Menntaskólinn í Reykjavík (MR) leggur áherslu á að meðferð persónuupplýsinga sé í samræmi við lög nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga. Skólinn starfar samkvæmt lögum nr. 92/2008 um framhaldsskóla og kappkostar að veita nemendum haldgóða menntun sem nýtist þeim hvert sem leið þeirra liggur að loknu stúdentsprófi.

Í persónuverndarstefnunni er hægt að átta sig á því hvaða upplýsingum skólinn safnar um einstaklinga, í hvaða tilgangi og hvað er gert við þær. Einnig hver réttur einstaklinga er varðandi persónuupplýsingar og hvert er hægt að leita ef óskað er eftir upplýsingum eða ef viðkomandi einstaklingur telur að brotið hafi verið á sér.

Skólinn leggur áherslu á að heimildir séu fyrir vinnslu persónuupplýsinga og vinnur eftir meginreglum persónuverndar . Lagt er áhersla á að persónuupplýsingarnar séu:

  • löglegar, sanngjarnar, áreiðanlegar og réttar
  • ekki vera umfram það sem nauðsyn þykir
  • meðhöndlaðar af trúnaði og tryggðar gegn óheimilum breytingum
  • vera skráðar og notaðar í sérstökum tilgangi og ekki síðar notaðar í öðrum óskyldum tilgangi
  • varðveittar eins lengi og þörf er á eða lög gera kröfur um
  • öruggar, uppfærðar og aðgengilegar
  • að persónuupplýsingar séu ekki afhentar öðrum nema að beiðni hlutaðeigandi, með ótvíræðu samþykki hans eða að skólanum beri lagaleg skylda til

Hvað eru persónuupplýsingar

Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem á einhvern hátt má tengja við einstakling beint eða óbeint, t.d. með kennitölu eða nafni. Um nánari skilgreiningu á því hvað teljist persónuupplýsingar og hvað teljist viðkvæmar persónuupplýsingar vísast til 2. og 3. tl. 3. gr. laga nr. 90/2018.

Hvað er vinnsla persónuupplýsinga?

Þegar talað er um vinnslu persónuupplýsinga í lögum um persónuvernd nr. 90/2018 er m.a. átt við söfnun persónuupplýsinga, flokkun, eyðingu, miðlun, notkun og skoðun skjala. Dæmi um vinnslu slíkra persónuupplýsinga um nemendur hjá MR er skráning námsmats, skráning á viðveru og móttaka ýmissa vottorða og greininga.

Hvers vegna safnar MR persónuupplýsingum

Til þess að skólinn geti uppfyllt skyldur sínar samkvæmt lögum nr. 92/2008 um framhaldsskóla þarf skólinn að safna og vinna með ýmsar persónuupplýsingar. Tilgangur með skráningu persónuupplýsinga sem MR vinnur með á sér því stoð í lögum eða varðar þjónustu sem skólinn veitir nemendum sem þeir eiga lagalegan rétt á. Einnig safnar skólinn persónuupplýsingum vegna ráðningarsambands við starfsfólk. Reynt er tryggja að farið sé með persónuupplýsingar af ýtrustu gætni og að meðferð þeirra sé í samræmi við lög og reglur. MR er afhendingarskyldur aðili til Þjóðskjalasafns skv. lögum um opinber skjalasöfn nr.  77/2014 og varðveitir því öll gögn fram að skilum til Þjóðskjalasafns.

Hvaða persónuupplýsingar skráir eða geymir MR?

Dæmi um persónuupplýsingar um nemendur sem MR skráir eða notar í starfseminni:

  • grunnupplýsingar um nemendur, s.s. nöfn, kennitölur, heimilisföng, netföng og símanúmer
  • grunnupplýsingar um forráðamenn, s.s. nöfn, kennitölur, netföng og símanúmer
  • viðvera nemenda, skráning veikinda og annara fjarvista
  • virkni í Innu
  • verkefnaskil
  • einkunnir
  • mat á námi úr öðrum skólum
  • upplýsingar um sérþarfir nemenda sem nemandi eða forráðamaður lætur skólanum í té, t.d. greiningar eða langtímavottorð vegna veikinda
  • útlán af bókasafni

Hvernig er öryggi persónuupplýsinga tryggt?

MR er í samstarfi við fyrirtæki og stofnanir sem eiga og/eða reka tölvukerfi sem vinna með persónuupplýsingar um nemendur og starfsfólk og teljast vinnsluaðilar. Þessi tölvukerfi eru með aðgangsstýringar og eru aðgangsheimildir bundnar við einstaklinga eða hópa sem þurfa starfs síns vegna aðgang að viðkomandi persónuupplýsingum.  Vinnsluaðilar eru bundnir trúnaði, þeir vinna samkvæmt persónuverndarlögum og hafa gert öryggisráðstafanir til að hindra að persónuupplýsingar glatist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

Helstu vinnsluaðilar persónuupplýsinga eru:

  • Hugvit á og rekur skjalastjórnarkerfið GoPro þar sem málasafn skólans er vistað, þar á meðal eru upplýsingar um starfsfólk og nemendur. Vottað samkvæmt ISO 27001.
  • Háskóli Íslands rekur og þjónustar Menntaský þar sem gögn sem unnin eru í Microsoft365 eru vistuð. Fjármálaráðuneytið gerði samning fyrir hönd framhaldsskóla við Microsoft um leyfi fyrir notkun Microsoft 365.
  • InfoMentor hýsir og rekur Innu þar sem upplýsingar um starfsfólk, nemendur og námsframvindu eru vistaðar. Hýsing er vottuð samkvæmt ISO 27001
  • Opin kerfi sjá um netkerfi skólans, auk þess að sjá um vistun á þjónum, ( servers) og vef skólans sem settur er upp í WordPress.
  • Landskerfi bókasafna á og rekur bókasafnskerfið Gegni sem notað er á bókasafni skólans
  • Aur annast útgáfu félagsskírteina nemenda í Skólafélaginu og Framtíðinni.
  • SalesCloud annast miðasölu á viðburði Skólafélagsins og Framtíðarinnar.
  • Stubbur annast miðasölu á viðburði Framtíðarinnar.
  • Securitas hefur umsjón með öryggismyndavélum sem eru settar upp á göngum og í kringum skólann.

Hvaðan koma persónuupplýsingarnar?

Alla jafna koma persónuupplýsingar frá nemendum sjálfum eða forráðamönnum þeirra en stundum koma upplýsingar frá starfsfólki skólans eða aðilum utan skólans eins og til dæmis Þjóðskrá, heilbrigðisstofnun eða Barnavernd.

  • Inna – Upplýsingarnar koma frá nemendanum sjálfum, forráðamanni hans, rektor, kennara, námsráðgjafa eða öðrum starfsmönnum skólans sem til þess hafa heimild.
  • Tölvupóstur – Í ákveðnum tilvikum er tölvupóstur sem sendur er til starfsmanna skólans varðveittur í skjalakerfi skólans, slík varðveisla fer eftir innihaldi tölvupóstsins.
  • GoPro – Skólinn notar skjalastjórnunarkerfið GoPro fyrir málasafn skólans. Persónuupplýsingar um nemendur sem eru vistaðar þar koma frá Þjóðskrá, nemendum sjálfum, forráðafólki eða starfsfólki skólans. Einnig geta þær komið frá þriðja aðila lögum samkvæmt, t.d. Barnavernd.
  • Myndir – Myndir til birtinga á auglýsingaefni skólans, á heimasíðu hans eða á samfélagsmiðlum á vegum hans eru aðeins birtar með samþykki frá nemanda og (ef við á) forráðamanni hans. Það samþykki er hægt að draga tilbaka og óska eftir að mynd sé fjarlægð. Undanþága frá kröfum um heimild til myndbirtinga er þegar hópmynd er tekin í skólanum eða á atburðum honum tengdum og enginn einn er í fókus myndarinnar. Nemandi og eða (ef við á) forráðamaður hans geta þó farið fram á að slíkar myndir verðir fjarlægðar af vef skólans eða samfélagsmiðlum á hans vegum án þess að gefa upp ástæðu þess.

Hvaða persónuupplýsingum safnar vefur MR?

Vefsíða MR safnar ekki neinum persónurekjanlegum gögnum um notkun og notendur. Umferð um síðuna er mæld með þjónustu frá Google en þær upplýsingar um notkun sem skólinn hefur aðgang að eru ekki persónurekjanlegar þó Google búi yfir upplýsingum um notendur að baki fjöldatölum.

Tilgangur með skráningu persónuupplýsinga

Þær persónuupplýsingar sem skráðar eru í MR hafa allar lagalegan eða þjónustulegan tilgang. MR afhendir ekki þriðja aðila upplýsingar um nemenda nema honum beri lagalega skylda til, nemandi hafi óskað eftir því eða hafi fyrirfram gefið óyggjandi samþykki fyrir því. Slíkt samþykki skal vera hægt að afturkalla á eins auðveldan hátt og það var gefið. Þegar skólinn afhendir þriðja aðila upplýsingar varðandi nemendur í þjónustulegum tilgangi (t.d. miðasölu á viðburði nemendafélaga) þá liggur vinnslusamningur alltaf fyrir eins og persónuverndarlög gera ráð fyrir.

Hver er réttur nemenda.

  • Nemandi hefur rétt til þess að fá upplýsingar um allar þær persónulegu upplýsingar sem um hann eru skráðar hvort sem þær upplýsingar eru á rafrænu eða pappírsformi, hvaðan upplýsingarnar koma og til hvers þær eru notaðar. Í undantekningartilfellum getur þessi heimild verið takmörkuð vegna réttinda annarra sem vega þyngra eftir hagsmunamat.
  • Einstaklingur hefur rétt til að krefjast þess að rangar eða ófullkomnar skráningar verði leiðréttar.
  • Einstaklingur getur farið fram á að ónauðsynlegum upplýsingum um hann verði eytt nema skólanum beri skylda til að varðveita upplýsingarnar samkvæmt lögum eða eyðing upplýsinganna brjóti á einhvern hátt á rétti annarrar persónu til persónuverndar.
  • Einstaklingur getur dregið samþykki sitt til baka ef unnið er með persónuupplýsingar á grundvelli samþykkis.

Þegar nemandi fer fram á upplýsingar um skráningar um sig skal beiðnin vera skrifleg og send á netfangið personuvernd@mr.is.

Öryggismyndavélar

Rafræn vöktun með öryggismyndavélum í og við húsnæði skólans byggir á lögmætum hagsmunum og er metin nauðsynleg á grundvelli öryggis og eignavörslu. Tilgangur rafrænnar vöktunar er að varna því að eigum sé stolið, þær séu skemmdar eða farið sé um húsnæði skólans í leyfisleysi, auk þess að tryggja öryggi nemenda og starfsfólks. Nánar er hægt að lesa um öryggismyndavélar skólans á https://mr.is/rafraen-voktun/

Persónuverndarfulltrúi

Í MR er starfandi persónuverndarfulltrúi sem hefur það hlutverk að upplýsa starfsmenn um þeirra skyldur samkvæmt persónuverndarlögum, sinna þjálfun starfsfólks, framkvæma úttektir, veita ráðgjöf og vera til staðar komi upp álitaefni á sviði persónuverndar. Persónuverndarfulltrúi tekur jafnframt á móti fyrirspurnum og beiðnum frá þeim einstaklingum sem verið er að vinna með upplýsingar um. Þá skal persónuverndarfulltrúinn vera tengiliður við Persónuvernd og vinna með henni, sem og fylgjast með því að farið sé að persónuverndarlögum. Hægt er að hafa samband við persónuverndarfulltrúa í síma 5451900 eða senda tölvupóst á personuvernd@mr.is

Eftirlitsaðili

Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lög eða reglugerð. Persónuvernd úrskurðar um hvort brot hafi átt sér stað. Frekari upplýsingar um Persónuvernd er að finna á vef stofnunarinnar, personuvernd.is.

Sækja persónuverndarstefnu MR á pdf