1. Forsíða
  2. Um okkur
  3. Persónuverndarstefna

Persónuverndarstefna

Miðstöð menntunar og skólaþjónustu er þjónustu- og þekkingarstofnun sem starfar í þágu barna og ungmenna á sviði fræðslu- og menntamála um land allt í samræmi við lög, stefnu stjórnvalda, bestu þekkingu og alþjóðleg viðmið.

Miðstöð menntunar og skólaþjónustu leggur áherslu á að tryggja að öll meðferð persónuupplýsinga sé í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Markmið persónuverndarstefnunnar er að auðvelda einstaklingum að átta sig á hvaða upplýsingum stofnunin safnar, hvers vegna og hvað er gert við þær. Þá hefur Miðstöð menntunar og skólaþjónustu sett sér sérstaka upplýsingaöryggisstefnu sem tekur til allrar starfsemi stofnunarinnar og m.a. skráningu, vinnslu, samskipta, dreifingar, geymslu og eyðingu upplýsinga hjá stofnuninni.

Verkefni Miðstöðvar menntunar og skólaþjónustu eru m.a. að:

  • styðja, efla og samhæfa menntun, skólaþjónustu og annað skólastarf um land allt, m.a. með almennri og sérhæfðri fræðslu,

  • sjá nemendum í skyldunámi fyrir vönduðum og fjölbreyttum námsgögnum og öðrum nemendum eftir því sem stofnuninni kann að vera falið,

  • byggja upp og halda utan um aðferðir og úrræði fyrir skóla sem styðja við skólastarf og skólaþjónustu, þar á meðal gæðaviðmið, verkferla, verkfæri, matstæki og önnur tæki til skimana og athugana á einstaklingum eða hópum,

  • styðja við innleiðingu stefnumótunar stjórnvalda á sviði menntunar og farsældar barna og ungmenna, þ.m.t. menntastefnu og aðalnámskráa.

Þá starfræktir Miðstöð menntunar og skólaþjónustu stuðnings- og ráðgjafarteymi sem hefur það hlutverk að styðja við börn, foreldra og starfsfólk á öllum skólastigum sem hafa mikla þörf fyrir stuðning innan skóla, m.a. vegna alvarlegra atvika sem átt hafa sér stað eða eiga sér stað innan skóla. Teymið hefur sömu heimildir til vinnslu mála og fagráð eineltismála samkvæmt lögum um grunnskóla.

Hvaða persónuupplýsingar vinnur Miðstöð menntunar og skólaþjónustu með

Miðstöð menntunar og skólaþjónustu vinnur með persónuupplýsingar í tengslum við verkefni sem stofnuninni hafa verið falin á grundvelli laga og reglna sem um hana og verkefni hennar gilda. Stofnunin safnar upplýsingum ýmist sem ábyrgðaraðili eða vinnsluaðili.

Almennar persónuupplýsingar

Með vísan til hlutverks og verkefna Miðstöð menntunar og skólaþjónustu sbr. 1., 3., 4. og 6. gr, sbr. og 5. gr. laga um Miðstöð menntunar og skólaþjónustu nr. 91/2023 er stofnuninni heimil vinnsla persónuupplýsinga að því marki sem nauðsynlegt er til að sinna lögbundnu hlutverki sínu samkvæmt lögum 91/2023 og öðrum lögum sem um stofnunina gilda, þ.m.t. vegna námsmats, innritunar í framhaldsskóla og ráðgjafar í einstaklingsmálum. Heimildin nær til persónuupplýsinga um nemendur, skólastjórnendur, starfsfólk skóla og aðra sem lögbundið hlutverk stofnunarinnar nær til.

Er hér m.a. átt við eftirfarandi verkefni:

  • Lesferil í leik- og grunnskólum.

  • Matsferil

  • Próf í íslensku fyrir umsækjendur um íslenskan ríkisborgararétt.

  • Innritun nemenda í framhaldsskóla.

  • Mál er varða velferð nemenda s.s. meðferð eineltismála.

  • Ráðningar og utanumhald um starfsfólk stofnunarinnar.

  • Gerð samninga við verktaka, þ.m.t. höfunda námsefnis, og byrgja.

Almennar persónuupplýsingar sem Miðstöð menntunar og skólaþjónustu er heimilt að kalla eftir eru t.d.:

  • Lýðskrárupplýsingar s.s. nafn, kennitala, kyn, heimilisfang og netfang.

  • Niðurstöður námsmats og vitnisburðir eftir atvikum í leik-, grunn- og framhaldsskólum.

  • Upplýsingar um menntun, starfsheiti, starfshlutfall, starfsaðstæður og starfsþróun skólastjórnenda, kennara og annars starfsfólks í leik-, grunn- og framhaldsskólum.

  • Nauðsynlegar bankaupplýsingar í tengslum við greiðslu launa starfsfólks og greiðslur til verktaka.

  • Þá skráir stofnunin samskiptaupplýsingar um einstaklinga sem koma frá þeim sjálfum þegar þeir senda inn erindi til stofnunarinnar.

Viðkvæmar persónuupplýsingar

Með vísan til hlutverks og verkefna sbr. 1., 3., 4. og 6. gr, sbr. og 5. gr. laga um Miðstöð menntunar og skólaþjónustu nr. 91/2023 er stofnuninni er heimil vinnsla viðkvæmra persónuupplýsingar og upplýsinga viðkvæms eðlis, svo sem heilsufarsupplýsinga og upplýsinga um félagslegar aðstæður einstaklinga, að því marki sem slík vinnsla er nauðsynleg Miðstöð menntunar og skólaþjónustu til að sinna lögbundnu hlutverki sínu. Heimildin nær jafnframt til vinnslu upplýsinga um refsiverða háttsemi og ætlaða refsiverða háttsemi, að því marki sem slík vinnsla er nauðsynleg Miðstöð menntunar og skólaþjónustu til að sinna lögbundnu hlutverki sínu, nema hagsmunir af leynd persónuupplýsinganna fyrir þann sem upplýsingarnar fjalla um vegi þyngra en hagsmunir af vinnslunni. Meðal verkefna má nefna

  • Meðferð eineltismála í grunn- og framhaldsskólum í þeim tilgangi að bæta líðan nemenda í skólum og stuðla að bættri málsmeðferð skóla og sveitarfélaga í eineltismálum. Í þeim tilvikum sem það er nauðsynlegt fyrir vinnslu slíkra mála er stofnuninni heimilt að afla upplýsinga frá öðrum aðilum en skólum s.s. frá íþróttafélögum og úr heilbrigðiskerfinu enda hafi aðilar máls samþykkt þá gagnaöflun.

Viðkvæmar persónuupplýsingar sem Miðstöð menntunar og skólaþjónustu er heimilt að kalla eftir í tengslum við fyrrgreind verkefni eru:

  • Upplýsingar um líðan nemenda í skólum.

  • Upplýsingar um félagslega stöðu nemenda.

  • Kennslufræðilegar, læknisfræðilegar, sálfræðilegar, sérkennslufræðilegar greiningar og aðrar greiningar og sérúrræði fyrir nemanda

  • Sérkennsluumsóknir, námsáætlanir vegna sérúrræða og einstaklingsnámskrár.

  • Mætingar og agabrot.

  • Upplýsingar um starfshætti, endurgjöf, frammistöðu í starfi, starfsánægju og líðan skólastjórnenda, kennara og annars starfsfólks í leik-, grunn- og framhaldsskólum.

Afmá skal persónuauðkenni og gera gögn ópersónugreinanleg þegar unnið er með viðkvæmar persónuupplýsingar nema nauðsynlegt sé fyrir tilgang vinnslunnar að geyma og vinna með gögnin á persónugreinanlegu formi.

Hverjir hafa aðgang að upplýsingum stofnunarinnar

Einstaklingar eiga rétt á aðgangi að þeim gögnum sem til eru hjá Miðstöð menntunar og skólaþjónustu um þá sjálfa. Stofnunin miðlar upplýsingum til opinberra aðila í tengslum við þau verkefni sem henni hafa verð falin. Miðstöð menntunar og skólaþjónustu miðlar ekki persónugreinanlegum upplýsingum til annarra aðila nema hafa til þess lagaheimild. Miðlun persónugreinanlegra gagna fer t.d. fram í eftirfarandi tilfellum:

  • Einkunnir nemenda úr samræmdu námsmati eru afhentar til viðkomandi skóla í gegnum Skólagátt, þjónustusvæði skóla hjá stofnuninni, og eftir atvikum til foreldra sé óskað sérstaklega eftir eldri niðurstöðum úr prófunum sem ekki fást hjá skólunum.

  • Einkunnir nemenda úr prófum tengdum Lesferli eru afhentar til viðkomandi skóla í gegnum Skólagátt, þjónustusvæði skóla hjá stofnuninni.

  • Gögnum sem unnið er með í tengslum við meðferð eineltismála í grunn- og framhaldsskólum er deilt eftir atvikum með forsjáraðilum þeirra barna sem um ræðir, skólum og skólaskrifstofu viðkomandi sveitarfélags. Gætt er að því að deila persónuupplýsingum eingöngu í þeim tilfellum sem það er nauðsynlegt fyrir vinnslu málsins.

Þá eru mál aðgangsstýrð í málaskrá stofnunarinnar þannig að eingöngu það starfsfólk sem nauðsynlega þarf vegna aðkomu að vinnslu máls hafa aðgang að persónuupplýsingum sem stofnunin vinnur með. Allt starfsfólk Miðstöðvar menntunar og skólaþjónustu er bundið þagnarskyldu samkvæmt lögum og helst þagnarskylda þótt látið sé af störfum. Um þagnarskyldu starfsfólks Miðstöð menntunar og skólaþjónustu gilda einkum ákvæði 18. gr. laga um réttindi og skyldur starfsmanna ríkisins nr. 70/1996 og ákvæði X. kafla stjórnsýslulaga nr. 37/1993.

Þá nýtir stofnunin í einstökum tilfellum utanaðkomandi sérfræðiaðstoð við t.d. við ráðningu starfsfólks, álitsgerðir, greiningar o.s.frv. Í slíkum tilfellum vinnur sérfræðingur með persónuupplýsingar á grundvelli skriflegs samnings eða samkomulags.

Öll gögn og upplýsingar í vörslu stofnunarinnar eru geymd innan Evrópska efnahagssvæðisins, eða ríkjum sem Persónuvernd hefur talið veita persónuupplýsingum fullnægjandi vernd eða hjá bandarískum fyrirtækjum sbr. jafngildisákvörðun (e. Adequacy decision) varðandi flutning persónuupplýsingar frá Evrópu til Bandaríkjanna en ákvörðuninni er ætlað að veita persónuupplýsingum sem fluttar eru frá Evrópu til Bandaríkjanna fullnægjandi vernd.

Varðveisla persónuupplýsinga

Miðstöð menntunar og skólaþjónustu er skilaskyldur aðili samkvæmt lögum um opinber skjalasöfn, nr. 77/2014. Af því leiðir að stofnuninni er óheimilt að eyða skjölum og gögnum sem henni berast eða verða til hjá henni, nema að fengnu leyfi Þjóðskjalasafns Íslands. Í skilaskyldu felst jafnframt að öllum skjölum og gögnum sem berast stofnuninni eða verða til hjá henni, skal skilað til Þjóðskjalasafns Íslands þar sem þau eru geymd til framtíðar. Nánari upplýsingar um Þjóðskjalasafn Íslands má finna á vef safnsins: https://skjalasafn.is/.

Öryggi persónuupplýsinga

Hjá Miðstöð menntunar og skólaþjónustu er lögð rík áhersla á að gæta öryggis persónuupplýsinga. Miðstöð menntunar og skólaþjónustu vinnur að því að innleiða stjórnkerfi upplýsingaöryggis sem uppfyllir kröfur ÍST ISO/IEC 27001 – Stjórnunarkerfi um upplýsingaöryggi- staðalsins og hefur sett sér stefnu í upplýsingaöryggismálum.

Til að tryggja öryggi persónuupplýsinga hafa verið innleiddar skipulagslegar og tæknilegar ráðstafanir, eins og:

  • Aðgangsstýringar þannig að einungis þeir sem þurfa persónuupplýsingar starfa sinna vegna hafi aðgang að þeim.

  • Dulkóðun fyrir tölfræðilega vinnslu innanhúss.

  • Almennar tölvuvarnir, eins og vírusvarnir og eldveggir, sem eru uppfærðar reglulega.

  • Virkt öryggiseftirlit, svo sem með innri og ytri úttektum og áhættumati, og virk skráning öryggisbresta.

  • Virk fræðsla fyrir starfsfólk um öryggismál.

  • Vefir Miðstöð menntunar og skólaþjónustu notast undantekningalaust við SSL-skilríki sem þýðir að öll samskipti eru yfir dulritað burðarlag. Það gerir gagnaflutning í gegnum hann öruggari. Upplýsingar um vefina er forhlaðið í stillingar helstu vafra (HSTS preload) og því þarf aldrei að tengjast vefunum yfir ódulritað burðarlag til að fá áframsendingu annað.

  • Miðstöð menntunar og skólaþjónustu notar virka öryggisskanna til að tryggja að netþjónar stofnunarinnar séu uppfærðir og rétt upp settir og skýjaþjónustur séu rétt skilgreindar.

  • Miðstöð menntunar og skólaþjónustu notar milliliði Cloudflare með virkum vefþjónustueldvegg (Web Application Firewall) til að verja vefþjónustur fyrir hugbúnaðarárásum og miðlunarsynjun (DDoS).

  • Lén Miðstöðvar menntunar og skólaþjónustu notast við DNSSEC til að tryggja að svör við lénafyrirspurnum í gegnum DNS séu ekki fölsuð.

  • Þá eru útprentuð skjöl er innihalda persónuupplýsingar geymd í læstum hirslum á vinnustöðvum starfsfólks eða í læstum skápum í skjalasafni.

Persónuverndarfulltrúi

Hlutverk persónuverndarfulltrúa er að upplýsa viðkomandi stofnun eða fyrirtæki og starfsmenn þeirra um skyldur samkvæmt persónuverndarlögum, sinna þjálfun starfsfólks, framkvæma úttektir, veita ráðgjöf og vera til staðar komi upp álitaefni á sviði persónuverndar. Persónuverndarfulltrúi tekur jafnframt á móti fyrirspurnum og beiðnum frá þeim einstaklingum sem verið er að vinna með upplýsingar um. Þá skal persónuverndarfulltrúinn vera tengiliður við Persónuvernd og vinna með henni, sem og fylgjast með því að farið sé að persónuverndarlögum. Persónuverndarfulltrúi Miðstöðvar menntunar og skólaþjónustu er Hörður Helgi Helgason, lögmaður hjá Landslögum, [email protected], s 520-2900 og er öllum heimilt að leita til hans varðandi frekari fyrirspurnir um vinnslu persónuupplýsinga hjá stofnuninni.

Eftirlitsaðili

Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lög eða reglugerð. Persónuvernd úrskurðar um hvort brot hafi átt sér stað. Frekari upplýsingar um Persónuvernd er að finna á vef stofnunarinnar, personuvernd.is

Ábyrgð

Forstjóri ber ábyrgð á framkvæmd og innleiðingu persónuverndarstefnu