jafnaði fram á grundvelli lagaheimildar. Dæmi um vinnslu viðkvæmra persónuupplýsinga hjá skólanum:

  • Heilsufarsupplýsingar
  • Greiningar nemenda
  • Skráning veikinda
  • Stéttarfélagsaðild starfsfólks

Ef skólinn vinnur með viðkvæmar persónuupplýsingar eins og greiningar nemenda er það oftast á þeim forsendum að nemandi hefur sjálfur afhent skólanum þær til þess að skólinn geti veitt nemendum nám við hæfi og til þess að mæta menntunarþörf einstakra nemenda.

Námsráðgjafar vinna mikið með viðkvæmar persónuupplýsingar en þó getur verið að aðrir starfsmenn eins og umsjónarkennarar þurfi aðgang að upplýsingunum. Rík aðgát er höfð um vinnslu viðkvæmra persónuupplýsinga og er sú vinnsla áhættumetin reglulega. Skólinn fær yfirleitt persónuupplýsingar beint frá nemanda eða starfsmanni en þær geta komið frá þriðja aðila til dæmis barnavernd. Auk þess getur skólinn þurft að miðla upplýsingum til barnaverndar lögum samkvæmt. Starfsmenn hafa persónuupplýsingar í samræmi við starfsskyldu sína. Starfsmenn sem vinna með viðkvæmar persónuupplýsingar skulu gera það í samræmi við persónuverndarlögin, sjá reglugerð nr. 235/2012 um upplýsingaskyldu framhaldsskóla um skólahald, aðra kerfisbundna skráningu og meðferð persónuupplýsinga um nemendur.

Tilgangur með skráningu persónuupplýsinga

Skólinn vinnur með persónuupplýsingar til að geta uppfyllt skyldur sínar gagnvart nemendum vegna laga nr. 92/2008 um framhaldsskóla. Megintilgangur vinnslunnar er oftast að mæta þörfum nemenda. Framhaldsskólum er skylt að sjá til þess að framhaldsskólanemendur fái kennslu og sérstakan stuðning í námi í samræmi við sérþarfir þeirra. Þá er mikilvægt að halda góðum skólabrag og vinna gegn einelti og getur komið til skráningar persónuupplýsinga sem eru viðkvæms eðlis í tengslum við slík mál.

Hvernig vinnur skólinn með persónuupplýsingar?

Skólinn leggur áherslu á að vinnsla persónuupplýsinga samræmist persónuverndarlögum. Hann ber ábyrgð á vinnslu persónuupplýsinga og heldur vinnsluskrá yfir persónuupplýsingar sem eru skráðar og á hvaða heimildum vinnslan er framkvæmd. Skólinn leggur áherslu á að heimildir séu fyrir vinnslu persónuupplýsinga lögum samkvæmt. Markmið skólans er að ávallt sé unnið samkvæmt meginreglum persónuverndarlaganna:

  • Vinnsla persónuupplýsinga skal vera lögleg og sanngjörn
  • Persónuupplýsingar skulu unnar með skýrum og málefnalegum hætti (skulu vera réttmætar)
  • Persónuupplýsingar skulu ekki vera umfram það sem nauðsynlegt þykir
  • Þær skulu vera áreiðanlegar
  • Þær skulu varðveittar í samræmi við lög
  • Öryggi persónuupplýsinga skal vera tryggt

Vinnsla persónuupplýsinga á grundvelli samþykkis

Komið getur til þess að skólinn vinni með persónuupplýsingar á grundvelli samþykkis en það áréttast að það er einungis gert í þágu nemandans og að uppfylltum skilyrðum samþykkis. Með nýju persónuverndarlögunum er ríkari krafa gerð um samþykki sem vinnsluheimild persónuupplýsinga. Samþykki skal vera óþvingað, upplýst, sértækt og vera ótvíræð viljayfirlýsing. Nemendur geta dregið samþykki sitt til baka hvenær sem er, afturköllun samþykkis hefur þó ekki áhrif á vinnslu persónuupplýsinga fram að því að þeir afturkalla samþykki sitt. Dæmi um vinnslu persónuupplýsinga á grundvelli samþykkis gæti verið myndataka. Myndir eru þó almennt aðeins birtar af einstaklingum í sambandi við opna viðburði á vegum skólans og eiga þær ekki að vera viðkvæms eðlis eða með þeim hætti að myndin beinist að einum nemanda.

Öryggi upplýsinga

Menntaskólinn við Sund leggur ríka áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að með vinnslunni. Skólinn hefur yfirlit yfir vinnslu persónuupplýsinga með því að halda vinnsluskrá. Í henni kemur fram hvaða upplýsingar skólinn vinnur með um nemendur og starfsfólk. Áhersla er á að gæta öryggis persónuupplýsinga og annarra gagna með aðgangsstýringu þannig að eingöngu þeir sem þurfa persónuupplýsingarnar hafi aðgang að þeim. Á starfsfólki skóla hvílir þagnaskylda samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins. Það þýðir að starfsmenn mega ekki fjalla um málefni einstakra nemenda í skólanum nema lög kveði á um annað.

Ef öryggisbrestur á sér stað við vinnslu persónuupplýsinga skal það tilkynnt til Persónuverndar eigi síður en 72 klukkustundum eftir að skólinn verður var við brestinn nema að bresturinn verði ekki talinn leiða til áhættu fyrir réttindi og frelsi nemenda. Öryggisbrestur þýðir að ,,brestur verður á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi“.

Verkferlar vegna vinnslu persónuupplýsinga eru yfirfarnir og áhættumetnir reglulega. Þá skráir skólinn persónuupplýsingar í skjalavistunarkerfi hjá sér en sú skylda hvílir á honum að varðveita skjöl samkvæmt lögum nr. 77/2014 um opinber skjalasöfn þar sem skólinn er afhendingarskyldur aðili til Þjóðskjalasafns. Honum ber að varðveita gögn fram að skilum til Þjóðskjalasafns. Grisjun gagna er eingöngu heimil með samþykki þjóðskjalavarðar sem þýðir að skólinn eyðir ekki upplýsingum nema með leyfi eða á grundvelli lagaheimildar.

Menntaskólinn við Sund hefur gert skipulags- og tækniráðstafanir til þess að tryggja öryggi persónuupplýsinga, s.s. aðgangsstýringu þannig að einungis þeir sem þurfa að vinna með persónuupplýsingar vegna starfa sinna hafa aðgang að þeim. Þá hefur starfsfólk fengið fræðslu um öryggismál.

Rafrænar persónuupplýsingar eru geymdar í skjalavistunarkerfinu GoPro, í Innu, og í tölvukerfi skólans.

Skólinn hefur sett sér öryggisstefnu eftir að hafa framkvæmt áhættumat, gert viðeigandi öryggisráðstafanir til að tryggja öryggi kerfa skólans sem er í samræmi við reglur um öryggi persónuupplýsinga.

Réttindi nemenda (hins skráða)

Samkvæmt persónuverndarlöggjöfinni geta nemendur átt ákveðin réttindi, sem dæmi:

  • Aðgangsrétt. Nemendur eiga rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem skólinn vinnur um þá. Komið getur til takmörkunar á þessum rétti t.d. vegna réttinda annarra sem vega þyngra eftir hagsmunamat.
  • Réttur til leiðréttingar. Hafi verið skráðar rangar upplýsingar, geta nemendur óskað eftir því að upplýsingar verði leiðréttar eða bætt við upplýsingum. Skoða þarf hvert mál fyrir sig og með hliðsjón af lögum nr. 77/2014 um opinber skjalasöfn þar sem opinberir framhaldsskólar eru skilaskildir samkvæmt lögunum.
  • Rétt til að draga samþykki sitt til baka ef unnið er með persónuupplýsingar á grundvelli samþykkis.

Vinnsluaðilar
Þeir sem vinna með persónuupplýsingar á vegum framhaldsskólanna eru kallaðir vinnsluaðilar. Nú þegar hafa verið gerðir vinnslusamningar við þrjá þessara aðila. Menntaskólinn við Sund er í samstarfi við eftirtalda vinnsluaðila:

  • Advania ehf. hýsir námsferils- og kennslukerfið INNU í vottuðu umhverfi. Aðgangur að INNU er stýrður og bundinn við þá einstaklinga sem nauðsynlega þurfa aðgang að upplýsingum í samræmi við tilgang vinnslunnar, en það geta verið skólastjórnendur, starfsmenn á skrifstofu, forráðamenn ólögráða nemenda, nemendur sjálfir, námsráðgjafar o.fl.
  • UT Ráðgjöf ehf. þjónustar skólann með tölvuþjónustu í skýi, s.s. tölvupóst og gagnavistun.
  • Landskerfi bókasafna sem rekur upplýsinga- og skráningarkerfið Gegni fyrir bókasöfn.
  • Prentlausnir og tæki sem þjónustar skólann með prent- og ljósritunarvélar.

Persónuverndarfulltrúi

Persónuverndarfulltrúi Menntaskólans við Sund er Dögg Árnadóttir dogga@msund.is. Persónuverndarfulltrúi er óháður og sjálfstæður í stöfum og hefur eftirlit með meðferð persónuupplýsinga innan skólans. Allar ábendingar, kvartanir og fyrirspurnir varðandi persónuvernd er beint til persónuverndarfulltrúans.

Persónuverndarstefna þessi er gerð með þeim fyrirvara að hún er í vinnslu og mun taka breytingum og uppfærslum.

Síðast uppfært: 28.01.2023