Persónuverndarstefna Menntaskólans á Tröllaskaga

Menntaskólinn á Töllaskaga er framhaldsskóli sem starfar eftir lögum um framhaldsskóla nr. 92/2008. Ábyrgðaraðlili vinnslu persónugreinanlegra gagna er skólameistari.

Vinnsla persónuupplýsinga er í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Menntaskólinn á Tröllaskaga varðveitir gögn og upplýsingar um nemendur og starfsmenn á rafrænu formi í Innu (í samstarfi við Advania), kennslukerfinu Moodle (eigin vefþjónn), GoPro skjalavistunarkerfinu og í skýjum á vef (G-Suite). Markmið persónuverndarstefnunnar er að lýsa skuldbindingu skólans til að vernda þessi gögn gegn ógnunum, jafnt innan frá sem utan, vísvitandi og óviljandi. Markmiðið er að stýra upplýsingaöryggi til að tryggja áframhaldandi aðgang að nemenda- og starfsmannaskrá og lágmarka tjón og áhrif ef skaði verður vegna upplýsingaleka.

  • Menntaskólinn á Tröllaskaga tryggir að eingöngu aðilar sem til þess hafa heimild, hafi aðgang að upplýsingum um nemendur og starfsmenn.
  • Menntaskólinn á Tröllaskaga tryggir að upplýsingar sem skráðar eru í nemenda- og starfsmannaskrá sem og kennslukerfi, séu réttar á hverjum tíma. Rangar og úreltar upplýsingar skulu leiðréttar, þeim eytt eða við þær aukið þegar þörf er á. Haldið skal uppi reglubundnu eftirliti í þeim tilgangi.
  • Menntaskólinn á Tröllaskaga tryggir að upplýsingar skráðar í nemenda- og starfsmannaskrá, ásamt kennslukerfi, séu aðgengilegar þeim sem hafa heimild og þurfa á þeim að halda. Skólinn tryggir einnig að kerfi og gögn sem kunna að eyðileggjast sé hægt að endurheimta með hjálp viðbragðsáætlunar og afrita sem geymd eru á öruggum stað.

Í Menntaskólanum á Tröllaskaga er unnið með persónugreinanleg gögn í samræmi við lög um persónuvernd nr. 90/2018, kröfur staðalsins ÍST EN ISO/IEC 27001 og reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679.

Starfsmenn sem hafa aðgang að upplýsingaverðmætum og þeir vinnsluaðilar sem koma að rekstri upplýsingakerfa, þ.m.t. nemenda- og starfsmannaskrár, skulu hafa aðgang og þekkja til þessarar persónuverndarstefnu. Viðurlög komi fram í ráðningarsamningum, starfslýsingum, kjarasamningum eða lögum og felist eftir atvikum í skriflegri áminningu eða brottrekstri.

 

Markmið Menntaskólans á Tröllaskaga er að nota raunhæfar, viðeigandi, hagnýtar og árangursríkar öryggisráðstafanir til að vernda mikilvæg verkferli og verðmæti nemendaskrár og annarra persónugreinanlegra gagna. Tryggt skal að

  • aðgengi að upplýsingaverðmætum sé bundið við þá sem til þess hafa heimild
  • upplýsingaverðmæti séu varðveitt á tryggilegan hátt
  • farið sé að lögum um framhaldsskóla og persónuvernd varðandi aðgang, vinnslu, flutning, varðveislu og dreifingu upplýsinga
  • haldin sé viðeigandi leynd og trúnaður um upplýsingaverðmæti
  • áreiðanleiki upplýsingaverðmæta sé tryggður með því að verja þau fyrir óheimilum breytingum og rangar upplýsingar séu leiðréttar tafarlaust
  • ákvæði laga, reglugerða og samninga séu uppfyllt
  • útbúin sé viðbragðsáætlun, henni haldið við og hún prófuð eins og kostur er
  • starfsmönnum sé veitt viðeigandi fræðsla og þjálfun varðandi öryggiskröfur tengdar nemendaskrá
  • tilkynnt sé um öll öryggisatvik og veikleika á öryggiskröfum og -kerfum sem grunur leikur á og þau rannsökuð.

 Gildissvið

  • Persónuverndarstefna þessi nær til og gildir um alla sem hafa aðgang að persónugreinanlegum upplýsingum, nemenda- og starfsmannaskrá, kennslukerfi sem og öðrum upplýsingaverðmætum. Í henni er skilgreint lágmarksöryggi.

 Ábyrgð og skipulag

  • Skólameistari Menntaskólans á Tröllaskaga er endanlega ábyrgur fyrir öryggi upplýsingaverðmæta sem skólinn skráir
  • Skólameistari tilnefnir persónuverndarfulltrúa til Persónuverndar ásamt tengilið í skóla. Persónuverndarfulltrúinn er í samskiptum við sérfræðing í persónuverndarlögum í mennta- og menningarmálaráðuneyti.
  • Persónuverndarfulltrúi skal sjá til þess að starfsfólk sem notar nemenda- og starfsmannaskrá eða gögn úr kerfum skólans, hljóti viðeigandi fræðslu um persónuvernd og öryggismál.
  • Persónuverndarfulltrúi skal vera tengiliður við forsjármenn og Persónuvernd vegna mála er varða friðhelgi og vernd persónugreinanlegra upplýsinga.
  • Skólameistari er ábyrgur fyrir því að allir hlutaðeigandi starfsmenn skólans þekki og skilji persónuverndarstefnu þessa og hafi hana að leiðarljósi í starfi sínu. Skólameistari getur falið tilteknum starfsmanni daglega framkvæmd þessa þáttar.
  • Það er á ábyrgð sérhvers starfsmanns að fylgja þessari persónuverndarstefnu.

 Endurskoðun, áhættumat og innra eftirlit

  • Persónuverndarstefnuna skal endurmeta að minnsta kosti á tveggja ára fresti. Verði veruleg breyting á áhættuþáttum skal endurmeta stefnuna án tafar.
  • Áhættumat skal vera viðvarandi og í samræmi við kröfur Persónuverndar. Það skal endurskoðað á minnst tveggja ára fresti og í hvert sinn sem veruleg breyting verður á umhverfi upplýsingavinnslu eða áhættuþáttum.
  • Öryggisþarfir skal greina út frá áhættumati og greiningu á öryggiskröfum laga og opinberra eftirlistaðila.
  • Velja skal viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda upplýsingaverðmæti. Öryggisráðstafanir skal endurskoða samhliða endurmati á persónuverndarstefnu og áhættumati.
  • Beita skal ráðstöfunum sem tryggja nægilegt öryggi með tilliti til kostnaðar og í hlutfalli við áhættu sem dregið er úr og hugsanlegs tjóns ef öryggisfrávik verða.
  • Viðhafa skal reglubundið innra eftirlit með vinnslu upplýsinga og meðferð upplýsingaverðmæta til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
  • Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af áhættu, eðli verðmæta sem vernda á. Það skal þó eigi vera gert sjaldnar en á tveggja ára fresti.

 Aðgangur, notkun og notagildi upplýsinga

  • Aðgangur starfsmanna að upplýsingum nemenda- og starfsmannaskrár sem og kennslukerfis og gagnageymslu er háður tilskyldum heimildum. Aðgangsheimildum skal stýra tryggilega og skal persónuverndarfulltrúi/tengiliður hafa eftirlit með þeim.
  • Um aðgang nemenda og forsjármanna að nemendaskrá gilda þær aðgangshindranir sem rekstraraðili (Advania) setur. Aðgangsorð eru Íslykill eða rafræn skilríki.
  • Aðgangsheimildum nemendaskrár skal ætíð viðhaldið og breytingar á stöðu notenda skulu án tafar tilkynntar til tengiliðar í skóla.
  • Allur gagnaaðgangur í nemendaskrá er skráður í Innu og má rekja úttektarslóð þar.
  • Skólameistari skal hafa eftirlit með aðgangi og notkun upplýsinga í nemendaskrá. Skólameistari getur falið tilteknum starfsmanni daglega framkvæmd þessa þáttar.
  • Um aðgang að nemenda- og starfsmannaskrá gilda þær aðgangshindranir sem rekstraraðili (Advania) setur. Aðgangsorð eru Íslykill eða rafræn skilríki. Beitt er tæknilegum aðgangshindrunum til að fyrirbyggja aðgang óviðkomandi um tölvunet og fjarskiptakerfi sem tengjast eða eru notuð af starfsfólki skólans til að tengjast rafrænum gögnum og læstum hirslum þegar upplýsingar eru á pappír eða öðrum raunlægum miðlum.

 Neyðarstjórnun og öryggisfrávik:

  • Tryggja skal samfelldan rekstur upplýsingakerfa nemenda- og starfsmannaskrár í samræmi við niðurstöðu áhættumats.
  • Öll frávik frá öryggisstefnu skal tilkynna til persónuverndarfulltrúa og grun um gagnaleka til Persónuverndar innan 72 klukkustunda.
  • Atriði sem varða brot á lögum skulu tilkynnt hlutaðeigandi yfirvöldum.

 

Tengiliður skólans: Jóna Vilhelmína Héðinsdóttir, villa@mtr.is, aðstoðarskólameistari. 

Persónuverndarfulltrúi: Valdemar Karl Kristinsson, lögmaður, valdemar@pacta.is, PACTA lögmenn, Hafnarstræti 91-95, 600 Akureyri

 

Uppfært  30.11.2022 (Persónuverndarfulltrúa breytt)