Persónuverndarstefna Framhaldsskólans á Húsavík
Framhaldsskólinn á Húsavík (FSH) setur sér persónuverndarstefnu skv. 1. mgr. 23.gr. laga um persónuvernd nr. 90/2018. Framhaldsskólinn á Húsavík er opinber stofnun og starfar eftir lögum um framhaldsskóla nr. 92/2008. Framhaldsskólinn á Húsavík hefur það hlutverk að stuðla að menntun og uppeldi nemenda með því að skapa þeim fjölbreytt tækifæri og trausta umgjörð til menntunar í víðum skilningi þess orðs. Rækta einstaklingsbundna hæfileika nemenda, auka þekkingu þeirra, hæfni og leikni á hinum ýmsu sviðum. Hvetja nemendur til sjálfstæðis, sjálfsaga, gagnrýnnar hugsunar og ígrundunar. Undirbúa nemendur undir þátttöku í lýðræðissamfélagi, með því að þroska með þeim borgaravitund, virðingu fyrir sjálfum sér, samborgurum sínum og umhverfi. Gera nemendur hæfari til þess að takast á við frekara nám og þátttöku í atvinnulífi og stuðla þannig að velferð þeirra og farsæld í einkalífi, námi og starfi. Skólinn er öllum opinn og leggur áherslu á að þjóna íbúum í Norðurþingi og nærsveitum. Hann hefur ákveðnar skyldur við sitt nærsamfélag og leitast við að bjóða íbúum þess eins fjölbreyttar leiðir til menntunar og mögulegt er. Skólinn hefur það hlutverk að miðla þekkingu og reynslu til annarra skóla í héraðinu, stofnana, fyrirtækja og stjórnvalda. Styrkja jákvæð viðhorf til búsetu á svæðinu. Miðla til nemenda menningu samfélagsins og þroska með þeim hæfni til virkrar þátttöku í mótun þess og framþróun á sem flestum sviðum.
Tilgangur og gildissvið
Persónuverndarstefna þessi lýsir vinnslu Framhaldsskólans á Húsavík á persónuupplýsingum. Persónuverndarstefnan gildir um alla vinnslu persónuupplýsinga Framhaldsskólans á Húsavík og er sett til þess að reyna að tryggja að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífsins.
Ábyrgð og skipulag
Skólameistari Framhaldsskólans á Húsavík er endanlega ábyrgur fyrir öryggi upplýsingavermæta sem skólinn skráir. Skólameistari er ábyrgur fyrir því að allir starfsmenn skólans sem fara með persónuupplýsingar þekki persónuverndarstefnu skólans og hafi hana að leiðarljósi þegar kemur að vinnslu með persónuupplýsingar. Skólameistari skipar tengilið innan skólans sem er í samskiptum við persónuverndarfulltrúa framhaldsskólans hjá PACTA lögmenn. Það er hlutverk tengiliðar að sjá til þess að starfsfólk sem notar nemenda- og starfsmannaskrá eða gögn úr kerfum skólans hljóti viðeigandi fræðslu um persónuvernd og öryggismál. Persónuverndarfulltrúi skal vera tengiliður við forsjármenn og Persónuvernd vegna mála sem varða friðhelgi og vernd persónuupplýsinga.
Það er á ábyrgð sérhvers starfsmanns Framhaldsskólans á Húsavík að fylgja persónuverndarstefnu skólans.
Hvað eru persónuupplýsingar
Samkvæmt 2.lið 3.gr. laga um persónuvernd nr.90/2018 eru persónupplýsingar:
Upplýsingar um persónugreindan eða persónugreinanlegan einstakling (,,skráðan einstakling‘‘); einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
Samkvæmt 3.lið 3.gr. laga um persónuvernd nr.90/2018 teljast viðkvæmar persónupplýsingar vera:
- Upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífsskoðun eða aðild að stéttarfélagi.
- Heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun.
- Upplýsingar um kynlíf manna og kynhneigð.
- Erfðafræðilegar upplýsingar, þ.e. persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi.
- Lífkennaupplýsingar, þ.e. persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem anditsmyndir eða gögn um fingraför, enda sé unnið með upplýsingarnar í því skyni að persónugreina einstakling með einkvæmum hætti.
Söfnun og meðhöndlun persónuupplýsinga
Öll vinnsla persónuupplýsinga Framhaldsskólans á Húsavík byggir á grundvelli lögbundins hlutverks skólans og á sér stoð í lögum um framhaldsskóla. Með söfnun persónuupplýsinga leggur skólinn áherslu á að geta staðið við sínar skyldur gagnvart nemendum og starfsmönnum auk þess að tryggja greiðan aðgang nemenda og starfsmanna að upplýsingum sem um þá varða. Framhaldsskólinn á Húsavík gætir þess í hvívetna að safna ekki persónuupplýsingum umfram það sem nauðsynlegt getur talist.
Framhaldsskólinn á Húsavík gætir þess að öll vinnsla persónuupplýsinga sé í samræmi við lög. Persónuverndarfulltrúi skólans er Hallgrímur Jónsson lögfræðingur (hallgrimur@pacta.is) sem hefur aðstöðu á skrifstofu PACTA lögmenn á Húsavík. Skólinn hefur útnefnt tengilið sem hefur aflað sér fræðslu og þekkingar á sviði persónuverndarlöggjafar sem hefur aðsetur innan skólans (aðstoðarskólameistari). Vinsamlegast hafið samband við skrifstofu skólans eða á netfangið fsh@fsh.is ef spurningar vakna er varða persónuverndarstefnu skólans eða meðferð persónuupplýsinga.
Persónuverndarfulltrúa er óheimilt að segja frá nokkru því sem hann hefur fengið vitneskju um í starfi sínu og leynt á að fara. Enn fremur hvílir þagnarskylda á persónuverndarfulltrúa skv.1. mgr. 36. gr. laga 90/2018.
Framhaldsskólinn á Húsavík varðveitir gögn og upplýsingar um nemendur og starfsmenn á rafrænu- og pappírsformi.
Persónuupplýsingar um nemendur og umsækjendur eru varðveittar í upplýsingakerfinu Innu, kennslukerfinu Kennsluvef (moodle) og í skjalavistunarkerfinu GoPro. Þessar upplýsingar koma frá nemendanum sjálfum, forráðamönnum, kennurum, stjórnendum, öðru skólastigi og stoðþjónustu.
Þarna er safnað grunnupplýsingum um nemendur, þ.e. nafn, kennitölu, heimilisfang, tungumál, ljósmynd, viðveru, fjarvistir, veikindi, upplýsingar um skráða aðstandendur, símanúmer, netfang, námsferla, athugasemdir varðandi námsframvindu, skilaboð, tilkynningar, uppgjör vegna námsgjalda og almenn umfjöllun um atburði sem eiga sér stað á skólatíma auk þess geta bréf og tölvupóstar sem varða nemendur verið vistaðir í samræmi við innihald þeirra.
Málaskrá varðveitir einnig upplýsingar um mál sem tengjast nemanda og námi hans.
Einnig eru vistaðar þar viðkvæmar persónuupplýsingar svo sem upplýsingar um greiningar, sjúkdóma, ofnæmi, sérþarfir, lyf og sérkennslutíma.
Persónuupplýsingar um starfsmenn eru varðveittar í fjárhags- og launabókhaldskerfinu Orra, upplýsingakerfinu Innu og skjalavistunarkerfinu GoPro. Þessar upplýsingar koma frá starfsmönnunum sjálfum, stjórnendum og stoðþjónustu.
Þarna er safnað grunnupplýsingum um starfsmenn, þ.e. nafn, kennitölu, heimilisfang, viðvera og skráning fjarvista, aðstandendur, símanúmer, netfang, launaflokka, bankaupplýsingar.
Einnig eru vistaðar þar viðkvæmar persónuupplýsingar svo sem er varða stéttarfélagsaðild.
Varðveislutími
Lög um opinber skjalasöfn nr. 77/2014 gera Framhaldsskólanum á Húsavík skylt að skila afritum af þeim gögnum sem falla undir gildissvið laganna og eru vistuð innan skólans á 30 ára fresti. Þessi lög gera skólanum einnig óheimilt að eyða eða ónýta nokkurt skjal sem fellur undir þessa löggjöf án heimildar þjóðskjalavarðar.
Hvernig er öryggi persónuupplýsinga tryggt?
Framhaldsskólinn á Húsavík gerir viðeigandi ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu persónuupplýsinga, með hliðsjón af áhættu hennar fyrir réttindi og frelsi hins skráða, nýjustu tækni og kostnaði við framkvæmdina til að tryggja öryggi persónuupplýsinga.
Skjalageymslur framhaldsskólans eru aðgangsstýrðar og alltaf læstar.
Skjöl sem eru geymd á rafrænu formi eru tryggð með öryggisvörnum svo sem eldvegg og aðgangsstýringu, aðgangur að þeim er háður tilskyldum heimildum.
Framhaldsskólinn á Húsavík gerir vinnslusamning við þær vinnslustofnanir sem hýsa gögn fyrir skólann auk þess sem skólinn hefur í höndunum vinnsluskrá yfir vinnslustarfsemi, form skrár og aðgengileika.
Skólinn ber ábyrgð á þeirri vinnslu persónuupplýsinga sem fer fram á vegum hans.
Réttindi einstaklinga samkvæmt persónuverndarlögum
Einstaklingar eiga rétt á það vita hvaða persónuupplýsingum Framhaldsskólinn á Húsavík safnar og vinnur um þá og geta eftir atvikum óskað eftir afriti af upplýsingunum hvort sem upplýsinganna er aflað hjá honum sjálfum eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. Reglugerðarinnar (Reglugerð Evrópuþingsins og ráðsins 2016/679 (hér eftir reglugerðin)) með þeim undantekningum sem greinir í 3. mgr. Ásamt undantekningum 17.gr. laga nr. 90/2018.
Þá eiga einstaklingar rétt á því að rangar persónuupplýsingar um þá séu leiðréttar. Jafnframt geta einstaklingar í ákveðnum tilfellum mótmælt vinnslu persónuupplýsinga og óskað eftir því að vinnsla þeirra verði takmörkuð. Skólinn þarf í þeim tilfellum að sýna fram á mikilvægar lögmætar ástæður fyrir vinnslunni sem ganga framar hagsmunum, réttindum og frelsi hins skráða, eða hún sé nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur einstaklingsins.
Óski einstaklingur eftir því að persónuupplýsingar um hann verði fluttar til annars aðila, sem hann hefur sjálfur látið ábyrgðaraðila í té, á skipulegu, algengu, tölvulesanlegu sniði og jafnframt á að senda þessar upplýsingar til annars ábyrgðaraðila er það heimilt samkvæmt skilyrðum 20.gr. reglugerðarinnar.
Skráður einstaklingur á rétt á að draga samþykki sitt fyrir vinnslu persónuupplýsinga til baka hvenær sem er. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu á grundvelli samþykkis fram að afturkölluninni.
Endurskoðun, áhættumat og innra eftirlit
Persónuverndarstefna Framhaldsskólans á Húsavík skal tekin til endurskoðunar á tveggja ára fresti nema að tilefni sé til endurskoðunar vegna breytinga á áhættuþáttum í áhættumati.
Áhættumat skal vera viðvarandi og í samræmi við kröfur Persónuverndar. Það skal endurskoðað á tveggja ára fresti nema að tilefni sé til endurskoðunar fyrir þann tíma vegna breytinga á umhverfi upplýsingavinnslu og áhættuþátta.
Öryggisþarfir skulu greindar út frá áhættumati og á greiningu á öryggiskröfum laga og opinberra eftirlitsaðila. Öryggisráðstafanir skal endurskoða samhliða endurmati á persónuverndarstefnu og áhættumati á tveggja ára fresti.
Afhending gagna til Þjóðskjalasafns Íslands og þriðja aðila.
Miðlun gagna til Þjóðskjalasafns Íslands byggir á lögum um opinber skjalasöfn nr. 77/2014.
Framhaldsskólanum er heimilt að afhenda félaga-, starfsmanna-, nemenda- eða viðskiptamannaskrár í tengslum við markaðssetningarstarfsemi ef ekki telst um afhendingu viðkvæmra persónuupplýsinga að ræða. Hinum skráða skal gefinn kostur á því að andmæla afhendingu gagnanna, slíkt fer ekki gegn starfsreglum framhaldsskólans og ef framhaldsskólinn kannar hvort einhver hinna skráðu hefur komið andmælum á framfæri við Þjóðskrá Íslands, þá skal upplýsingum um hann eytt áður en skráin er send út. Afhending gagna til þriðja aðila byggir á vinnslusamningi.
Framhaldsskólinn á Húsavík hefur tekið í notkun skjalavistunarkerfið GoPro. Skólinn mun sækja um heimild til Þjóðskjalasafns fyrir notkun kerfisins og mun að undangenginni heimild skila gögnum á rafrænu formi til Þjóðskjalasafns Íslands.
Uppfært 4. október 2022