Menntaskólinn á Akureyri (MA) hefur vernd persónuupplýsinga að leiðarljósi og leggur áherslu á að þær séu unnar með lögmætum, vönduðum og gagnsæjum hætti og í samræmi við persónuverndarlögin. Persónuupplýsinga er einungis aflað til að skólinn geti fullnægt lagalegri skyldu sinni við að þjónusta nemendur og ber starfsfólki að viðhafa ítrustu gætni í meðferð þeirra. Í persónuverndarstefnu MA kemur fram í hvaða tilgangi persónuupplýsingum er safnað og hvernig farið er með slík gögn. Markmiðið er að nemendur og starfsmenn séu upplýstir um hvernig skólinn safnar persónuupplýsingum og vinnur þær.

1. Hvað eru persónuupplýsingar?

Upplýsingar um persónugreindan eða persónugreinanlegan einstakling teljast til persónuupplýsinga samkvæmt persónuverndarlögunum. Einstaklingur telst persónugreinanlegur ef hægt er að persónugreina hann beint eða óbeint, t.d. með kennitölu, nafni, netauðkenni, staðsetningargögnum eða með öðrum auðkennum.

Viðkvæmar persónuupplýsingar eru persónuupplýsingar sem tengjast viðkvæmum þáttum eins og líðan, heilsu, kynþætti, stjórnmálaskoðunum, trúarbrögðum, kynlífi, kynhneigð eða erfðafræðilegum upplýsingum og þjóðernislegum uppruna. Ef unnið er með viðkvæmar persónuupplýsingar skal skólinn gæta sérstaklega að vinnslunni.

2. Hvenær vinnur skólinn með persónuupplýsingar?

Algengast er að MA vinni með persónuupplýsingar um nemendur til að uppfylla lagaskyldu sína samkvæmt lögum nr. 92/2008 um framhaldsskóla. Það felur í sér að starfsfólk skólans vinnur oftast með persónuupplýsingar um nemendur í þeirra þágu á grundvelli heimildar í framhaldsskólalögunum. Skólinn leggur mikla áherslu á að öll vinnsla persónuupplýsinga um nemendur og starfsfólk fari fram samkvæmt meginreglum persónuverndar. Sérstaklega er hugað að því að vinnsla persónuupplýsinga takmarkist við meðalhóf, þ.e. að ekki sé unnið með meira af persónuupplýsingum en nauðsynlegt er miðað við tilgang vinnslunnar. Upplýsingarnar sem unnið er með geta verið á pappír eða á rafrænu formi, en rafræn vinnsla hefur aukist mikið síðustu ár. Hugtakið vinnsla er notað í rúmum skilningi og þegar talað er um ,,vinnslu persónuupplýsinga“ er m.a. átt við söfnun, flokkun, eyðingu, miðlun, notkun og skoðun skjals. Dæmi um vinnslu persónuupplýsinga hjá MA:

  • Námsmat nemenda
  • Viðtaka ýmissa vottorða frá nemendum
  • Skráning á viðveru
  • Innritun nemenda
  • Launareikningur starfsfólks

Vinnsla persónuupplýsinga getur farið fram með ólíkum hætti, sem dæmi má nefna þær upplýsingar sem skólameistari fær vegna innritunar nemenda. Menntamálastofnun fer með innritun nemenda í framhaldsskóla og er hún rafræn. Skólameistari fer þó einnig með vinnslu umsókna, hann fær t.d. sendar upplýsingar sem umsækjandi vill láta fylgja með umsókn.

3. Hvaða persónuupplýsingar skráir eða geymir MA?

MA safnar og varðveitir ýmsar persónuupplýsingar, ýmist rafrænt eða á pappír, en þó eingöngu upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi vinnslunnar hverju sinni. Undir tilteknum kringumstæðum safnar skólinn viðkvæmum persónuupplýsingum.

Að jafnaði vinnur MA með persónuupplýsingar sem teljast ekki til viðkvæmra í skilningi persónuverndarlaganna. Dæmi um persónuupplýsingar sem skólinn vinnur með eru:

  • Nafn
  • Kennitala
  • Heimilisfang
  • Símanúmer
  • Netfang
  • Námsárangur

Skólinn vinnur þó einnig með viðkvæmar persónuupplýsingar og fer vinnsla viðkvæmra persónuupplýsinga að jafnaði fram á grundvelli lagaheimildar. Dæmi um vinnslu viðkvæmra persónuupplýsinga hjá skólanum:

  • Heilsufarsupplýsingar
  • Greiningar nemenda
  • Skráning veikinda
  • Launareikningur starfsfólks

Ef skólinn vinnur með viðkvæmar persónuupplýsingar eins og greiningar nemenda er það oftast á þeim forsendum þegar nemandi hefur sjálfur afhent skólanum þær til þess að skólinn eigi þess kost á að veita nemendum nám við hæfi. Námsráðgjafar eða sálfræðingar vinna mikið með viðkvæmar persónu­upplýsingar, en þó getur verið að aðrir starfsmenn eins og umsjónarkennarar þurfi aðgang að upplýsingunum. Rík aðgát skal höfð um vinnslu viðkvæmra persónuupplýsinga og er sú vinnsla áhættumetin reglulega. Skólinn fær yfirleitt persónuupplýsingar beint frá nemanda eða starfsmanni, en þær geta komið frá þriðja aðila t.d. barnavernd. Auk þess getur komið til þess að skólinn þurfi að miðla upplýsingum til barnaverndar lögum samkvæmt. Starfsmenn vinna með persónuupplýsingar í samræmi við starfsskyldu sína. Starfsmenn sem vinna með viðkvæmar persónuupplýsingar skulu gera það í samræmi við persónuverndarlögin, sjá reglugerð nr. 230/2012 um upplýsingaskyldu framhaldsskóla um skólahald, aðra kerfisbundna skráningu og meðferð persónuupplýsinga um nemendur.

4. Tilgangur með skráningu persónuupplýsinga

MA vinnur með persónuupplýsingar m.a. til að geta uppfyllt skyldur sínar gagnvart nemendum vegna laga nr. 92/2008 um framhaldsskóla. Megintilgangur vinnslunnar er oftast að mæta þörfum nemenda. Framhaldsskólum er m.a. skylt að sjá til þess að framhaldsskólanemendur fái kennslu og sérstakan stuðning í námi í samræmi við sérþarfir þeirra.

5. Hvaðan koma persónuupplýsingarnar?

Persónuupplýsingarnar sem skráðar eru í Innu koma frá nemanda sjálfum, forráðamanni hans, stjórnendum og kennara. Skilaboð send innan Innu eru varðveitt í Innu. Bréf og tölvupóstur er varðar skólann, nemendur og starfsmenn getur verið varðveittur í samræmi við innihald netpóstsins. Upplýsingar um sérþarfir nemenda koma frá nemanda eða forráðamanni hans. Upplýsingar um starfsmenn sem geymdar eru í Orra koma frá starfsmönnunum sjálfum. Að jafnaði aflar skólinn persónuupplýsinga beint frá þeim einstaklingi sem upplýsingarnar varða. Við tilteknar aðstæður geta þær þó komið frá þriðja aðila. 

6. Afhending til þriðja aðila

MA miðlar ekki persónuupplýsingum til þriðja aðila nema honum sé það skylt samkvæmt lögum, eða viðkomandi einstaklingur hafi óskað eftir og fyrir fram gefið samþykki fyrir því. Slíkt samþykki er auðveldlega hægt að afturkalla. 

MA kann að miðla ákveðnum persónuupplýsingum til þriðja aðila sem hafa gert þjónustusamninga við skólann t.d. geta þeir aðilar sem veita skólanum upplýsingatækniþjónustu, mötuneytisþjónustu eða heimavist haft aðgang að persónuupplýsingum sem skólinn lætur þeim í té.

7. Öryggi upplýsinga

MA leggur ríka áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að með vinnslunni. Skólinn hefur yfirlit yfir vinnslu persónuupplýsinga með því að halda vinnsluskrá. Í henni kemur m.a. fram hvaða upplýsingar um nemendur og starfsfólk skólinn vinnur með. Áhersla er á að gæta öryggis persónuupplýsinga og annarra gagna með aðgangsstýringu þannig að eingöngu þeir sem þurfa persónuupplýsingarnar hafi aðgang að þeim. Á starfsfólki skóla hvílir þagnarskylda samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins. Það þýðir að starfsmenn mega ekki fjalla um málefni einstakra nemenda í skólanum nema lög kveði á um annað.

Ef öryggisbrestur á sér stað við vinnslu persónuupplýsinga skal það tilkynnt til Persónuverndar eigi síður en 72 klukkustundum eftir að skólinn verður var við brestinn, nema að bresturinn verði ekki talinn leiða til áhættu fyrir réttindi og frelsi nemenda og starfsfólks. Öryggisbrestur þýðir að ,,brestur verður á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi“.

Verkferlar vegna vinnslu persónuupplýsinga eru yfirfarnir og áhættumetnir reglulega. Þá skráir skólinn persónuupplýsingar í skjalavistunarkerfi hjá sér en sú skylda hvílir á honum að varðveita skjöl samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, en MA er afhendingarskyldur aðili til Þjóðskjalasafns. Honum ber að varðveita gögn fram að skilum til Þjóðskjalasafns. Grisjun gagna er eingöngu heimil með samþykki þjóðskjalavarðar, en það þýðir að MA eyðir ekki upplýsingum nema með leyfi eða á grundvelli lagaheimildar.

8. Réttindi nemenda og starfsfólks

Samkvæmt persónuverndarlöggjöfinni geta einstaklingar átt ákveðin réttindi, sem dæmi:

Aðgangsrétt. Einstaklingar eiga rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem skólinn vinnur um þá. Komið getur til takmörkunar á þessum rétti t.d. vegna réttinda annarra sem vega þyngra eftir hagsmunamat.

Rétt til leiðréttingar. Hafi verið skráðar rangar upplýsingar, geta einstaklingar óskað eftir því að upplýsingar verði leiðréttar eða bætt við upplýsingum. Skoða þarf hvert mál fyrir sig og með hliðsjón af lögum nr. 77/2014 um opinber skjalasöfn þar sem opinberir framhaldsskólar eru skilaskyldir samkvæmt lögunum.

Rétt til að draga samþykki sitt til baka ef unnið er með persónuupplýsingar á grundvelli samþykkis.

9. Vinnsluaðilar

Þeir sem vinna með persónuupplýsingar á vegum framhaldsskólanna eru kallaðir vinnsluaðilar og gera þeir með sér svokallaðan vinnslusamning. MA er t.d. í samstarfi við Advania, sem telst vinnsluaðili í skilningi persónuverndarlaganna, en hann hýsir námsferils- og kennslukerfið INNU í vottuðu umhverfi. Aðgangur að INNU er stýrður og bundinn við þá einstaklinga sem nauðsynlega þurfa aðgang að upplýsingum í samræmi við tilgang vinnslunnar, en það geta verið skólameistari, forráðamenn ólögráða nemenda, nemendur sjálfir, námsráðgjafar o.fl. Microsoft fyrirtækið þjónustar skólann með tölvuþjónustu í skýi, s.s. tölvupóst og gagnavistun. MA hefur gert skipulags- og tækniráðstafanir til þess að tryggja öryggi persónuupplýsinga, s.s. dulkóðun og aðgangsstýringu þannig að einungis þeir sem þurfa að vinna með persónuupplýsingar vegna starfa sinna hafa aðgang að þeim. Starfsfólk fær fræðslu um öryggismál.

Skólinn setur sér öryggisstefnu eftir að hafa framkvæmt áhættumat og gerir viðeigandi öryggisráðstafanir til að tryggja öryggi kerfa skólans sem er í samræmi við reglur um öryggi persónuupplýsinga. Rafrænar persónuupplýsingar eru geymdar í skjalavistunarkerfinu SharePoint en einnig í Orra, Innu, námsumsjónarkerfunum Moodle og OneNote og á OneDrive.

10. Persónuverndarfulltrúi - tengiliður

Hafi einstaklingar spurningar um persónuverndarstefnu þessa eða hvernig skólinn varðveitir eða vinnur persónuupplýsingar að öðru leyti, geta þeir ávallt haft samband við skrifstofu MA eða persónuverndarfulltrúa MA sem mun leitast við að svara fyrirspurnum og leiðbeina einstaklingum um réttindi þeirra samkvæmt persónuverndarstefnu þessari og persónuverndarlögum. Ef einstaklingur er ósáttur við vinnslu MA á persónuupplýsingum hans getur hann jafnframt sent erindi til Persónuverndar (www.personuvernd.is).

Fyrirspurnir má senda á netfangið ma@ma.is en persónuverndarfulltrúi skólans er Hallgrímur Jónsson lögfræðingur (hallgrimur@pacta.is). 

Skrifstofa MA er opin alla virka daga frá kl. 8-14, sími 455-1555, ma@ma.is

11. Endurskoðun

MA getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum og reglugerðum eða vegna breytinga á því hvernig skólinn vinnur með persónuupplýsingar.

Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt og tilkynning þess efnis hefur verið birt á heimasíðu skólans.

Þessi persónuverndarstefna var sett á heimasíðu MA í nóvember 2019 og tekur þegar í stað gildi.

Skólameistari kynnir stefnuna fyrir skólanefnd og á starfsmannafundi í janúar 2020.

 

Akureyri, nóvember 2019

Jón Már Héðinsson

Skólameistari MA