Persónuverndarstefna

 Persónuverndarstefna Fjölbrautaskóla Snæfellinga

Fjölbrautaskóli Snæfellinga er ábyrgðaraðili að vinnslu persónuupplýsinga sem fer fram hjá skólanum í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Skólinn starfar samkvæmt lögum nr. 92/2008 um framhaldsskóla, en meginhlutverk hans er að stuðla að þroska allra nemenda, virkri þátttöku þeirra í lýðræðisþjóðfélagi og búa nemendur undir þátttöku í atvinnulífinu og frekara nám.

Persónuverndarstefna þessi er skrifuð með það að leiðarljósi að fræða nemendur og forráðamenn þannig að þeir verði upplýstir um hvernig skólinn vinnur með persónuupplýsingar. Vinnsla persónuupplýsinga skal vera í samræmi við persónuverndarlögin.

FSN er staðsettur á Grundargötu 44, Grundarfirði. Sími skólans er 4308400 og netfangið er fsn@fsn.is.

 Hvað eru persónuupplýsingar?

Upplýsingar um persónugreindan eða persónugreinanlegan einstakling teljast til persónuupplýsinga samkvæmt persónuverndarlögunum. Nemandi telst persónugreinanlegur ef hægt er að persónugreina hann beint eða óbeint, t.d. með kennitölu, nafni, netauðkenni, staðsetningargögnum eða með öðrum auðkennum.

Viðkvæmar persónuupplýsingar eru persónuupplýsingar sem tengjast viðkvæmum þáttum eins og líðan, heilsu, kynþætti, stjórnmálaskoðunum, trúarbrögðum, kynlífi, kynhneigð eða erfðafræðilegum upplýsingum og þjóðernislegum uppruna. Ef unnið er með viðkvæmar persónuupplýsingar skal skólinn gæta sérstaklega að vinnslunni.

Hvenær vinnur skólinn með persónuupplýsingar?

Algengast er að FSN  vinni með persónuupplýsingar til að uppfylla lagaskyldu sína samkvæmt lögum nr. 92/2008 um framhaldsskóla. Það felur í sér að starfsfólk skólans vinnur oftast með persónuupplýsingar um nemendur í þeirra þágu á grundvelli heimildar í framhaldsskólalögunum. Skólinn leggur mikla áherslu á að öll vinnsla persónuupplýsinga fari fram samkvæmt meginreglum persónuverndar. Sérstaklega er hugað að því að vinnsla persónuupplýsinga takmarkist við meðalhóf, þ.e. ekki sé unnið með meira af persónuupplýsingum en nauðsynlegt er miðað við tilgang vinnslunnar. Upplýsingarnar sem unnið er með geta verið á pappír eða á rafrænu formi, en rafræn vinnsla hefur aukist mikið síðustu ár. Hugtakið vinnsla er notað í rúmum skilningi og þegar talað er um ,,vinnslu persónuupplýsinga“ er m.a. átt við söfnun, flokkun, eyðingu, miðlun, notkun og skoðun skjals. Dæmi um vinnslu persónuupplýsinga hjá skólanum:

  • Námsmat nemenda
  • Viðtaka ýmissa vottorða frá nemendum
  • Undanþáguumsóknir
  • Skráning á fjarveru
  • Innritun nemenda í framhaldsskóla

Vinnsla persónuupplýsinga getur farið fram með ólíkum hætti, sem dæmi má nefna þær upplýsingar sem skólameistari fær vegna innritunar nemenda í framhaldsskóla. Menntamálastofnun fer með innritun nemenda í framhaldsskóla og er hún rafræn. Skólameistari fer þó einnig með vinnslu umsókna, hann fær t.d. sendar upplýsingar sem umsækjandi vill láta fylgja með umsókn.

Hvaða upplýsingar vinnur skólinn með?

Það fer eftir eðli mála og verkefna skóla hvaða persónuupplýsingar unnið er með um nemendur. Að jafnaði vinnur FSN með persónuupplýsingar sem teljast ekki til viðkvæmra í skilningi persónuverndarlaganna. Dæmi um persónuupplýsingar sem skólinn vinnur með eru:

  • Nafn
  • Kennitala
  • Heimilisfang
  • Símanúmer
  • Netfang
  • Námsárangur

Skólinn vinnur þó einnig með viðkvæmar persónuupplýsingar og fer vinnsla viðkvæmra persónuupplýsinga að jafnaði fram á grundvelli lagaheimildar.  Dæmi um vinnslu viðkvæmra persónuupplýsinga hjá skólanum:

  • Heilsufarsupplýsingar
  • Greiningar nemenda
  • Skráning veikinda

Ef skólinn vinnur með viðkvæmar persónuupplýsingar eins og greiningar nemenda er það oftast á þeim forsendum þegar nemandi hefur sjálfur afhent skólanum þær til þess að skólinn eigi þess kost á að veita nemendum nám við hæfi og til þess að mæta menntunarþörf einstakra nemenda.  Skólinn hefur heimild til þess að kalla eftir nánari upplýsingum um fatlaða nemendur í tengslum við innritun á starfsbrautir á grundvelli reglugerðar nr. 235/2012 um nemendur með sérþarfir í framhaldsskólum með það að markmiði að bæta námsaðstæður nemenda sem eiga rétt á kennslu og sérstökum stuðningi í námi. Námsráðgjafar eða sálfræðingar vinna mikið með viðkvæmar persónuupplýsingar, en þó getur verið að aðrir starfsmenn eins og umsjónarkennarar þurfi aðgang að upplýsingunum, en fyllsta öryggis er gætt við meðferð þessa upplýsinga. Rík aðgát skal höfð um vinnslu viðkvæmra persónuupplýsinga og er sú vinnsla áhættumetin reglulega. Skólinn fær yfirleitt persónuupplýsingar beint frá nemanda eða starfsmanni, en þær geta komið frá þriðja aðila t.d. barnavernd. Auk þess getur komið til þess að skólinn þurfi að miðla upplýsingum til barnaverndar lögum samkvæmt. Starfsmenn hafa persónuupplýsingar í samræmi við starfsskyldu sína. Starfsmenn sem vinna með viðkvæmar persónuupplýsingar skulu gera það í samræmi við persónuverndarlögin, sjá reglugerð nr. 230/2012 um upplýsingaskyldu framhaldsskóla um skólahald, aðra kerfisbundna skráningu og meðferð persónuupplýsinga um nemendur,

Tilgangur með skráningu persónuupplýsinga

Skólinn vinnur með persónuupplýsingar m.a. til að geta uppfyllt skyldur sínar gagnvart nemendum vegna laga nr. 92/2008 um framhaldsskóla. Megintilgangur vinnslunnar er oftast að mæta þörfum nemenda. Framhaldsskólum er m.a. skylt að sjá til þess að framhaldsskólanemendur fái kennslu og sérstakan stuðning í námi í samræmi við sérþarfir þeirra. Þá er mikilvægt að halda góðum skólabrag og vinna gegn einelti og getur komið til skráningar persónuupplýsinga sem eru viðkvæms eðlis í tengslum við slík mál.  

Hvernig vinnur skólinn með persónuupplýsingar?

Skólinn leggur áherslu á að vinnsla persónuupplýsinga samræmist persónuverndarlögum. Hann ber ábyrgð á vinnslu persónuupplýsinga og heldur vinnsluskrá yfir persónuupplýsingar sem eru skráðar og á hvaða heimildum vinnslan er framkvæmd. Skólinn leggur áherslu á að heimildir séu fyrir vinnslu persónuupplýsinga lögum samkvæmt. Markmið skólans er að ávallt sé unnið samkvæmt meginreglum persónuverndarlaganna:

  • Vinnsla persónuupplýsinga skal vera lögleg og sanngjörn
  • Persónuupplýsingar skulu unnar með skýrum og málefnalegum hætti (skulu vera réttmætar)
  • Persónuupplýsingar skulu ekki vera umfram það sem nauðsynlegt þykir
  • Þær skulu vera áreiðanlegar
  • Þær skulu varðveittar í samræmi við lög
  • Öryggi persónuupplýsinga skal vera tryggt

Ofangreindar reglur virðast margar en þær skarast einnig, t.d. ef ekki er unnið með meiri upplýsingar en þörf er á miðað við tilganginn, þá aukast líkurnar á því upplýsingarnar séu áreiðanlegar, sanngjarnar og skýrar.  Öryggi upplýsinga eykst einnig, t.d. verða minni líkur á því að skráðar verði upplýsingar sem ekki er þörf á.

Vinnsla persónuupplýsinga á grundvelli samþykkis

Komið getur til þess að skólinn vinni með persónuupplýsingar á grundvelli samþykkis, en það áréttast að það er einungis gert í þágu nemandans og uppfylltum skilyrðum samþykkis. Með nýju persónuverndarlögunum er ríkari krafa gerð um samþykki sem vinnsluheimild persónuupplýsinga. Samþykki skal vera óþvingað, upplýst, sértækt og vera ótvíræð viljayfirlýsing. Nemendur geta dregið samþykki sitt til baka hvenær sem er, afturköllun samþykkis hefur þó ekki áhrif á vinnslu persónuupplýsinga fram að því að þeir afturkalla samþykki sitt. Dæmi um vinnslu persónuupplýsinga á grundvelli samþykkis gæti verið myndataka. Myndir eru þó almennt aðeins birtar af einstaklingum í sambandi við opna viðburði á vegum skólans og eiga þær ekki að vera viðkvæms eðlis eða með þeim hætti að myndin beinist að einum nemanda.

Öryggi upplýsinga

FSN leggur ríka áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að með vinnslunni. Skólinn hefur yfirlit yfir vinnslu persónuupplýsinga með því að halda vinnsluskrá. Í henni koma m.a. fram hvaða upplýsingar skólinn vinnur með um nemendur. Áhersla er á að gæta öryggis persónuupplýsinga og annarra gagna með aðgangsstýringu þannig að eingöngu þeir sem þurfa persónuupplýsingarnar hafi aðgang að þeim. Á starfsfólki skóla hvílir þagnaskylda samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins. Það þýðir að starfsmenn mega ekki fjalla um málefni einstakra nemenda í skólanum nema lög kveði á um annað.

Ef öryggisbrestur á sér stað við vinnslu persónuupplýsinga skal það tilkynnt til Persónuverndar eigi síður en 72 klukkustundum eftir að skólinn verður var við brestinn, nema að bresturinn verði ekki talinn leiða til áhættu fyrir réttindi og frelsi nemenda. Öryggisbrestur þýðir að ,,brestur verður á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi“.

Verkferlar vegna vinnslu persónuupplýsinga eru yfirfarnir og áhættumetnir reglulega. Þá skráir skólinn persónuupplýsingar í skjalavistunarkerfi hjá sér en sú skylda hvílir á honum að varðveita skjöl samkvæmt lögum nr. 77/2014 um opinber skjalasöfn, en skólinn er afhendingarskyldur aðili til Þjóðskjalasafns. Honum ber að varðveita gögn fram að skilum til Þjóðskjalasafns. Grisjun gagna er eingöngu heimil með samþykki þjóðskjalavarðar, en það þýðir að skólinn eyðir ekki upplýsingum nema með leyfi eða á grundvelli lagaheimildar.

Réttindi nemenda (hins skráða)

Samkvæmt persónuverndarlöggjöfinni geta nemendur átt ákveðin réttindi, sem dæmi:

  • Aðgangsrétt. Nemendur eiga rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem skólinn vinnur um þá. Komið getur til takmörkunar á þessum rétti t.d. vegna réttinda annarra sem vega þyngra eftir hagsmunamat.
  • Réttur til leiðréttingar. Hafi verið skráðar rangar upplýsingar, geta nemendur óskað eftir því að upplýsingar verði leiðréttar eða bætt við upplýsingum. Skoða þarf hvert mál fyrir sig og með hliðsjón af lögum nr. 77/2014 um opinber skjalasöfn þar sem opinberir framhaldsskólar eru skilaskildir samkvæmt lögunum.
  • Rétt til að draga samþykki sitt til baka ef unnið er með persónuupplýsingar á grundvelli samþykkis.

Vinnsluaðilar

Þeir sem vinna með persónuupplýsingar á vegum framhaldsskólanna eru kallaðir vinnsluaðilar og mun FSN gera  vinnslusamning við þær stofnandir sem hýsa gögn skólans. FSN er t.d. í samstarfi við Advania, sem telst vinnsluaðili í skilningi persónuverndarlaganna, en hann hýsir námsferils- og kennslukerfið INNU í vottuðu umhverfi. Aðgangur að INNU er stýrður og bundinn við þá einstaklinga sem nauðsynlega þurfa aðgang að upplýsingum í samræmi við tilgang vinnslunnar, en það geta verið skólameistarar, forráðamenn ólögráða nemenda, nemendur sjálfir, námsráðgjafar o.fl. Microsoft fyrirtækið þjónustar skólann með tölvuþjónustu í skýi, s.s. tölvupóst og gagnavistun. FSN hefur gert skipulags- og tækniráðstafanir til þess að tryggja öryggi persónuupplýsinga, s.s. dulkóðun, aðgangsstýringu þannig að einungis þeir sem þurfa að vinna með persónuupplýsingar vegna starfa sinna hafa aðgang að þeim. Þá hefur starfsfólk fengið fræðslu um öryggismál.

Skólinn mun setja sér öryggisstefnu eftir að hafa framkvæmt áhættumat, gert viðeigandi öryggisráðstafanir til að tryggja öryggi kerfa skólans sem er í samræmi við reglur um öryggi persónuupplýsinga. Rafrænar persónuupplýsingar verða geymdar í skjalavistunarkerfinu GoPro en einnig í Innu, námsumsjónarkerfinu Moodle og í One Drive.

Persónuverndarfulltrúi

Persónuverndarfulltrúi Fjölbrautaskóla Snæfellinga er Hermann Hermannsson. Persónuverndarfulltrúi er óháður og sjálfstæður í stöfum og hefur eftirlit með meðferð persónuupplýsinga innan skólans. Allar ábendingar, kvartanir og fyrirspurnir varðandi persónuvernd er beint til persónuverndarfulltrúans. Hermann Hermannsson, hermann@fsn.is

Persónuverndarstefna þessi er gerð með þeim fyrirvara að hún er í vinnslu og mun taka breytingum og uppfærslum.