Persónuverndarstefna
Verkmenntaskólinn á Akureyri (VMA) hefur vernd persónuupplýsinga að leiðarljósi og leggur áherslu á að þær séu unnar með lögmætum, vönduðum og gagnsæjum hætti. Persónuupplýsinga er einungis aflað til að skólinn geti fullnægt lagalegri skyldu sinni við að þjónusta nemendur og ber starfsfólki að viðhafa ýtrustu gætni í meðferð þeirra. Í persónuverndarstefnu VMA kemur fram í hvaða tilgangi persónuupplýsingum er safnað og hvernig farið er með slík gögn. Markmiðið er að nemendur og starfsmenn séu upplýstir um hvernig skólinn safnar og vinnur persónuupplýsingar.
Starfsfólk VMA skal hafa persónuverndarstefnuna að leiðarljósi í hvert skipti sem unnið er með persónuupplýsingar. Tryggt skal að allar persónuupplýsingar sem VMA safnar, nýtir eða vinnur með öðrum hætti, séu meðhöndlaðar í samræmi við lög um persónuvernd og persónuupplýsingar nr. 90/2018.
1. Hvað eru persónuupplýsingar?
Persónuupplýsingar eru allar upplýsingar sem er hægt að tengja við einstakling, t.d. nafn, kennitala, staðsetningargögn, ljósmynd, IP-tölur/netauðkenni. Nánari skilgreiningu á persónuupplýsingum má finna í 2. og 3. tl. 3. greinar. laga nr. 90/2018.
Persónuupplýsingar eru gögn sem nota má til að bera kennsl á eða hafa samband við tiltekinn einstakling. Tilgangur söfnunar þessara upplýsinga er að tryggja að nemendur og starfsmenn eigi greiðan aðgang að upplýsingum sem þá varða og til að skólinn geti staðið við sínar skyldur gagnvart nemendum og starfsmönnum ásamt umsækjendum um nám og störf við stofnunina.
Öll vinnsla persónuupplýsinga innan skólans skal fara fram með skýrum tilgangi og byggja á lögmætum grundvelli. Áhersla er lögð á að ekki verði gengið lengra í vinnslu persónuupplýsinga en þörf krefur.
3. Hvaða persónuupplýsingar skráir eða geymir VMA
VMA safnar og varðveitir ýmsar persónuupplýsingar, en þó eingöngu upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi vinnslunnar hverju sinni. Þannig er safnað umfangsmeiri upplýsingum um nemendur og starfsfólk skólans heldur en aðra. Undir tilteknum kringumstæðum safnar skólinn viðkvæmum persónuupplýsingum. Viðkvæmar upplýsingar teljast til dæmis upplýsingar um kynþátt, þjóðernislegan uppruna, heilsufar o.fl. Dæmi um persónuupplýsingar um nemendur og um starfsfólk sem VMA skráir:
- Nafn og kennitala nemenda og starfsfólks
- Heimilisfang nemenda og starfsfólks
- Netfang nemenda og starfsfólks
- Símanúmer nemenda og starfsfólks
- Nafn forráðamanna nemenda
- Netfang forráðamanna nemenda
- Símanúmer forráðamanna nemenda
- Mætingar nemenda
- Verkefnaskil nemenda
- Einkunnir nemenda
- Upplýsingar um sérþarfir (veittar af nemanda sjálfum eða forráðamanni)
- Undanþágur
- Námsferlar nemenda og útskriftarskírteini
- Launareikningur starfsfólks
- Aðild að stéttarfélagi
- Starfsumsóknir
-
Útlán á bókasafni skólans
Ofangreindar upplýsingar eru skráðar í helstu upplýsingakerfi skólans: Innu (nemendabókhald), Orra (fjárhags- og starfsmannabókhald), Menntaskýi (í umsjón HÍ), GoPro skjalastýringakerfi skólans og Gegni.
4. Hvaðan koma persónuupplýsingarnar?
Persónuupplýsingarnar sem skráðar eru í Innu koma frá nemanda sjálfum, forráðamanni hans, stjórnendum og kennara. Skilaboð send innan Innu eru varðveitt í Innu. Bréf og tölvupóstur er varðar skólann, nemendur og starfsmenn getur verið varðveittur í samræmi við innihald netpóstsins. Upplýsingar um sérþarfir nemenda koma frá nemanda eða forráðamanni hans. Upplýsingar um starfsmenn sem geymdar eru í Orra koma frá starfsmönnunum sjálfum. Að jafnaði aflar skólinn persónuupplýsinga beint frá þeim einstaklingi sem upplýsingarnar varða. Við tilteknar aðstæður geta þær þó komið frá þriðja aðila.
5. Öryggi og persónuvernd á vef VMA
VMA notar Google Analytics til vefmælinga. Við hverja komu inn á vef skólans eru nokkur atriði skráð, svo sem tími og dagsetning, leitarorð, frá hvaða vef er komið og gerð vafra og stýrikerfis. Þessar upplýsingar má nota við endurbætur á vefnum og þróun hans, til dæmis um það efni sem notendur sækjast mest eftir og fleira. Engar tilraunir eru eða verða gerðar til að komast yfir frekari upplýsingar um hverja komu eða tengja saman við aðrar persónugreinanlegar upplýsingar.
VMA hefur þá stefnu að nota vefkökur sparlega og með ábyrgum hætti. Notendum er bent á að þeir geta stillt vafra sinn þannig að hann láti vita af vefkökum eða hafni þeim með öllu.
Lagalegur fyrirvariVMA leitast við að hafa upplýsingar á vefsíðu skólans áreiðanlegar og réttar. Skólinn getur þó ekki ábyrgst að svo sé í öllum tilvikum. VMA ber ekki í neinum tilvikum ábyrgð á tjóni sem rekja má til notkunar á vefsíðu skólans eða sem rekja má til notkunar á upplýsingum sem þar hafa verið birtar.
VMA er eigandi allra upplýsinga sem fram koma á vef hans, nema annað sé sérstaklega tekið fram eða leiða megi af eðli máls. Endurbirting upplýsinga á vefnum, hvort sem í heild eða hluta, er heimil sé heimildar getið.
6. Rafræn vöktun
Öryggismyndavélar eru við alla innganga skólans og í almennum rýmum s.s. á göngum og í Gryfju. Umsjónarmaður fasteigna hefur eftirlit með virkni öryggismyndavélanna.
Öryggismyndavélar eru mikilvægur hlekkur í öryggiskerfi VMA. Reynslan sýnir að öryggismyndavélar hafa talsverðan fælingarmátt og geta verið ómetanlegar við að upplýsa þjófnaði, skemmdarverk og óæskilega hegðun milli einstaklinga. Þær eru hluti af þeirri viðleitni að verja eigur VMA, starfsmanna hans og nemenda og bæta öryggi í skólanum almennt.
Myndefnið sem verður til við rafræna vöktun er vistað á sérstökum netþjóni. Það er aðeins skoðað ef upp koma atvik sem varða eignavörslu og/eða öryggi, s.s. þjófnaður, skemmdarverk, slys eða óæskileg hegðun. Myndefnið er geymt að hámarki í 30 daga. Skólameistari hefur heimild til ákveða að upplýsingarnar sem verða til við vöktunina skuli skoðaðar en myndefni úr eftirlitsmyndavél er aðgangsstýrt. Skólameistari og umsjónarmaður fasteigna hafa einir heimild til að skoða upplýsingar úr rafrænni vöktun. Myndefni, sem verður til við rafræna vöktun, er ekki afhent þriðja aðila og ekki unnið með þær nema með samþykki þess sem upptakan er af eða með heimild Persónuverndar. Undantekning frá þessu er að heimilt er að afhenda lögreglu upptökur, varði þær upplýsingar um slys eða meinta refsiverða háttsemi.
Vöktunin fer fram á grundvelli lögmætra hagsmuna VMA í tengslum við eigna- og öryggisvörslu, sbr. lög nr. 90/2018 og 33. gr framhaldsskólalaga nr. 92/2008. Ábyrgðaraðili vöktunarinnar er VMA.
Við notkun öryggismyndavéla verður að fylgja reglum nr. 50/2023 um rafræna vöktun. Á vef Persónuverndar má finna svör við algengum spurningum um öryggismyndavélar og reglur sem um þær gilda.
7. Afhending til þriðja aðila
VMA miðlar ekki persónuupplýsingum til þriðja aðila nema honum sé það skylt samkvæmt lögum, eða viðkomandi einstaklingur hafi óskað eftir og fyrir fram gefið samþykki fyrir því. Slíkt samþykki er auðveldlega hægt að afturkalla.
VMA kann að miðla ákveðnum persónuupplýsingum til þriðja aðila sem hafa gert þjónustusamninga við skólann t.d. geta þeir aðilar sem veita skólanum upplýsingatækniþjónustu, mötuneytisþjónustu eða heimavist haft aðgang að persónuupplýsingum sem skólinn lætur þeim í té.
8. Hvernig er öryggi persónuupplýsinga tryggt?
VMA leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar, með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.
VMA stuðlar að virkri öryggisvitund starfsmanna með viðeigandi fræðslu og þjálfun varðandi öryggi við vinnslu persónuupplýsinga.
VMA mun gera vinnslusamning við þær vinnslustofnanir sem hýsa gögn skólans. Krafa verður gerð um að viðkomandi vinnsluaðilar uppfylli kröfur persónuverndarlaga.
Skólinn ber ábyrgð á þeirri vinnslu persónuupplýsinga sem fer fram á vegum hans.
9. Réttindi einstaklinga samkvæmt persónuverndarlögum
Einstaklingar hafa rétt til að vita hvaða persónuupplýsingar skólinn vinnur um þá og geta eftir atvikum óskað eftir afriti af upplýsingunum. Þá geta einstaklingar fengið rangar persónuupplýsingar um sig leiðréttar. Einstaklingar geta farið fram á að ónauðsynlegum upplýsingum um þá verði eytt, nema skólanum beri skylda til að varðveita þær samkvæmt lögum, eða að eyðing upplýsinganna brjóti á einhvern hátt á rétti annars einstaklings til persónuverndar.
Óski einstaklingur eftir að flytja upplýsingar um sig til annars aðila, t.d. til annars skóla, getur viðkomandi einnig átt rétt á að fá persónuupplýsingar sínar afhendar til sín á algengu tölvutæku formi eða að þær verði fluttar beint til viðkomandi þriðja aðila.
Í þeim tilvikum þar sem vinnsla skólans byggist á samþykki getur sá sem samþykkið veitti alltaf afturkallað það.
Myndir til birtingar á auglýsingaefni skólans, á heimsíðu hans eða á samfélagsmiðlum á vegum hans eru aðeins birtar ef liggur fyrir heimild frá nemanda og (ef við á) forráðamanni hans. Hægt skal vera að draga hana til baka á jafn auðveldan hátt og heimildin var veitt. Ætíð skal orðið við beiðni nemanda eða (ef við á) forráðamanns hans um að fjarlægja mynd af heimasíðu eða samfélagsmiðlum á vegum skólans. Undanþága frá kröfum um heimild til myndbirtinga er þegar hópmynd er tekin í skólanum eða á atburðum honum tengdum og enginn einn er fókus myndarinnar. Nemandi og eða (ef við á) forráðamaður hans getur þó farið fram á að slíkar myndir verði fjarlægðar af vef skólans eða samfélagsmiðum á hans vegum án þess að gefa upp ástæðu þess.
10. Varðveislutími
Þar sem VMA er afhendingarskyldur aðili á grundvelli laga nr. 77/2014 um opinber skjalasöfn er skólanum óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið laganna, nema með heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem VMA vinnur því afhentar Þjóðskjalasafni að þrjátíu árum liðnum. Haustið 2019 tók VMA í notkun GopPro skjalastýringakerfið þar sem gögn skólans eru skráð samkvæmt málalykill skólans sem er á heimasíðu hans. Samkæmt lögum um opinber skjalasöfn ber skólanum að afhenda rafræn gögn sem eru orðin fimm ára til Þjóðskjalasafns til varðveislu.
11. Persónuverndarfulltrúi - tengiliður
Hafi einstaklingar spurningar um persónuverndarstefnu þessa eða hvernig skólinn varðveitir eða vinnur persónuupplýsingar að öðru leyti, geta þeir ávallt haft samband við skrifstofu VMA eða persónuverndarfulltrúa VMA sem mun leitast við að svara fyrirspurnum og leiðbeina einstaklingum um réttindi þeirra samkvæmt persónuverndarstefnu þessari og persónuverndarlögum. Ef einstaklingur er ósáttur við vinnslu VMA á persónuupplýsingum hans getur hann jafnframt sent erindi til Persónuverndar (www.personuvernd.is).
Fyrirspurnir má senda á netfangið vma@vma.is
Skrifstofa VMA er opin alla virka daga frá kl. 8:15-15 (lokar kl. 13 á föstudögum), sími 464-0300, vma@vma.is
12. Endurskoðun
VMA getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum og reglugerðum eða vegna breytinga á því hvernig skólinn vinnur með persónuupplýsingar.
Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt og tilkynning þess efnis hefur verið birt á heimasíðu skólans.
Persónuverndarstefna skólans var fyrst samþykkt og birt á heimasíðu skólans í júní 2019. Endurskoðuð 30. október 2023.
Fyrirvari um meðferð á tölvupósti
Þessi tölvupóstur (og viðhengi hans) er eingöngu ætlaður skráðum viðtakanda. Þeim sem fá hann ranglega til sín ber að fara að ákvæðum 4. mgr. 88. gr. laga um fjarskipti nr. 70/2022 og gæta fyllsta trúnaðar. Hvorki má lesa, skrá, afrita né notfæra sér póstinn á nokkurn hátt og ber viðkomandi að tilkynna Verkmenntaskólanum samstundis að hann hafi ranglega borist sér. Loks er þess óskað að tölvupósti þessum og viðhengjum hans verði eytt. Vinsamlegast hugið að umhverfinu áður en tölvupósturinn er prentaður.
Endurskoðun 30. október 2023
Sigríður Huld Jónsdóttir
Skólameistari