Persónuverndarstefna

Við rekstur skóla safnast óhjákvæmilega ýmsar persónuupplýsingar um mismunandi hópa, þ.e. nemendur skólans, starfsfólk skólans, einstaklinga/viðskiptamenn, s.s. ráðgjafa, birgja, verktaka og lögaðila sem skólinn er í samskiptum við.   

FVA safnar persónuupplýsingum til að geta uppfyllt skyldur sínar á grundvelli laga nr. 92/2008 sem gilda um framhaldsskóla. Tilgangur með skráningu persónuupplýsinga hjá FVA á því stoð í lögum eða varðar þjónustu sem skólinn veitir nemendum, að veita þeim þá þjónustu sem þeir eiga lagalegan rétt á. Einnig safnar skólinn persónuupplýsingum vegna samningssambands við starfsfólk, verktaka o.fl. Eftirfarandi eru dæmi um tilgang söfnunar persónuupplýsinga:   

• Nemendur: Til að uppfylla skyldur skólans gagnvart þeim og til að mæta þörfum þeirra. 
• Starfsfólk: Til að meta hæfni umsækjenda til starfs og til að greiða þeim laun.  
• Verktakar/viðskiptavinir: Til að greiða fyrir vöru og þjónustu.  

Öll notkun og meðferð persónuupplýsinga, s.s. söfnun þeirra, skráning, geymsla og eyðing telst vinnsla, sbr. 4 tl. 3. gr. persónuverndarlaga nr. 90/2018.  

FVA leggur áherslu á að heimildir séu fyrir vinnslunni samkvæmt persónuverndarlögum og að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að með vinnslunni. Skólinn gerir sitt ýtrasta til að tryggja að gætilega sé farið með persónuupplýsingar og að meðferð þeirra sé ávallt samkvæmt lögum og reglum. Eftirfarandi grundvallarreglur ráða því hvernig þínar persónuupplýsingar eru meðhöndlaðar hjá FVA: 

• Þær skulu vera löglegar, sanngjarnar og réttar 
• Tryggðar gegn óheimilum breytingum og meðhöndlaðar af trúnaði 
• Skráðar í sérstökum og skýrum tilgangi og ekki notaðar síðar í öðrum óskyldum tilgangi 
• Vistaðar eins lengi og þörf er á eða lög kveða á um 
• Vera uppfærðar og aðgengilegar 
• Aðeins notaðar í upprunalegum tilgangi  
• Ekki afhentar öðrum nema að beiðni viðkomandi og með ótvíræðu samþykki hans eða að skólinn beri lagalega skyldu til þess 

FVA skráir og varðveitir ýmsar persónuupplýsingar um framangreinda hópa, en þó eingöngu upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi hverju sinni. Þannig er umfangsmeiri upplýsingum t.d. safnað um nemendur og starfsfólk skólans heldur en aðra. Upplýsingarnar geta bæði verið á pappír eða rafrænar.  

Sérstök aðgát er höfð um söfnun og meðferð viðkvæmra persónuupplýsinga, s.s. um heilsufar eða greiningar nemenda en þá hefur nemandi sjálfur afhent skólanum þær nema þær komi frá þriðja aðila, t.d. Barnavernd og er það þá á grundvelli laga. Með slíkum upplýsingum hefur skólinn tækifæri til að veita nemendum menntun við hæfi. Dæmi um persónuupplýsingar sem unnið er með í FVA: 

Grunnupplýsingar um nemendur (nöfn, kennitölur, heimilisföng, netföng og símanúmar); grunnupplýsingar um forráðamenn; upplýsingar um samskipti við nemendur og forráðamenn; viðvera nemenda í skólanum; veikindafjarvistir; verkefni og verkefnaskil; einkunnir; mat á námi hjá öðrum skólum; upplýsingar um sérþarfir (t.d. greiningar); útlán af bókasafni; ljósmyndir; grunnupplýsingar um starfsmenn; veikindafjarvistir og leyfi; starfsumsóknir, ferilskrá, upplýsingar um menntun, kynningarbréf o.fl.; grunnupplýsingar um viðskiptavini/þjónustuaðila.  

FVA er afhendingarskyldur aðili til Þjóðskjalasafns skv. lögum um opinber skjalasöfn nr. 77/2014 og geymir því öll gögn fram að skilum til Þjóðskjalasafns í samræmi við settar reglur þar um.   

• Rafræn gögn er varða nemendur eru varðveitt í aðgangsstýrðum miðlægum gagnagrunni Innu sem Advania hýsir og rekur (vottað skv. ISO 27001) og/eða í skjalavistunarkerfinu GoPro sem Hugvit hýsir og rekur (vottað skv. ISO 27001).  
• Rafræn gögn er varða  starfsfólk eru varðveitt í Orra, aðgangsstýrðu, mannauðs- og launakerfi ríkisins, sem Advania hýsir og rekur (vottað skv. ISO 27001) og/eða í skjalavistunarkerfinu GoPro sem Hugvit hýsir og rekur (vottað skv. ISO 27001).  
• Rafræn gögn er varða ytri hagaðila eru varðveitt í Orra í aðgangsstýrðu bókahaldskerfi ríkisins sem Advania hýsir og rekur (vottað skv. ISO 27001) og/eða í skjalavistunarkerfinu GoPro sem Hugvit hýsir og rekur (vottað skv. ISO 27001).  
• Rafræn gögn er varða alla framangreinda eru í skýjageymslum Office 365 (OneDrive / SharePoint) sem Microsoft hýsir og rekur  (samningur ríkisins og Microsoft). Aðgangur að Office 365 er í gegnum Menntaskýið sem Háskóli Íslands þjónustar. 
• Gögn á pappír er varða framangreinda eru varðveitt í aðgangsstýrðri og eldvarinni skjalageymslu FVA. 
• Vefur skólans er aðgangsstýrður og settur upp í WordPress sem 1984 hýsir og rekur.   
• Myndefni á öryggismyndavélum er hýst á aðgangsstýrðum netþjóni í skólanum.  

Skjalastjórnun og skjalavarsla FVA er í samræmi við lög og reglur, sbr. lög um opinber skjalasöfn nr. 77/2014; hún nær til allra skjala, hvort sem þau eru rafræn eða á pappír, allan líftíma þeirra, þ.e. frá því að þau verða til innan skólans eða berast honum og þar til þeim er annað hvort eytt samkvæmt heimild eða þau afhent Þjóðskjalasafni Íslands.  

Aðgangsheimildir að upplýsingum í öllum kerfum sem skólinn notar eru einstaklingsbundnar, þ.e. bundnar við einstaklinga eða hópa sem starfs síns vegna þurfa aðgengi að skilgreindum flokkum upplýsinga, s.s. skólastjórnendur, kennarar, náms- og starfsráðgjafar og skólahjúkrunarfræðingur, til að geta sinnt þjónustu við nemendur og/eða starfsfólk. Nemendur/forráðamenn nemenda yngri en 18 ára hafa upplýsingar í Innu um sig sjálfa/um viðkomandi nemanda.  

Að jafnaði aflar skólinn persónuupplýsinga beint frá þeim einstaklingi sem upplýsingarnar varða. Við tilteknar aðstæður geta upplýsingarnar þó komið frá þriðja aðila, t.d. þjóðskrá, heilbrigðisstofnun eða öðrum þriðja aðila. Þegar upplýsinga er aflað frá þriðja aðila leitast skólinn  við að upplýsa um slíkt, eftir því sem við á. 

Inna 
Grunnupplýsingar um nemanda koma frá þjóðskrá, nemanda sjálfum, forráðamanni, skólameistara, kennara, náms- og starfsráðgjafa, skólahjúkrunarfræðingi eða öðru starfsfólki skólans sem hefur til þess heimild. Grunnupplýsingar um starfsmann koma frá þjóðskrá og starfsmanninum sjálfum. 

Tölvupóstur 
Tölvupóstur til starfsmanns skólans gegnum netfang skólans (@fva.is) varðveitist í tölvupóstkerfi skólans og í skjalakerfi ef það á við.  

GoPro 
Persónuupplýsingar nemenda sem eru skráðar í skjalastjórnunarkerfi skólans og geymdar í GoPro koma frá þjóðskrá, nemendum sjálfum, forráðamönnum, skólameistara, kennurum, náms- og starfsráðgjöfum og skólahjúkrunarfræðingi eða öðrum starfsmönnum skólans. Einnig geta þær komið frá þriðja aðila lögum samkvæmt, s.s. greiningar. Upplýsingar um starfsmenn koma frá þjóðskrá, þeim sjálfum, stjórnendum og eftir atvikum öðrum, svo sem umsagnaraðila í tengslum við ráðningu. 

Myndir 
Mynd af nemanda til birtingar í auglýsingaefni skólans, á vef skólans eða samfélagsmiðli á vegum skólans skal aðeins birt að fenginni heimild frá nemandanum og forráðamanni hans (ef nemandi er yngri en 18 ára). Nemandinn getur dregið heimildina til baka (eða forráðamaður ef það á við) hvenær sem er og er þá brugðist strax við beiðninni og myndin fjarlægð. Undanþága frá kröfum um fyrirliggjandi heimild til myndbirtingar varðar hópmyndir sem teknar eru í skólanum eða á viðburðum á vegum skólans og ljóst að enginn einn nemandi er brennidepill myndarinnar. Nemandi og/eða forráðmaður getur farið fram á að slíkar myndir verði fjarlægðar af vef skólans eða samfélagsmiðli á vegum skólans, án þess að gefa upp ástæðu. Framangreint á einnig við um myndbirtingu af starfsfólki, þ.e. að samþykki viðkomandi þarf að liggja fyrir.  

FVA miðlar ekki persónuupplýsingum til þriðja aðila nema honum sé það skylt samkvæmt lögum, eða viðkomandi nemandi eða starfsmaður hafi óskað eftir og fyrir fram gefið samþykki fyrir því. Slíkt samþykki er hægt að afturkalla.  

• Þú hefur rétt til að fá upplýsingar um allar skráðar persónulegar upplýsingar um þig, rafrænar eða á pappír, hvaðan þær komu og til hvers þær eru notaðar.  Við afhendingu slíkra upplýsinga ber skólanum skylda til að meta áður hvert skjal sem óskað er eftir, hvort þar geti verið upplýsingar sem þú átt ekki rétt á, á grundvelli III. kafla upplýsingalaga nr. 140/2012, um aðgang aðila að upplýsingum um hann sjálfan. 
• Þú hefur rétt til að  koma á framfæri athugasemd við ófullkomnar eða rangar upplýsingar um þig. Skrá er haldin yfir leiðréttingar.  
• Þú getur farið fram á að ónauðsynlegum upplýsingum um þig verð eytt nema skólanum beri skylda til að varðveita upplýsingarnar samkvæmt lögum um opinber skjalasöfn nr. 77/2014 eða að eyðing varði rétt annarrar persónu til varðveislu upplýsinganna og persónuverndar. 
• Þú getur dregið til baka samþykki þitt ef þú hefur áður samþykkt að unnið sé með persónuupplýsingarnar. 

Þegar þú óskar eftir upplýsingum sem skráðar hafa verið um þig þarf  beiðnin að vera skrifleg en hún er þér að kostnaðarlausu. Umsókn skal senda á netfangið personuvernd@fva.is  

Vefur skólans, fva.is, safnar engum persónugreinanlegum gögnum um notendur eða notkun þeirra á vefnum án þeirra vitundar.  

Vafrakökur: Svokallaðar vafrakökur (e. cookies) eru notaðar á vef fva.is til að tryggja sem besta upplifun af síðunni fyrir notendur. Vafrakökur eru sérstök skrá sem komið er fyrir á tölvu notanda sem heimsækir viðkomandi vef og geymir ópersónugreinanlegar upplýsingar um heimsóknina. Við fyrstu heimsókn á vef er notendum bent á að þeir geta stillt vafra sinn þannig að hann láti vita af vefkökum eða hafni þeim með öllu. 

Vafrakökur frá Google og Facebook eru notaðar til að greina umferð um vefsvæðið og vegna markaðsstarfs skólans. Upplýsingar frá þeim eru ópersónugreinanlegar í notkun skólans og engar tilraunir eru eða verða gerðar til að komast yfir frekari upplýsingar um hverja komu eða tengja saman við aðrar persónugreinanlegar upplýsingar.  

Innsendar upplýsingar: Þegar notendur senda fyrirspurn eða ábendingu í gegnum skilaboðaform á vef skólans er beðið upp upplýsingar sem eru nauðsynlegar til að hægt sé að svara fyrirspurninni, t.d. nafn og netfang. Fyrirspurnir berast á netfang þess starfsmanns sem hefur með málefnið að gera og er unnið með innsendar upplýsingar samkvæmt reglum um meðferð tölvupósts. 

Rafræn vöktun með öryggismyndavélum í húsnæði skólans byggir á lögmætum hagsmunum og er metin nauðsynleg á grundvelli öryggis og eignavörslu, dæmi:  

• Til að gæta öryggis íbúa á heimavist   
• Til að gæta þess að ekki sé farið um skólann í leyfisleysi  
• Til að varna því að eigur skólans séu skemmdar  

Öryggismyndavélar hjá FVA eru stilltar þannig að upptaka hefst þegar vél skynjar hreyfingu. Þær eru á eftirtöldum stöðum í húsnæði skólans:  

• Anddyri heimavistar – Heimavistarstjóri getur séð mynd í tölvu í íbúð sinni frá vél í anddyri heimavistar í rauntíma en hefur ekki aðgang að upptökunum. Lykill að íbúð vistarstjóra er utan kerfis. 
• Anddyri aðalinngangs skólans 
• Rafiðnargangur C100 
• Anddyri milli rafiðnar og tréiðnar 
• Vélasalur tréiðnar T100 
• Anddyri verknámshúss málmiðnar 
• Vélasalur málmiðnar M100 

Sérstakar merkingar eru settar upp um öryggismyndavélarnar til að gera þeim sem eiga leið um húsnæðið viðvart um vöktunina, hvort sem um er að ræða nemendur, forráðamenn, gesti og/eða starfsfólk. Myndefni sem verður til við vöktun er vistað á sérstökum netþjóni innan skólans. Það er aðeins skoðað ef upp koma atvik sem varða eignavörslu og/eða öryggi, s.s. þjófnaður, skemmdarverk eða slys. Myndefnið geymist að hámarki í 14 daga og eyðist þá sjálfkrafa.  

Myndefni sem verður til við vöktun er ekki afhent öðrum og ekki unnið með það nema með samþykki þess sem upptakan er af eða með heimild Persónuverndar. Undantekning frá þessu er að heimilt er að afhenda lögreglu upptökur, varði þær upplýsingar um slys eða meinta refsiverða háttsemi. Sjá nánar í verklagsreglu um rafræna vöktun hjá FVA. 

Hjá FVA er lögð áhersla á mikilvægi persónuverndar við vinnslu upplýsinga er varða nemendur, starfsfólk og ytri hagaðila, bæði rafrænt vistaðar og á pappír. Allar persónuupplýsingar eru aðgangsstýrðar og aðgangur bundinn við það starfsfólk sem þarf að vinna með þær. Starfsfólk er bundið þagnarskyldu og ber að fara með persónuupplýsingar (nemenda, samstarfsfólks og annarra hagaðila) samkvæmt lögum og reglum.    

Ef öryggisbrestur verður skal hann tilkynntur til Persónuverndar innan 72 klst. eftir að hans verður vart nema hann sé ekki talinn leiða af sér áhættu fyrir réttindi og frelsi þeirra sem meintur brestur varðar.  Nánari upplýsingar er að finna í Upplýsingaöryggisstefnu FVA og í verklagsreglu skólans um viðbrögð við öryggisbrestum við meðferð persónuupplýsinga.  

Persónuverndarfulltrúi FVA tekur á móti erindum um hvaðeina er varðar persónuupplýsingar og meðferð þeirra. Hann er til staðar komi upp álitaefni á sviði persónuverndar, hlutast til um þjálfun starfsfólks og framkvæmir úttektir. Hann er tengiliður við Persónuvernd og vinnur með henni. Hægt er að hafa samband við persónuverndarfulltrúa í síma 433 2500 eða senda tölvupóst á netfangið personuvernd@fva.is. Þá er hægt að senda póst merktan persónuverndarfulltrúa til FVA, Vogabraut 5, 300 Akranes.   

Leitast er við að bregðast við öllum fyrirspurnum innan mánaðar frá viðtöku þeirra. Sé um að ræða umfangsmikla eða flókna beiðni mun FVA upplýsa um að ekki verði brugðist við beiðni innan framangreindra tímamarka. Ætíð skal leitast við að svara innan þriggja mánaða frá viðtöku á beiðni.  

Ef einstaklingur hefur athugasemdir við vinnslu FVA á persónuupplýsingum getur hann sent erindi til Persónuverndar sem annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Persónuvernd úrskurðar um hvort brot hafi átt sér stað. Upplýsingar um Persónuvernd er að finna á vef stofnunarinnar, www.personuvernd.is.