Persónuverndarstefna Framhaldsskólans á Laugum
1. Yfirlýsing um persónuvernd
Framhaldsskólinn á Laugum starfar samkvæmt nýrri reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016, um persónuvernd. Reglugerðin var samþykkt á Alþingi í júlí 2018: lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Samkvæmt reglugerðinni ber öllum stofnunum og fyrirtækjum skilda til að innleiða viðeigandi persónuverndarstefnu þar sem fram kemur í einföldu máli hvað persónuupplýsingar eru, hvernig, hvenær og í hvaða tilgangi:
- þeirra er aflað,
- unnið er með þær,
- þeim er deilt.
Þá eiga einstaklingar einnig rétt á að vita hvernig þær eru geymdar og hversu lengi. Í nýju reglugerðinni er mikil áhersla lögð á réttindi einstaklings til aðgangs að eigin gögnum og að einstaklingar séu meðvitaðir um hverjir eru að vinna með persónuupplýsingar þeirra og í hvaða tilgangi, nánar er fjallað um það í kafla 8.
2. Skilgreiningar á upplýsingum
Upplýsingar geta verið margs konar og fer meðferð upplýsinganna eftir því hvers konar upplýsingar þær eru. Persónugreinanlegar upplýsingar eru þær upplýsingar sem hægt er að nota til að greina hver viðkomandi persóna er.
a. Almennar persónuupplýsingar
Allar upplýsingar um persónugreindan eða persónugreinanlegan einstakling eru almennar persónuupplýsingar. Slíkar upplýsingar eru til dæmis: nafn, kennitala, heimilisfang, póstnúmer, símanúmer, netfang, einkunnir, andlitsmynd, bílnúmer, einstaklingsbundin einkenni, áhuga- og tómstundarmál, neysluvenjur, raðnúmer snjalltækja, staðsetningargögn, IP-tölur og fleira þess háttar.
Samkvæmt 6. grein reglugerðarinnar (2016/679), má einungis vinna almennar persónuupplýsingar liggi fyrir samþykki einstaklings eða ef vinnslan er nauðsynleg vegna einna af eftirfarandi ástæðum: framkvæmdar samnings, lagaskyldu, vernda brýna hagsmuni, verkefnis sem unnið er í þágu almannahagsmuna eða beitingu opinbers valds, lögmætra hagsmuna. Til þess að einstaklingur geti sjálfur gefið samþykki fyrir vinnslu persónuupplýsinga þarf hann að hafa náð 16 ára aldri. Hafi einstaklingurinn ekki náð 16 ára aldri þarf foreldri eða forráðamaður að heimila samþykkið (8. gr 2016/679). Einstaklingur sem samþykkir vinnslu persónuupplýsinga sinna þarf að vita um hvað vinnslan snýst, hvenær hún kemur til með að eiga sér stað, samþykkið þarf að vera á skýru og einföldu máli, vera óþvingað, afmarkað, upplýst og ótvíræð yfirlýsing. Þá skal einstaklingurinn einnig vera meðvitaður um rétt sinn til afturköllunar samþykkisins.
b. Viðkvæmar persónuupplýsingar
Viðkvæmar persónuupplýsingar eru persónuupplýsingar sem tengjast fremur viðkvæmum þáttum eins og kynþætti og þjóðernislegum uppruna, stjórnmálaskoðunum, trúarbrögðum, heimspekilegri sannfæringu, aðild að verkalýðsfélagi, vinnslu erfðafræðilegra upplýsinga, lífkennaupplýsingum, heilsufarsupplýsingum eða upplýsingum er varða kynlíf og kynhneigð einstaklings.
Um vinnslu viðkvæmra persónuupplýsinga gilda sömu reglur og um almennar persónuupplýsingar ásamt nokkrum ákvæðum til viðbótar. Samkvæmt 9. grein reglugerðarinnar (2016/679), má einungis vinna almennar persónuupplýsingar liggi fyrir afdráttarlaust samþykki einstaklings eða ef vinnslan er nauðsynleg vegna einna af eftirfarandi ástæðum:
- Að viðkomandi geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf, löggjöf um almannatryggingar og félagslega vernd, að því marki sem vinnslan er heimiluð í lögum eða kjarasamningi.
- Brýnir hagsmunir hins skráða ef hann er ófær um að veita samþykki.
- Vinnsla hjá góðgerðarstofnunum og sambærilegum aðilum.
- Ef hinn skráði hefur sjálfur opinberað upplýsingar.
- Til að stofna, hafa uppi eða verja réttarkröfu eða þegar dómstólar fara með dómsvald sitt.
- Verulegir almannahagsmunir, á grundvelli laga.
- Til að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga.
- Almannahagsmunir á sviði lýðheilsu.
- Skjalavistun í þágu almannahagsmuna, rannsóknir á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi.
c. Upplýsingar um refsiverða háttsemi
Samkvæmt 10. grein reglugerðarinnar (2016/679) eru sakfellingar í refsimálum og refsiverð brot ekki flokkaðar sem viðkvæmar persónuupplýsingar. Þó gilda strangari skilyrði um slíkar upplýsingar en almennar persónuupplýsingar. Vinnsla slíkra upplýsinga er einungis heimiluð undir eftirliti opinbers yfirvalds eða ef vinnsla er heimiluð sérstaklega í lögum eða varðandi viðeigandi verndarráðstafanir.
d. Aðrar upplýsingar
Aðrar upplýsingar eru þær upplýsingar sem ekki eru persónugreinanlegar, þ.e. upplýsingar sem ekki er hægt að rekja til einstaklinga eða nota til að bera kennsl á þá. Slíkar upplýsingar eru því ekki flokkaðar sem persónuupplýsingar.
e. Persónuupplýsingar annarra einstaklinga
Einstaklingum er ekki heimilt að gefa upp persónuupplýsingar um aðra einstaklinga. Persónuupplýsingar eiga að koma beint frá þeim einstaklingi sem upplýsingarnar eru um. Gefi einstaklingur upp persónuupplýsingar annarra er gengið út frá því að leyfi þess efnis hafi verið til staðar. Persónuupplýsingar sem berast starfsfólki stofnunarinnar frá öðrum en þeim aðila sem upplýsingarnar eru um verða ekki notaðar eða deilt nema með skriflegu leyfi viðkomandi.
3. Öflun persónuupplýsinga
Einstaklingum skal ávallt vera skýrt frá því hvernig og hvenær upplýsingum um þá er aflað. Algengasta leið okkar til upplýsingaöflunar er með viðtölum við einstaklinga en einnig fylla nemendur út eyðublöð þegar sótt er um skólavist, skila inn vottorðum og fleira þess háttar. Einstaklingar geta dregið samþykki sitt til baka hvenær sem er en afturköllun samþykkis hefur þó ekki áhrif á vinnslu þeirra fram að því skv. 7. grein reglugerðarinnar (2016/679).
4. Notkun og vinnsla persónuupplýsinga
Persónuupplýsingar verða einungis unnar og notaðar liggi fyrir leyfi þess efnis og að einstaklingur er upplýsingarnar varða sé meðvitaður um og samþykkur vinnslunni. Tilgangur vinnslu persónuupplýsinga skal ávallt vera einstaklingnum og/eða stofnuninni til góða og í því skyni að bæta starf stofnunarinnar og/eða stöðu einstaklingsins innan hennar.
5. Að deila persónuupplýsingum
Persónuupplýsingum einstaklinga verður ekki deilt nema fyrir liggi leyfi einstaklingsins er þær varða. Tilgangur þess að deila persónuupplýsingunum þarf að vera skýr og greinilegur og vera einstaklingnum og/eða stofnuninni fyrir bestu. Þá þarf einnig að koma fram hverjir fá umræddar upplýsingar og í hvaða tilgangi.
6. Geymsla persónuupplýsinga
Rafrænar persónuupplýsingar verða geymdar í skjalavistunarkerfinu GoPro en einnig verða þær í Innu, Teams og í skýi. Pappírsskjöl verða geymd í læstum og aðgangsstýrðum hirslum.
7. Geymslutími gagna
Öll skjöl opinberra stofnana eru skilaskyld á Þjóðskjalasafn, hvort sem um er að ræða skjöl sem innihalda persónuupplýsingar eða ekki. Pappírsskjölum þarf að skila eigi síðan en þau hafa náð 30 ára aldri og rafræn skjöl þegar þau hafa náð 5 ára aldri, sbr. 15. gr. laga nr. 77/2014 um opinber skjalasöfn. Grisjun opinberra skjalasafna er óheimil án samþykkis Þjóðskjalasafns. Grisjun skjalasafna opinberra stofnana lýtur lögum nr. 66/1985 um Þjóðskjalasafn Íslands, 7. grein. Almennt er gengið út frá því að varðveita skuli skjöl sem hafa stjórnsýslulegt, réttarfarslegt, sögulegt eða fræðilegt gildi, sbr. 3. gr. laga nr. 66/1985.
8. Réttur einstaklings til aðgangs að persónuupplýsingum sínum, eyðing þeirra, leiðréttinga og andmæla á þeim
Skv. 15., 16. og 17. greinum reglugerðarinnar (2016/679), hefur einstaklingur rétt á aðgangi að sínum eigin persónuupplýsingum og ber stofnuninni að veita aðgang eins fljótt og hægt er fari einstaklingur fram á það. Þá hefur einstaklingur rétt á að óska eftir því að persónuupplýsingum um hann verði eytt eða þau leiðrétt þyki honum ástæða til að andmæla þeim. Slíkar leiðréttingar og eyðingar á gögnum geta þó aðeins farið fram sé stofnuninni heimilt að eyða þeim eða breyta samkvæmt gildandi lögum.
9. Flutningur milli landa
Persónuupplýsingar verða ekki fluttar á milli landa, en þó ber að nefna að ský skólans sem geyma einhver rafræn skjöl eru vistuð í Írlandi. Þar gildir einnig persónuverndarreglugerð Evrópusambandsins svo ekki er þörf á sérstökum ráðstöfunum varðandi það.
10. Gildandi lög
Ný lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 tóku gildi í júlí 2018. Með lögunum var persónuverndarreglugerð Evrópusambandsins lögleidd á Íslandi. Framhaldsskólinn á Laugum vinnur í samræmi við þessi persónuverndarlög ásamt því sem um hann gilda lög um framhaldsskóla nr. 92/2008.
11. Öryggisráðstafanir
Öryggisráðstafanir eiga að vera í samræmi við 27. gr laga um persónuvernd og vinnslu persónuupplýsinga 90/2018. Öll persónugreinanleg gögn skulu geymd í læstum hirslum eða á rafrænan hátt og þá með aðgangsstýringu. Ábyrgðaraðili gætir fyllsta öryggis og gerir ráðstafanir eftir þörfum. Ef öryggisbrestur á sér stað við vinnslu eða geymslu persónuupplýsinga skal það tilkynnt til Persónuverndar eigi síður en 72 klukkustundum eftir að ábyrgðaraðili verður var við brestinn. Sé slíkur brestur ekki tilkynntur innan 72 klst. þurfa ástæður tafarinnar að fylgja tilkynningunni.
12. Persónuverndarfulltrúi
Framhaldsskólinn á Laugum, eins og öðrum stofnunum, ber skylda til að hafa starfandi persónuverndarfulltrúa. Allar ábendingar, kvartanir og fyrirspurnir varðandi persónuvernd er beint til persónuverndarfulltrúans. Persónuverndarfulltrúi skólans er Valdemar Karl Kristinsson, lögmaður PACTA lögmanna. Hægt er að hafa samband við hann í gegnum tölvupóst á netfangið si.atcap@ramedlav.
Síðast uppfært 25.4.2023