Persónuverndarstefna MH - ytri stefna

Menntaskólinn við Hamrahlíð (hér eftir nefndur MH eða skólinn) ber ábyrgð á vinnslu persónuupplýsinga sem fer fram hjá skólanum. Lögð er áhersla á að vinnsla upplýsinganna sé í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 sem tóku gildi 15. júlí 2018.

Persónuupplýsingar eru upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar. Um nánari skilgreiningu á því hvað teljist persónuupplýsingar og hvað teljist viðkvæmar persónuupplýsingar vísast til 2. og 3. tl. 3. gr. laga nr. 90/2018.

Persónuverndarstefna MH skiptist í ytri og innri stefnu. Ytri stefnan beinist eingöngu að nemendum skólans og forsjáraðilum þeirra og er birt á heimasíðu skólans. Innri stefnan beinist að starfsfólki. Markmið hennar er að upplýsa starfsfólk um hvernig skólinn vinnur með persónuupplýsingar um það. Innri stefnan er aðgengileg starfsfólki á sameiginlegu svæði á Teams.

Markmið ytri persónuverndarstefnu MH er að upplýsa nemendur og forsjáraðila um hvernig skólinn vinnur með persónuupplýsingar um nemendur, hvers vegna hann safnar upplýsingum um hinn skráða, í hvaða tilgangi og hvað er gert við þær. Rétti einstaklings varðandi persónuupplýsingar er lýst og honum bent á úrræði óski hann eftir upplýsingum eða hann telur á sér brotið.

MH leitast við að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem skólinn vinnur með hverju sinni. Persónuverndarstefna skólans kann því að taka breytingum í kjölfar reglubundins eftirlits og úttekta. Breytingar á stefnunni öðlast gildi við birtingu uppfærðrar stefnu á vefsíðu skólans, mh.is.

Persónuverndarfulltrúi

Persónuverndarfulltrúi MH er Halldóra S. Sigurðardóttir. Netfang: personuvernd@mh.is. Persónuverndarfulltrúi er óháður og sjálfstæður í störfum og hefur það hlutverk að fylgjast með að farið sé eftir ákvæðum laga og reglna um persónuvernd í skólanum. Persónuverndarfulltrúi fræðir nemendur og starfsfólk um málefni er varða persónuvernd og veitir ráðgjöf komi upp álitamál á sviði persónuverndar.  Hann er tengiliður við Persónuvernd og vinnur með henni.

Vinnsla persónuupplýsinga

MH er afhendingarskyldur aðili til Þjóðskjalasafns skv. lögum um opinber skjalasöfn nr. 77/2014 og varðveitir því öll gögn fram að skilum til Þjóðskjalasafns.

Hugtakið vinnsla persónuupplýsinga er túlkað rúmt, s.s. söfnun upplýsinga, skráning, geymsla og eyðing telst vinnsla, sbr. 4 tl. 3. gr. persónuverndarlaga nr. 90/2018.

MH leggur áherslu á að gætilega sé farið með persónuupplýsingar og meðferð þeirra sé ávallt samkvæmt lögum og reglum. Markmið skólans er að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná markmiði vinnslunnar, sem þýðir að MH vinnur ekki upplýsingar umfram það sem nauðsynlegt þykir. Í vinnsluskrá skólans kemur fram hvaða persónuupplýsingar eru unnar um nemendur og hvaða heimildir eru fyrir hendi. Markmið skólans er að ávallt sé unnið samkvæmt meginreglum persónuverndarlaganna:

  • Vinnsla persónuupplýsinga skal vera lögleg og sanngjörn.
  • Persónuupplýsingar skal skrá í sérstökum og skýrum tilgangi og ekki má nota þær síðar í öðrum óskyldum tilgangi.
  • Upplýsingarnar skulu vera viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
  • Þær skulu vera áreiðanlegar og uppfærðar eftir þörfum.
  • Þær skal varðveita eins lengi og þörf er á eða lög kveða á um.
  • Viðeigandi öryggi þeirra skal vera tryggt.
  • Þær eru ekki afhentar öðrum nema á grundvelli lagskyldu eða með samþykki hins skráða að uppfylltum skilyrðum þess.

Hvers konar persónuupplýsingar vinnur MH með, um hverja og í hvaða tilgangi?

Stærstur hluti þeirra persónuupplýsinga sem skólinn safnar varðar nemendur skólans.

MH vinnur með persónuupplýsingar til að uppfylla lagalegar skyldur sínar (sjá lög um framhaldsskóla nr. 92/2008). Upplýsingum um nemendur er safnað svo þeir geti stundað nám við skólann og fái þá þjónustu sem þeir eiga rétt á. Mikilvægt er að halda góðum skólabrag og vinna gegn einelti, alls kyns áreitni, ofbeldi og vanlíðan nemenda. Skráning viðkvæmra persónuupplýsinga getur komið upp í tengslum við slík mál. Einstaka vinnsla persónuupplýsinga er byggð á lögmætum hagsmunum, til dæmis eru öryggismyndavélar notaðar í eftirlitsskyni. Upplýsingar geta bæði verið á pappír og rafrænar.

Dæmi um persónuupplýsingar um nemendur sem MH vinnur með:

  • Grunnupplýsingar, s.s. nafn, kennitala, heimilisfang, netfang, símanúmer
  • Grunnupplýsingar um forsjáraðila, s.s. nöfn, kennitölur, heimilisföng, netföng, símanúmer
  • Viðvera, bæði í kennslustundum og prófum
  • Verkefnaskil
  • Einkunnir
  • Virkni í Innu
  • Mat á námi úr öðrum skólum
  • Heilsufarsupplýsingar, s.s. skráning veikinda, vottorð
  • Upplýsingar um greiningar og/eða sérþarfir
  • Upplýsingar um ráðgjöf og samskipti við nemendur og forsjáraðila þeirra
  • Útlán af bókasafni skólans
  • Ljósmyndir
  • Upplýsingar úr umsóknargrunni Menntamálastofnunar

Hvaðan koma persónuupplýsingarnar?

Að jafnaði aflar skólinn persónuupplýsinga beint frá þeim einstaklingi sem upplýsingarnar varða. Við tilteknar aðstæður geta upplýsingarnar þó komið frá þriðja aðila, t.d. Þjóðskrá, heilbrigðisstofnun eða öðrum þriðja aðila. Þegar upplýsinga er aflað frá þriðja aðila mun skólinn leitast við að upplýsa um slíkt, eftir því sem við á.

Skráningar um nemendur í INNU
Upplýsingar geta komið frá nemanda sjálfum, forsjáraðila, stjórnendum skólans, kennara, náms- og starfsráðgjafa eða öðru starfsfólki skólans sem hefur heimild til þess að veita þær.

Tölvupóstur
Tölvupóstur sem sendur er til og frá starfsfólki MH er varðveittur í tölvupóstkerfi skólans og/eða Innu og skjalavistunarkerfinu GoPro eftir því sem við á. Nemendur og starfsfólk geta sent póst/skilaboð sín á milli í gegnum Innu og hann er varðveittur þar.

Upplýsingar um greiningar/sérþarfir nemenda
Upplýsingar koma frá nemanda eða forsjáraðilum.

Myndir
Mynd af nemanda til birtingar í auglýsingaefni skólans, á heimasíðu eða samfélagsmiðli á vegum skólans, er aðeins birt að fenginni heimild frá viðkomandi og, ef það á við, forsjáraðila hans. Nemandinn, eða forsjáraðilinn ef það á við, getur dregið heimildina til baka hvenær sem er og gildir afturköllunin frá þeim tímapunkti sem hún berst. Reynt skal að bregðast við því og fjarlægja myndina í slíkum tilvikum.

Undanþága frá kröfum um heimild til myndbirtingar varðar hópmyndir sem teknar eru í skólanum eða á viðburðum á vegum hans. Þá er grundvallaratriði að enginn einn nemandi sé í brennidepli myndarinnar. Nemandi og/eða forsjáraðili (ef við á) getur farið fram á að slíkar myndir verði fjarlægðar af vef skólans eða samfélagsmiðli án þess að gefa upp ástæðu.

Varðveisla persónuupplýsinga

Þar sem MH er afhendingarskyldur aðili, sbr. lög nr. 77/2014 um opinber skjalasöfn, er skólanum óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið laganna nema með heimild þjóðskjalavarðar. Þær persónuupplýsingar sem skólinn vinnur með verða því afhentar Þjóðskjalasafni þegar þær hafa náð tilskildum aldri (pappírsskjöl 30 ára, rafræn skjöl 5 ára) nema að grisjunar- eða lagheimild liggi fyrir eyðingu þeirra.

Persónuupplýsingar sem MH vinnur með eru varðveittar í nokkrum tölvukerfum og í pappírsskjalasafni. Aðgengi að upplýsingum er stýrt og enginn á að hafa aðgang að persónuupplýsingum annarra nema hafa til þess heimild. Heimildir eru bundnar við þá einstaklinga sem starfs síns vegna þurfa að hafa aðgang að upplýsingunum. Ekki hafa allir sama aðgang að upplýsingum heldur einungis þann sem viðkomandi þarf á að halda til að geta sinnt starfi sínu. MH er í samstarfi við nokkra vinnsluaðila sem eiga og/eða reka tölvukerfi þar sem unnið er með persónuupplýsingar nemenda. Listi yfir þá er varðveittur í sérstöku fylgiskjali með þessari stefnu, GAT 002. Starfsfólk og samstarfsaðilar MH eru bundnir trúnaði og öryggisráðstafanir hafa verið gerðar til að hindra að persónuupplýsingar glatist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Afhending upplýsinga til þriðja aðila

MH afhendir ekki þriðja aðila persónuupplýsingar nema skólanum beri lagaleg skylda til þess, einstaklingur hafi sérstaklega óskað eftir því eða gefið óyggjandi samþykki fyrir því. Slíkt samþykki er hægt að afturkalla en þó ekki afturvirkt.

Öryggismyndavélar (rafræn vöktun)

Rafræn vöktun með öryggismyndavélum í og við húsnæði MH byggir á lögmætum hagsmunum og er metin nauðsynleg í öryggis- og eignavörsluskyni. Tilgangur vöktunarinnar er að varna því að eigum sé stolið, þær skemmdar eða farið sé um húsnæði skólans í leyfisleysi.

Öryggismyndavélarnar eru 26 talsins. Þær eru staðsettar víða í húsnæðinu, s.s. við innganga, á göngum skólans og í opnum rýmum. Lóð skólans er einnig vöktuð á völdum stöðum. Sérstakar merkingar eru við lóðarmörk og innganga skólans til að þeir sem eiga leið um svæðið viti af tilvist myndavélanna.

Myndefni sem verður til við vöktun er vistað á sérstökum netþjóni sem rektor, konrektor, kerfisstjóri og umsjónarmaður fasteignar hafa aðgang að. Myndefnið er eingöngu skoðað ef upp koma atvik sem varða eignavörslu eða öryggi, s.s. ef þjófnaður hefur átt sér stað, skemmdarverk eða slys. Myndefnið er geymt í 21 dag og eyðist sjálfkrafa. Myndefni sem verður til við vöktun er ekki afhent öðrum og ekki unnið með það nema með samþykki þess sem upptakan er af eða með heimild Persónuverndar. Undantekning frá þessu er að heimilt er að afhenda lögreglu upptökur, varði þær upplýsingar um slys eða refsiverða háttsemi, eins og kveðið er á um í Reglum nr. 50/2023 um rafræna vöktun.

Öryggi upplýsinga

Menntaskólinn við Hamrahlíð leggur ríka áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að með vinnslunni. Skólinn hefur yfirlit yfir vinnslu persónuupplýsinga með því að halda vinnsluskrá. Í henni koma m.a. fram hvaða upplýsingar skólinn vinnur með um nemendur. Áhersla er á að gæta öryggis persónuupplýsinga og annarra gagna með aðgangsstýringu þannig að eingöngu þeir sem þurfa persónuupplýsingarnar hafi aðgang að þeim. Á starfsfólki skóla hvílir þagnarskylda samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins. Það þýðir að starfsfólk má ekki fjalla um málefni einstakra nemenda í skólanum nema lög kveði á um annað.

Ef öryggisbrestur á sér stað við vinnslu persónuupplýsinga skal það tilkynnt til Persónuverndar eigi síður en 72 klukkustundum eftir að skólinn verður var við brestinn, nema að bresturinn verði ekki talinn leiða til áhættu fyrir réttindi og frelsi viðkomandi einstaklinga. Öryggisbrestur þýðir að „brestur verður á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi“ eins og segir í lögum um persónuvernd.

Réttur einstaklinga

Einstaklingur á rétt á að fá vitneskju um allar skráðar persónuupplýsingar um sig sem skólinn býr yfir, bæði rafrænar og á pappírsformi, hvaðan þær koma og til hvers þær eru notaðar. Við afhendingu slíkra upplýsinga ber skólanum skylda til meta áður hvert skjal sem óskað er eftir, hvort þar geti verið upplýsingar sem einstaklingurinn á ekki rétt á, á grundvelli III. kafla upplýsingalaga nr. 140/2012, um aðgang aðila að upplýsingum um hann sjálfan.

Einstaklingur á rétt á að krefjast þess að rangar eða ófullkomnar skráningar verði leiðréttar. Hann getur einnig farið fram á að ónauðsynlegum upplýsingum um hann verði eytt nema skólanum beri skylda til að varðveita upplýsingarnar samkvæmt lögum eða eyðing upplýsinganna brjóti á einhvern hátt á rétti annarrar persónu.

Þegar einstaklingur fer fram á að fá afhentar upplýsingar sem skráðar eru um hann og/eða upplýsingum um hann verði breytt skal beiðnin vera skrifleg og vera viðkomandi að kostnaðarlausu. Nota skal þar til gert eyðublað (tengill á eyðublað). Umsóknina skal senda á netfangið personuvernd@mh.is eða í pósti til persónuverndarfulltrúa MH, Hamrahlíð 10, 105 Reykjavík.

Leitast er við að bregðast við öllum beiðnum innan mánaðar frá viðtöku þeirra. Sé um að ræða umfangsmikla eða flókna beiðni mun skólinn upplýsa um mögulegar tafir á afgreiðslu og kappkosta að svara í síðasta lagi innan þriggja mánaða frá viðtöku beiðni.

Eftirlit

Ef einstaklingur hefur athugasemdir við vinnslu MH á persónuupplýsingum sínum getur hann sent erindi til Persónuverndar sem annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Persónuvernd úrskurðar um hvort brot hafi átt sér stað. Upplýsingar um Persónuvernd er að finna á vef stofnunarinnar, www.personuvernd.is.

Síðast uppfært: 12. apríl 2024