Í Menntaskólanum á Egilsstöðum (hér eftir ME) er lögð áhersla á að tryggja að meðferð persónuupplýsinga sé í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga. Skólinn starfar samkvæmt lögum nr. 92/2008 um framhaldsskóla en meginhlutverk hans er að stuðla að þroska allra nemenda, virkri þátttöku þeirra í lýðræðisþjóðfélagi og búa nemendur undir þátttöku í atvinnulífinu og frekara nám.
Markmið persónuverndarstefnunnar er að auðvelda einstaklingum að átta sig á hvaða persónuupplýsingum skólinn safnar, hvers vegna og hvað er gert við þær. Eins er því lýst hver er réttur einstaklings varðandi persónuupplýsingar og hvert hægt er að leita ef óskað er eftir upplýsingum eða ef viðkomandi telur að brotið hafi verið á sér.
Hvað eru persónuupplýsingar?
Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem á einhvern hátt má tengja við ákveðinn einstakling beint eða óbeint, t.d. með kennitölu eða nafni. Viðkvæmar persónugreinanlegar upplýsingar, t.d. upplýsingar um líðan og heilsu, skal gæta sérstaklega.
Hvað er vinnsla persónuupplýsinga?
Þegar talað eru um vinnslu persónuupplýsinga í lögum um persónuvernd er átt við m.a. söfnun persónuupplýsinga, flokkun, eyðingu, miðlun, notkun og skoðun skjals. Dæmi um vinnslu slíkra upplýsinga hjá Menntaskólanum á Egilsstöðum er skráning námsmats, skráning á viðveru og móttaka ýmissa vottorða og greininga.
Hvers vegna safnar Menntaskólinn á Egilsstöðum persónuupplýsingum?
Þær persónuupplýsingar sem skráðar eru í ME hafa lagalegan eða þjónustulegan tilgang. Persónuupplýsingum um nemendur er einungis safnað til að hægt sé mæta þörfum nemenda og uppfylla skyldur skólans gagnvart þeim. Persónuupplýsingum um starfsmenn er safnað til að unnt sé að meta hæfni þeirra til starfsins og greiða þeim laun.
Í ME er lögð áhersla á að ekki sé safnað persónuupplýsingum sem ekki er þörf á miðað við tilgang vinnslunnar, auk þess sem aðgangsstýring er á gögnunum þannig að eingöngu þeir sem þurfa upplýsingarnar hafi aðgengi að þeim. Allt er gert sem hægt er til að tryggja að farið sé með persónuupplýsingar af ýtrustu gætni og að meðferð þeirra sé í samræmi við lög og reglur.
Hvernig vinnur skólinn með persónuupplýsingar?
Skólinn leggur áherslu á að heimildir séu fyrir vinnslu persónuupplýsinga samkvæmt persónuverndarlögunum. Skólinn leggur áherslu á að öll vinnsla persónuupplýsinga fari fram samkvæmt meginreglum persónuverndar og hafa nokkrar grundvallarreglur verið settar um meðhöndlun persónulegra upplýsinga. Upplýsingarnar skulu:
Hvaða persónuupplýsingar eru skráðar og geymdar í ME?
Til þess að hægt sé að bjóða nemendum skólans sem besta þjónustu þarf að skrá og meðhöndla persónulegar upplýsingar um nemendur bæði rafrænt og á pappír.
Dæmi um persónuupplýsingar sem unnið er með í ME og eru notaðar í ofangreindum tilgangi:
Þegar skólinn vinnur með viðkvæmar persónuupplýsingar eins og greiningar nemenda er það á þeim forsendum þegar nemandi sjálfur, eða forráðamaður hans, hefur afhent skólanum þær til að skólinn eigi þess kost að veita nemendum nám við hæfi og mæta menntunarþörf einstakra nemenda. Greiningar geta einnig komið frá þriðja aðila lögum samkvæmt, t.d. Barnavernd.
Hvaða fyrirtæki vinna með ME til að tryggja öryggi persónuupplýsinga?
ME er í samstarfi við Advania sem er rekstraraðili Innu. Fjársýsla ríkisins sér um Orra sem er fjármála- og mannauðskerfi og heldur utan um launamál starfsmanna. Ýmis gögn, s.s. tölvupóstar, eru vistuð í Office 365 en fjármálaráðuneytið gerði samning fyrir hönd framhaldsskóla við Microsoft um leyfi fyrir Microsoft Office 365. ME er með samning við Háskólann á Akureyri vegna notkunar á kennslukerfinu Canvas. Landskerfi bókasafna á og rekur bókasafnskerfið Gegni sem notað er á bókasafni skólans. Málasafn skólans er vistað í SharePoint/EasyCases sem Advania á og rekur. Vefur skólans er settur upp í vefumsjónarkerfinu Moya sem Stefna rekur og er vefurinn hýstur þar. Securitas hefur umsjón með öryggismyndavélum sem eru víða í skólanum og á heimavist. Skólameistari er sá eini sem hefur aðgang að öryggismyndavélum skólans, og um þær gilda ákveðnar reglur.
Aðgangi að þessum kerfum er stýrt með persónulegum aðgangi og á enginn að hafa aðgang að persónuupplýsingum sem ekki hefur til þess heimild. Heimildir til aðgangs að upplýsingum í öllum kerfum sem skólinn notar eru bundnar við þá einstaklinga sem starfs síns vegna þurfa aðgengi að þeim, s.s. skólastjórnendur, kennara, námsráðgjafa og aðra starfsmenn. Ekki hafa allir aðilar sama aðgang að upplýsingum, heldur aðeins að þeim sem viðkomandi þarf á að halda til að geta sinnt þjónustu við nemendur. Öryggisráðstafanir hafa verið gerðar til að hindra að persónuupplýsingar glatist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.
Allir samstarfsaðilar ME eru bundnir trúnaði.
Hvaðan koma upplýsingarnar?
Inna
Grunnupplýsingar nemenda koma frá Þjóðskrá, nemendum sjálfum, forráðamönnum, skólameistara, kennurum, náms- og starfsráðgjöfum eða öðrum starfsmönnum skólans sem til þess hafa heimild. Persónuupplýsingar um starfsmenn koma frá Þjóðskrá og starfsmönnunum sjálfum. Upplýsingar um sérþarfir nemenda koma af skilafundum að fengnu leyfi forráðamanna, frá nemanda eða forráðamanni.
Canvas
Upplýsingaar um nöfn og netföng eru sett inn af skólanum. Kerfið heldur utan um nöfn nemenda og netföng ásamt því að geyma próf, verkefni og einkunnir nemenda. Loka einkunnir eru fluttar yfir í Innu við lok spannar.
Netpóstur
Ef tölvupóstur er sendur til starfsmanns ME varðveitist hann í tölvpóstkerfi skólans og/eða skjalakerfi eftir því sem við á.
EasyCases
Persónuupplýsingar nemenda, sem eru skráðar í málaskrá og geymdar í EasyCases, koma frá Þjóðskrá, nemendum sjálfum, forráðamönnum, skólameistara, kennurum, náms- og starfsráðgjöfum eða öðrum starfsmönnum skólans. Einnig geta þær komið frá þriðja aðila lögum samkvæmt, t.d. Barnavernd. Upplýsingar um starfsmenn koma frá þeim sjálfum, yfirstjórn eða öðrum stjórnendum.
Myndir
Myndir með fréttum á vef skólans eða á samfélagsmiðlum á vegum hans eru aðeins birtar ef nemandi hefur samþykkt myndbirtinguna. Það samþykki er alltaf hægt að draga til baka og óska eftir að myndefni sé fjarlægt.
Ef nemandi eða forráðamaður hans óskar eftir að mynd af viðkomandi sé fjarlægð af vef eða samfélagsmiðli skólans er orðið við þeirri ósk án tafar. Undanþegið frá þessari reglu er þegar hópmynd er tekin í skólanum eða á atburðum honum tengdum og enginn einn einstaklingur er fókus myndarinnar. Myndirnar mega ekki vera viðkvæms eðlis og almennrar háttvísi skal gætt. Nemandi og/eða (ef við á) forráðamaður hans getur þó farið fram á að slíkar myndir verði fjarlægðar af vef skólans eða samfélagsmiðum á hans vegum án þess að gefa upp ástæðu þess.
Afhendir ME persónuupplýsingar til þriðja aðila?
ME afhendir ekki þriðja aðila persónuupplýsingar nema skólanum beri lagaleg skylda til þess, einstaklingur hafi sérstaklega óskað eftir því eða hefur fyrirfram gefið óyggjandi samþykki fyrir því. Slíkt samþykki er hægt að afturkalla á eins auðveldan hátt og samþykkið var gefið.
Hver er réttur einstaklinga?
Einstaklingur hefur rétt á að fá upplýsingar um allar þær persónulegu upplýsingar sem um hann eru skráðar hjá skólanum, hvort sem þær upplýsingar eru á rafrænu eða pappírsformi, hvaðan upplýsingarnar komi og til hvers þær eru notaðar. Í undantekningartilfellum getur þessi heimild verið takmörkuð vegna réttinda annarra sem vega þyngra eftir hagsmunamat.
Einstaklingur hefur rétt til að krefjast þess að rangar eða ófullkomnar skráningar verði leiðréttar.
Einstaklingur getur farið fram á að ónauðsynlegum upplýsingum um hann verði eytt nema skólanum beri skylda til að varðveita upplýsingarnar samkvæmt lögum eða eyðing upplýsinganna brjóti á einhvern hátt á rétti annarrar persónu til persónuverndar.
Einstaklingur getur dregið samþykki sitt til baka ef unnið er með persónuupplýsingar á grundvelli samþykkis.
Þegar einstaklingur fer fram á að fá upplýsingar sem skráðar eru um hann skal beiðnin vera skrifleg og vera viðkomandi að kostnaðarlausu. Umsóknina skal senda á netfangið skrifstofa@me.is
Hvaða persónuupplýsingum safnar vefur ME?
Vefsvæði ME safnar ekki sjálfkrafa neinum persónurekjanlegum gögnum um notkun og notendur. Hins vegar er notkun um vefinn mæld með þjónustum utanaðkomandi aðila sem safna persónuupplýsingum í skilningi persónuverndarlaga. Umferð um vefsvæðið er mæld með þjónustum frá Google og Facebook en þær upplýsingar um notkun sem skólinn hefur aðgang að eru ekki persónurekjanlegar. Tilgangur mælinganna er að afla almennra upplýsinga um notkun (Google Analytics) og að mæla árangur markaðsstarfs skólans (Facebook Pixel).
Markaðsmælingarnar sýna okkur fjöldatölur en eru ópersónurekjanlegar í notkun skólans, þótt Facebook og Google búi yfir meiri upplýsingum um notendur að baki þeim fjöldatölum.
Fyrir notendur sem eru eða hafa nýlega verið innskráðir á Facebook, getur Facebook tengt upplýsingar um heimsókn á okkar vef beint við viðkomandi Facebook notanda. Með sama hætti geta auglýsingakerfi Google tengt notkunarupplýsingar við þá persónuprófíla sem þau búa yfir, prófíla sem eru ýmist nafnlausir eða innihalda persónurekjanlegar upplýsingar á borð við nafn, netfang eða símanúmer.
Fyrir þá notendur sem vilja ekki að notkun þeirra sé mæld á nokkurn hátt er skilvirkast að breyta „Do Not Track“ stillingum í viðkomandi vafra og sækja vafraviðbætur á borð við Privacy Badger, enda hafa slíkar breytingar áhrif á öll vefsvæði. Google býður einnig upp á vafraviðbót til að afþakka Google Analytics mælingar auk möguleikans að breyta skráningum notenda í auglýsinganeti sínu, þar á meðal að afþakka þær alveg.
Vefkökur (e.cookies)
www.me.is notar vafrakökur til að tryggja sem besta upplifun af síðunni fyrir notendur. Kökurnar má flokka í fernt; nauðsynlegar, frammistöðu- og virkniauðgandi, tölfræðilegar, markaðssetning.
Vafrakökur eru upplýsingapakkar, sem netvafrar vista að beiðni vefþjóna. Þegar vafrinn seinna biður sama vefþjón um vefsíðu er kakan send til þjónsins með beiðninni. Vefþjónninn getur þá notað þessar upplýsingar frá vafranum til frekari vinnslu. Kökur geyma oft upplýsingar um stillingar notanda, tölfræði heimsókna, auðkenni innskráðra notanda o.fl. Kökur eru einnig oft nauðsynlegar til að geta boðið upp á ýmsa virkni og koma í veg fyrir árásir tölvuþrjóta. Vafrinn eyðir kökunni þegar líftími hennar rennur út. Hver kaka er bundin við þann vefþjón sem sendi kökuna og aðeins sá vefþjónn fær að sjá kökuna. Ef þú ert ekki ánægð/ur með notkun á einhverjum kökum á vefsíðunni getur þú lokað á þær eða eytt úr vafranum þínum. Gerir þú slíkt getur það hamlað virkni vefsíðunnar.
SSL skilríki
Vefurinn notast við SSL-skilríki við gagnaflutning, þ.e. gögnin eru dulkóðuð og þar með öruggari.
Öryggismyndavélar
Rafræn vöktun með öryggismyndavélum í og við húsnæði ME byggir á lögmætum hagsmunum og er metin nauðsynleg í öryggis- og eignavörsluskyni. Tilgangur þeirra er að varna því að eigum sé stolið, þær séu skemmdar eða farið um húsnæði skólans í leyfisleysi.
Öryggismyndavélarnar eru samtals 26 og eru þær staðsettar á göngum skólans og heimavistarhúsnæðis, í matsal og á bókasafni. Auk þess eru þær við alla innganga, á bílaplani og hjólastæði. Sérstakar merkingar eru við innganga skólans til að þeir sem eiga leið um húsnæðið viti af tilvist myndavélanna.
Öryggismyndavélar eru stilltar þannig að upptaka hefst þegar vél skynjar hreyfingu. Myndefni sem verður til við vöktun er vistað á sérstökum netþjóni. Aðgang að netþjóninum hefur skólameistari. Myndefnið er eingöngu skoðað vegna eignavörslu eða öryggis, s.s. þjófnaðar, skemmdarverka eða slysa. Myndefnið geymist að hámarki í 90 daga og eyðist sjálfkrafa. Myndefni sem verður til við vöktun er ekki afhent öðrum og ekki unnið með það nema með samþykki þess sem upptakan er af eða með heimild Persónuverndar. Undantekning frá þessu er að heimilt er að afhenda lögreglu upptökur, varði þær upplýsingar um slys eða refsiverða háttsemi.
Öryggi
Áhersla er á að gæta öryggis persónuupplýsinga og annarra gagna með aðgangsstýringu þannig að eingöngu þeir sem þurfa persónuupplýsingarnar hafi aðgang að þeim. Starfsmenn ME eru bundnir þagnarskyldu sem gildir áfram eftir að störfum þeirra er lokið við skólann og þeim ber skylda til að fara með persónuupplýsingar samkvæmt lögum og reglum. Þetta þýðir að starfsmenn mega ekki fjalla um málefni einstakra nemenda í skólanum nema lög kveði á um annað.
Ef öryggisbrestur verður skal tilkynna það til Persónuverndar innan 72 klukkustundum eftir að skólinn verður var við brestinn nema bresturinn verði ekki talinn leiða til áhættu fyrir réttindi og frelsi nemenda. Með öryggisbresti er átt við óviljandi eða ólöglegar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfileysi.
Persónuverndarfulltrúi
Í ME er starfandi persónuverndarfulltrúi. Hann er óháður og sjálfstæður í störfum og hefur hann það hlutverk að fylgjast með að farið sé eftir ákvæðum laga og reglna um persónuvernd. Hann veitir ráðgjöf og er til staðar komi upp álitamál á sviði persónuverndar. Persónuverndarfulltrúinn upplýsir starfsmenn um skyldur þeirra varðandi persónuvernd og framkvæmir úttektir. Hann er tengiliður við Persónuvernd og vinnur með henni.
Persónuverndarfulltrúi tekur á móti fyrirspurnum, beiðnum og kvörtunum. Hægt er að hafa samband við hann í síma 4712500, senda tölvupóst á netfangið hulda@me.is
Hver er eftirlitsaðili?
Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lög eða reglugerð. Persónuvernd úrskurðar um hvort brot hafi átt sér stað.
Frekari upplýsingar um persónuvernd er að finna á vef stofnunarinnar, www.personuvernd.is.
Kynnt á starfsmannafundi ME 6.9.2021