Persónuverndarstefna Menntamálastofnunar
Hlutverk Menntamálastofnunar er skilgreint í lögum um stofnunina og er samkvæmt þeim að stuðla að auknum gæðum skólastarfs og framförum í þágu menntunar í samræmi við lög og stefnu stjórnvalda, bestu þekkingu og alþjóðleg viðmið. Stofnunin skal sinna þeim verkefnum sem henni eru falin í lögunum ásamt öðrum verkefnum sem henni eru falin af ráðherra.
Menntamálastofnun leggur áherslu á að tryggja að öll meðferð persónuupplýsinga sé í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Markmið persónuverndarstefnunnar er að auðvelda einstaklingum að átta sig á hvaða upplýsingum stofnunin safnar, hvers vegna og hvað er gert við þær. Þá hefur Menntamálstofnun sett sér sérstaka upplýsingaöryggisstefnu sem tekur til allrar starfsemi stofnunarinnar og m.a. skráningu, vinnslu, samskipta, dreifingar, geymslu og eyðingu upplýsinga hjá stofnuninni.
Hvaða persónuupplýsingar vinnur Menntamálastofnun með
Menntamálastofnun safnar persónuupplýsingum í tengslum við verkefni sem henni hafa verið falin á grundvelli laga og reglna sem um stofnunina og verkefni hennar gilda. Stofnunin safnar upplýsingum ýmist sem ábyrgðaraðili eða vinnsluaðili.
Almennar persónuupplýsingar
Með vísan til hlutverks og verkefna Menntamálastofnunar sbr. 1., 5. og 6. gr., sbr. og 5. gr. a laga um Menntamálastofnun nr. 91/2015 er stofnuninni heimil öflun og vinnsla persónuupplýsinga að því marki sem nauðsynlegt er til að sinna lögbundnu hlutverki sínu og þeim verkefnum sem henni hefur verið falið að sinna með lögum, reglugerðum eða ákvörðun ráðherra. Er hér m.a. átt við eftirfarandi verkefni:
- Samræmd könnunarpróf.
- Lesferil í leik- og grunnskólum.
- Próf í íslensku fyrir umsækjendur um íslenskan ríkisborgararétt.
- PISA.
- TALIS og ECEC.
- Aðgangspróf fyrir háskólastig (A-próf).
- Ytra mat í leik-, grunn- og framhaldsskólum.
- Innritun nemenda í framhaldsskóla.
- Umsýslu undanþágunefnda grunn- og framhaldsskóla.
- Útgáfu leyfisbréfa kennara.
- Mat og viðurkenningu á erlendu starfsnámi.
- Mál er varða velferð nemenda s.s. meðferð eineltismála.
- Ráðningar og utanumhald um starfsfólk stofnunarinnar.
- Gerð samninga við verktaka, þ.m.t. höfunda námsefnis, og byrgja.
Almennar persónuupplýsingar sem Menntamálastofnun er heimilt að kalla eftir eru t.d.:
- Lýðskrárupplýsingar s.s. nafn, kennitala, kyn, heimilisfang og netfang.
- Niðurstöður námsmats og vitnisburðir eftir atvikum í leik-, grunn- og framhaldsskólum.
- Upplýsingar um menntun, starfsheiti, starfshlutfall, starfsaðstæður og starfsþróun skólastjórnenda, kennara og annars starfsfólks í leik-, grunn- og framhaldsskólum.
- Upplýsingar um menntun í tengslum við útgáfu leyfisbréfa og mat á erlendu starfsnámi.
- Nauðsynlegar bankaupplýsingar í tengslum við greiðslu launa starfsfólks og greiðslur til verktaka.
Þá skráir stofnunin samskiptaupplýsingar um einstaklinga sem koma frá þeim sjálfum þegar þeir senda inn erindi til stofnunarinnar.
Viðkvæmar persónuupplýsingar
Með vísan til hlutverks og verkefna Menntamálastofnunar sbr. 1., 5. og 6. gr., sbr. og 5. gr. a laga nr. 91/2015 um Menntamálastofnun er stofnuninni er heimil vinnsla viðkvæmra persónuupplýsingar í tengslum við eftirfarandi verkefni:
- PISA, TALIS og ECEC í þeim tilgangi að geta tekið þátt í verkefnunum enda sé um að ræða upplýsingar sem safnað er með samræmdum spurningalistum frá OECD sem aðlagaðir eru að íslenskum veruleika.
- Meðferð eineltismála í grunn- og framhaldsskólum í þeim tilgangi að bæta líðan nemenda í skólum og stuðla að bættri málsmeðferð skóla og sveitarfélaga í eineltismálum. Í þeim tilvikum sem það er nauðsynlegt fyrir vinnslu slíkra mála er stofnuninni heimilt að afla upplýsinga frá öðrum aðilum en skólum s.s. frá íþróttafélögum og úr heilbrigðiskerfinu enda hafi aðilar máls samþykkt þá gagnaöflun.
- Undanþágunefndir grunn- og framhaldsskóla í þeim tilgangi að taka ákvörðun um hvort að umbeðin heimild til að ráða starfsmann við grunn- eða framhaldsskóla skuli veitt.
- Mat og viðurkenning á erlendu starfsnámi í þeim tilgangi að fá upplýsingar um hæfni og færni umsækjenda.
Viðkvæmar persónuupplýsingar sem Menntamálastofnun er heimilt að kalla eftir í tengslum við fyrrgreind verkefni eru:
- Upplýsingar um líðan nemenda í skólum.
- Upplýsingar um félagslega stöðu nemenda.
- Kennslufræðilegar, læknisfræðilegar, sálfræðilegar, sérkennslufræðilegar greiningar og aðrar greiningar og sérúrræði fyrir nemanda
- Sérkennsluumsóknir, námsáætlanir vegna sérúrræða og einstaklingsnámskrár.
- Mætingar og agabrot.
- Upplýsingar um starfshætti, endurgjöf, frammistöðu í starfi, starfsánægju og líðan skólastjórnenda, kennara og annars starfsfólks í leik-, grunn- og framhaldsskólum.
- Upplýsingar um færni og hæfni umsækjenda um viðurkenningu á erlendu starfsnámi.
Afmá skal persónuauðkenni og gera gögn ópersónugreinanleg þegar unnið er með viðkvæmar persónuupplýsingar nema nauðsynlegt sé fyrir tilgang vinnslunnar að geyma og vinna með gögnin á persónugreinanlegu formi.
Hverjir hafa aðgang að upplýsingum stofnunarinnar
Einstaklingar eiga rétt á aðgangi að þeim gögnum sem til eru hjá Menntamálastofnun um þá sjálfa. Stofnunin miðlar upplýsingum til opinberra aðila í tengslum við þau verkefni sem henni hafa verð falin. Menntamálastofnun miðlar ekki persónugreinanlegum upplýsingum til annarra aðila nema hafa til þess lagaheimild. Miðlun persónugreinanlegra gagna fer t.d. fram í eftirfarandi tilfellum:
- Einkunnir nemenda úr samræmdum könnunarprófum eru afhentar til viðkomandi skóla í gegnum Skólagátt, þjónustusvæði skóla hjá stofnuninni, og eftir atvikum til foreldra sé óskað sérstaklega eftir eldri niðurstöðum úr prófunum sem ekki fást hjá skólunum.
- Einkunnir nemenda úr prófum tengdum Lesferli eru afhentar til viðkomandi skóla í gegnum Skólagátt, þjónustusvæði skóla hjá stofnuninni.
- Gögnum sem unnið er með í tengslum við meðferð eineltismála í grunn- og framhaldsskólum er deilt eftir atvikum með forsjáraðilum þeirra barna sem um ræðir, skólum og skólaskrifstofu viðkomandi sveitarfélags. Gætt er að því að deila persónuupplýsingum eingöngu í þeim tilfellum sem það er nauðsynlegt fyrir vinnslu málsins.
Þá eru mál aðgangsstýrð í málaskrá stofnunarinnar þannig að eingöngu þeir starfsmenn sem nauðsynlega þurfa vegna aðkomu að vinnslu máls hafa aðgang að persónuupplýsingum sem stofnunin vinnur með.„Allt starfsfólk Menntamálastofnunar er bundið þagnarskyldu samkvæmt lögum og helst þagnarskylda þótt látið sé af störfum. Um þagnarskyldu starfsfólks Menntamálastofnunar gilda einkum ákvæði 18. gr. laga um réttindi og skyldur starfsmanna ríkisins nr. 70/1996 og ákvæði X. kafla stjórnsýslulaga nr. 37/1993.“
Þá nýtir stofnunin í einstökum tilfellum utanaðkomandi sérfræðiaðstoð við t.d. við ráðningu starfsfólks, álitsgerðir, greiningar o.s.frv. Í slíkum tilfellum vinnur sérfræðingur með persónuupplýsingar á grundvelli skriflegs samnings eða samkomulags.
Öll gögn og upplýsingar í vörslu stofnunarinnar eru geymd innan Evrópska efnahagssvæðisins, hjá bandarískum fyrirtækjum sem eru hluti af Privacy Shield-samkomulaginu eða ríkjum sem Persónuvernd hefur talið veita persónuupplýsingum fullnægjandi vernd.
Varðveisla persónuupplýsinga
Menntamálastofnun er skilaskyldur aðili samkvæmt lögum um opinber skjalasöfn, nr. 77/2014. Af því leiðir að stofnuninni er óheimilt að eyða skjölum og gögnum sem henni berast eða verða til hjá henni, nema að fengnu leyfi Þjóðskjalasafns Íslands. Í skilaskyldu felst jafnframt að öllum skjölum og gögnum sem berast stofnuninni eða verða til hjá henni, skal skilað til Þjóðskjalasafns Íslands þar sem þau eru geymd til framtíðar. Nánari upplýsingar um Þjóðskjalasafn Íslands má finna á vef safnsins: https://skjalasafn.is/.
Öryggi persónuupplýsinga
Hjá Menntamálastofnun er lögð rík áhersla á að gæta öryggis persónuupplýsinga. Menntamálastofnun vinnur að því að innleiða stjórnkerfi upplýsingaöryggis sem uppfyllir kröfur ÍST ISO/IEC 27001 – Stjórnunarkerfi um upplýsingaöryggi- staðalsins og hefur sett sér stefnu í upplýsingaöryggismálum.
Til að tryggja öryggi persónuupplýsinga hafa verið innleiddar skipulagslegar og tæknilegar ráðstafanir, eins og:
- Aðgangsstýringar þannig að einungis þeir sem þurfa persónuupplýsingar starfa sinna vegna hafi aðgang að þeim.
- Dulkóðun fyrir tölfræðilega vinnslu innanhúss.
- Almennar tölvuvarnir, eins og vírusvarnir og eldveggir, sem eru uppfærðar reglulega.
- Virkt öryggiseftirlit, svo sem með innri og ytri úttektum og áhættumati, og virk skráning öryggisbresta.
- Virk fræðsla fyrir starfsfólk um öryggismál.
- Vefir Menntamálastofnunar notast undantekningalaust við SSL-skilríki sem þýðir að öll samskipti eru yfir dulritað burðarlag. Það gerir gagnaflutning í gegnum hann öruggari. Upplýsingar um vefina er forhlaðið í stillingar helstu vafra (HSTS preload) og því þarf aldrei að tengjast vefunum yfir ódulritað burðarlag til að fá áframsendingu annað.
- Menntamálastofnun notar virka öryggisskanna til að tryggja að netþjónar stofnunarinnar séu uppfærðir og rétt upp settir og skýjaþjónustur séu rétt skilgreindar.
- Menntamálastofnun notar milliliði Cloudflare með virkum vefþjónustueldvegg (Web Application Firewall) til að verja vefþjónustur fyrir hugbúnaðarárásum og miðlunarsynjun (DDoS).
- Lén Menntamálastofnunar notast við DNSSEC til að tryggja að svör við lénafyrirspurnum í gegnum DNS séu ekki fölsuð.
- Þá eru útprentuð skjöl er innihalda persónuupplýsingar geymd i læstum hirslum á vinnustöðvum starfsmanna eða í læstum skápum í skjalasafni.
Persónuverndarfulltrúi
Hlutverk persónuverndarfulltrúa er að upplýsa viðkomandi stofnun eða fyrirtæki og starfsmenn þeirra um skyldur samkvæmt persónuverndarlögum, sinna þjálfun starfsfólks, framkvæma úttektir, veita ráðgjöf og vera til staðar komi upp álitaefni á sviði persónuverndar. Persónuverndarfulltrúi tekur jafnframt á móti fyrirspurnum og beiðnum frá þeim einstaklingum sem verið er að vinna með upplýsingar um. Þá skal persónuverndarfulltrúinn vera tengiliður við Persónuvernd og vinna með henni, sem og fylgjast með því að farið sé að persónuverndarlögum. Persónuverndarfulltrúi Menntamálastofnunar er Hörður Helgi Helgason, lögmaður hjá Landslögum, [email protected], s 520-2900 og er öllum heimilt að leita til hans varðandi frekari fyrirspurnir um vinnslu persónuupplýsinga hjá stofnuninni.
Eftirlitsaðili
Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lög eða reglugerð. Persónuvernd úrskurðar um hvort brot hafi átt sér stað. Frekari upplýsingar um Persónuvernd er að finna á vef stofnunarinnar, personuvernd.is