1. Forsíða
  2. Um okkur
  3. Reglur Menntamálastofnunar um meðferð tölvupósts og netnotkun starfsfólks

Reglur Menntamálastofnunar um meðferð tölvupósts og netnotkun starfsfólks

1. gr. 

Tilgangur og gildissvið 

Reglur þessar fjalla um það hvernig starfsfólk Menntamálastofnunar (MMS) skuli umgangast starfstengdan tölvupóst og haga netnotkun. Reglunum er einnig ætlað að veita starfsfólki fræðslu um réttindi þeirra og skyldur í þeim efnum. 

Reglur þessar eru hluti af öryggi upplýsingakerfa Menntamálastofnunar og er ætlað að auka rekstraröryggi stofnunarinnar. Þá er reglunum ætlað að tryggja jafnvægi milli annars vegar hagsmuna MMS af því að geta fylgst með því að sá hug- og vélbúnaður sem stofnunin leggur til sé nýttur í þágu stofnunarinnar og hins vegar hagsmuna starfsfólks af því að njóta eðlilegs einkalífsréttar á vinnustað. 

Reglur þessar taka ekki til einkatölvupósts starfsfólks sem hvorki er móttekinn né sendur með netfangi stofnunarinnar (@mms.is). 

 

2. gr. 

Skilgreiningar 

Einkatölvupóstur: er tölvupóstur sem starfsfólk Menntamálastofnunar sendir eða móttekur með vél- eða hugbúnaði stofnunarinnar, og lýtur einungis að einkamálefnum viðkomandi en varðar hvorki hagsmuni MMS né starfsemi stofnunarinnar. 

Starfstengdur tölvupóstur: er tölvupóstur sem starfsfólk MMS sendir eða móttekur með hug- og vélbúnaði MMS og netfangi sem hefur endinguna @mms.is og varðar starf þess eða tengist hagsmunum stofnunarinnar og starfsemi hennar. 

Netnotkun: er notkun starfsfólks á þeim hug- og vélbúnaði sem MMS lætur viðkomandi í té, t.d. til að vafra um netið, til að taka við og senda tölvupóst eða til snarspjalls (s.s. Teams). 

Netvöktun: merkir viðvarandi eða reglubundna söfnun upplýsinga um netnotkun starfsfólks. 

Tölvukerfi: tekur m.a. til tölvupóstkerfis og þess hug- og vélbúnaðar sem þarf til að tengjast netinu, þ.e. tölvur, prentara, skanna, þráðlausa punkta og netþjóna. 

 

3. gr. 

Heimil einkanot 

Starfsfólki MMS er heimilt að nýta tölvukerfi Menntamálastofnunar bæði til að vafra um netið og taka við og senda tölvupóst, enda séu slík einkanot í hófi og í samræmi við reglur þessar. Starfsfólki ber að nota eigin netföng til persónulegra nota og er eindregið hvatt til þess að koma sér upp einkatölvupóstfangi til að senda og taka á móti einkatölvupósti. 

 

4. gr. 

Óheimil netnotkun 

Eftirfarandi netnotkun er starfsfólki óheimil: 

  1. Sending dreifibréfa sem er óviðkomandi starfsemi Menntamálastofnunar, t.d. keðjubréfa eða dreifibréfa vegna sölumennsku eða safnana. 
  2. Sjálfvirk áframsending tölvupósts úr tölvupóstkerfi Menntamálastofnunar, t.d. á einkatölvupóstfang viðkomandi starfsmanns, nema slíkt sé gert með leyfi sviðsstjóra, forstjóra eða kerfisstjóra. 
  3. Sending efnis sem er ólöglegt, ósiðlegt, illgjarnt, hótandi, hrottafengið, ærumeiðandi, hatursfullt, hvetur til ólöglegs athæfis eða getur gefið tilefni til skaðabótakröfu á hendur stofnuninni. Þetta gildir bæði um efni tölvupósts og efni viðhengja. Sama á við um notkun efnis sem hætta er á að innihaldi tölvuvírus. 
  4. Notkun á tölvukerfi stofnunarinnar til að nálgast ósiðlegt efni á Netinu, s.s. klám, og/eða skoða eða vista slíkt efni í tölvukerfi Menntamálastofnunar eða á öðrum miðli. 
  5. Starfsfólki er óheimilt að tengjast eða hala niður efnis s.s. kvikmyndum og tónlist af ólöglegum síðum, þar með talið Torrent síðum og vista í tölvukerfi MMS. 
  6. Að nota tölvukerfi MMS til aðgerða sem teljast óhóflegar eða of kostnaðarsamar 
  7. Vegna þess skaða sem tölvuveirur geta valdið á gögnum í tölvukerfi er starfsfólki óheimilt að opna tölvupóst með viðhengi frá óþekktum sendanda eða að opna viðhengi með tölvupósti sem auðkennd eru með endingum s.s. .exe. .yba, .sit eða .zip. nema þeir séu þess fyrirfram fullvissir að slíkt sé óhætt. 
  8. Notkun á tölvukerfi stofnunarinnar til að nálgast og/eða hala niður mjög stórum skrám á Netinu, s.s. kvikmyndum og tónlist, og vista í tölvukerfi Menntamálastofnunar. 

Að öðru leyti skal starfsfólk hlíta fyrirmælum frá forstjóra, eða öðrum til þess bærum starfsmanni, um að opna ekki eða eyða tölvupósti eða viðhengjum, s.s. vegna aðsteðjandi hættu á tölvuvírussmiti eða annars konar skaða fyrir tölvukerfi stofnunarinnar. Sama á við um aðgerðir sem geta stofnað öryggi gagna stofnunarinnar í hættu, eða sem teljast vera óhóflegar, íþyngjandi fyrir tölvukerfi stofnunarinnar eða henni of kostnaðarsamar. 

Ef starfsfólk fær sendan tölvupóst, eða ratar fyrir mistök inn á vefsíðu sem inniheldur slíkt efni er greinir í  3. og 7. tl. 1. mgr., skal viðkomandi tafarlaust tilkynna slíkt yfirmanni sínum um það og eftir atvikum eyða viðkomandi efni eða loka netvafra sínum. 

 

5. gr. 

Meðferð tölvupósts 

5.1 Einkatölvupóstur 

Óheimilt er að skoða einkatölvupóst starfsfólks. Til viðmiðunar um það hvort um slíkan póst sé að ræða skal m.a. litið til þess hvort hann sé: 

  1. Auðkenndur sem einkamál í efnislínu (e. subject), eða er að öðru leyti þannig að augljóst sé að einungis sé um einkamálefni er að ræða. 
  2. Vistaður í sérstakri möppu (e. folder) á vinnusvæði starfsmanns í tölvupóstkerfinu sem er auðkennd þannig eða ef af öðru má ráða að um einkamál sé að ræða, t.d.  Einkamál eða möppu með nafni starfsmanns. 

Þrátt fyrir ákvæði 1. mgr. er heimilt að skoða einkatölvupóst starfsfólks ef brýna nauðsyn ber til, s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Slíka skoðun má aðeins framkvæma að fyrirmælum forstjóra. Ávallt skal þó fyrst leita eftir samþykki starfsmanns ef þess er kostur. Enda þótt starfsmaður neiti að veita slíkt samþykki skal veita honum færi á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Ef ekki reynist unnt að gera starfsmanni viðvart um skoðunina fyrirfram skal honum gerð grein fyrir henni strax og hægt er. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað einkatölvupóst hans. 

 

5.2. Starfstengdur tölvupóstur 

Starfstengdur tölvupóstur er tölvupóstur móttekinn eða sendur frá netföngum sem hafa endinguna @mms.is er eign Menntamálastofnunar. 

Starfstengdan tölvupóst má skoða ef: 

  1. Nauðsyn ber til vegna lögmætra hagsmuna MMS, s.s. til að finna gögn þegar starfsmaður er forfallaður, hefur látið af störfum eða grunur hefur vaknað um misnotkun eða brot í starfi. 
  2. Nauðsyn ber til vegna tilfallandi atvika, s.s ef endurbætur, viðhald á tölvukerfum eða eftirlit með þeim leiða óhjákvæmilega til þess að tölvupóstur opnast eða þarf að opna. 
  3. Skoðun á tölvupósti skv. 1. mgr. má aðeins framkvæma að fyrirmælum forstjóra, en ávallt skal kappkostað að leita eftir samþykki viðkomandi starfsmanns og veita honum kost á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Þetta á þó ekki við ef brýnir hagsmunir mæli gegn því að beðið sé eftir starfsmanni, s.s. í því tilviki þegar um er að ræða alvarlega bilun í tölvukerfinu, og ekki verði talið að einkalífshagsmunir starfsmanns vegi þyngra. Ríki um það vafi hvort svo sé má ekki skoða tölvupóstinn nema honum hafi fyrst verið veittur kostur á að vera viðstaddur skoðunina. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað tölvupóst hans. 

5.3. Vistun og varðveisla tölvupósts 

Tölvupósta og fylgiskjöl þeirra er varða mál með efnislegum hætti skal skrá og varðveita í málaskrá MMS. Starfsmaður sem ekki er notandi að málaskrá en fær eða sendir tölvupóst/póst sem tengist einstökum málum skal senda tölvupóstinn/póstinn til þess sem vinnur í málinu eða til skjalastjóra. Heimilt er að eyða tölvupóstum og fylgiskjölum þeirra úr tölvupósthólfum þegar þau hafa verið skráð og vistuð í málaskrá MMS. Eyða má tölvupóstum og fylgiskjölum sem ekki tilheyra tilteknum málum. Ef starfsmaður er frá vinnu um tíma skal hann gera ráðstafanir til að erindi stofnunarinnar sem berast í tölvupósti til hans liggi ekki óafgreidd, s.s. með því að virkja sjálfvirkan svarpóst þar sem fram kemur hvar leita megi afgreiðslu á erindinu. 

 

5.4 Um meðferð tölvupósts við starfslok o.fl. 

Starfsmanni ber að eyða einkatölvupósti sínum þegar hann lætur af störfum. Geri hann það ekki verður slíkum pósti eytt einum mánuði eftir að starfsmaður hefur látið af störfum. Við starfslok er óheimilt að framsenda tölvupóst úr netfangi viðkomandi starfsmanns á netfang forstjóra eða annars starfsfólks. Ekki er heimilt að taka umrætt netfang í notkun fyrr en að liðnum 6 mánuðum frá starfslokum. 

Við starfslok skal starfsmanni gefinn kostur á að taka afrit af einkatölvupósti. 

Þegar starfsmaður lætur af störfum skal netfangi hans lokað án tafar. Þá skal og slökkva á sjálfkrafa framsendingu tölvupósts sem berst á netfang hans hjá MMS nema tímabundið sé samið um annað vegna sérstakra aðstæðna að beiðni yfirmanns. Samtímis skal stilla tölvupóstkerfi stofnunarinnar þannig að allur tölvupóstur á það netfang verði framvegis endursendur ásamt ábendingu um að starfsmaðurinn hafi látið af störfum og á hvaða netfang stofnunarinnar nú eigi að senda erindið. Þar skal og tilgreina nýtt netfang starfsmannsins, óski hann eftir að það verði látið fylgja með. 

Starfsmönnum er óheimilt að auðkenna eða vista tölvupóst sem eingöngu varðar starfsemi Menntamálastofnunar þannig að ætla megi að um einkatölvupóst sé að ræða. Tölvupóst, sem eingöngu varðar starfsemi Menntamálastofnunar skulu starfsmenn án tafar færa undir viðhlítandi mál í málaskrá stofnunarinnar. 

 

6. gr. 

Notkun Nets og tölvupósts 

Þegar um er að ræða starfstengdan tölvupóst skulu starfsmenn vanda frágang, stafsetningu og málfar. Starfsmenn skulu hafa í huga að samskipti um Netið eru ekki með öllu örugg og oft hentar tölvupóstur ekki fyrir viðkvæm gögn eða trúnaðarupplýsingar, einkum vegna hættu á að óviðkomandi geti komist yfir og lesið tölvupóstinn einhvers staðar á leið hans eða hann glatist. Ef nauðsynlegt er að senda viðkvæmar persónuupplýsingar með tölvupósti þá er mikilvægt að senda það í viðhengdu skjali sem er læst með lykilorði. Lykilorðið má hringja til viðtakanda eða senda með sms skilaboðum.   

Vegna þeirrar hættu að tölvupóstur berist í rangar hendur skal allur útsendur tölvupóstur frá Menntamálastofnun hafa að geyma staðlaðan niðurlagstexta þar sem kveðið er á um að pósturinn kunni að innihalda trúnaðarupplýsingar sem ekki eru ætlaðar lesanda ásamt leiðbeiningum um hvernig hann skuli bregðast við ef svo háttar til. Þegar efni standa til skal dulkóða póstsendingar. 

Vegna þeirrar hættu að tölvupóstur berist í rangar hendur skal allur útsendur tölvupóstur frá MMS hafa að geyma staðlaðan niðurlagstexta þar sem kveðið er á um að pósturinn kunni að innihalda trúnaðarupplýsingar sem ekki eru ætlaðar lesanda ásamt leiðbeininum um hvernig hann skuli bregðast við, hátti svo til. Tölvupóstkerfi MMS er þannig stillt að neðst í póstum frá netföngum MMS er tengill (Fyrirvari – Disclaimer) sem inniheldur eftirfarandi texta: Vinsamlegast athugið að þessi tölvupóstur og viðhengi hans eru eingöngu ætluð þeim sem tölvupósturinn er stílaður á og gætu innihaldið upplýsingar sem eru trúnaðarmál. Hafir þú fyrir tilviljun, mistök eða án sérstakrar heimildar tekið við tölvupósti þessum og viðhengjum hans biðjum við þig að fara eftir 9. mgr. 47. gr. laga um fjarskipti nr. 81/2003 og gæta fyllsta trúnaðar, hvorki lesa efni þeirra né skrá þau hjá þér né notfæra þau á nokkurn hátt og tilkynna okkur samstundis að þau hafi ranglega borist þér. Brot gegn þessu varða bótaábyrgð og refsingu skv. 74. gr. laganna. Please note that this e-mail and its attachments are intended for the named addressee only and may contain information that is confidential and privileged. If you have by coincidence or mistake or without specific authorization received this e-mail and its attachments we request that you notify us immediately that you have received them in error, uphold strict confidentiality and neither read, copy, nor otherwise make use of their content in any way. 

Undirskrift tölvupósts er með samræmdum hætti, sbr. eftirfarandi dæmi: 

Jón Jónsson
Sérfræðingur| Senior Advisor
Skrifstofa forstjóra| Directors Office
Sími | Tel.: +354 555-5555
www.mms.is 
Fyrirvari | Disclaimer 

 

7. gr. 

Varðveisla upplýsinga um tölvupóst- og netnotkun 

Allan tölvupóst sem sendur er úr tölvupóstkerfi Menntamálastofnunar eða móttekinn skal vista sjálfkrafa. Hann skal, í samræmi við öryggisstefnu stofnunarinnar, afrita eins og önnur gögn, þ.e.a.s. á hverjum virkum degi. 

Fræða skal starfsmenn um að upplýsingar um uppflettingar þeirra á Netinu varðveitast bæði á netþjóni stofnunarinnar og í vafra í tölvu hvers. starfsmanns. Upplýsingar um uppflettingar starfsfólks á netinu varðveitast sem upplýsingakökur í vafra í tölvum. Hver notandi getur eytt sínum upplýsingum úr vafra ef hann vill. 

Tryggja skal að upplýsingar um tölvupóst-, og eftir atvikum, netnotkun séu varðveittar með tryggum hætti þannig að einungis forstjóri, kerfisstjóri og viðkomandi starfsmaður hafi aðgang að þeim. 

Óheimilt er að gera ráðstafanir til að varðveita upplýsingar um netnotkun starfsmanns eftir starfslok. Að öðru leyti fer um varðveislu eftir 8. gr. laga nr. 90/2018. 

 

8. gr. 

Starfsfólk við kerfisstjórn og notendaaðstoð 

Starfsfólki MMS og þjónustuaðilum sem annast rekstur tölvukerfa stofnunarinnar, þ. á m. tölvupóstkerfis og búnaðar til að tengjast Netinu, er með öllu óheimilt að notfæra sér þekkingu sína og aðstöðu til að tengjast tölvukerfunum undir notendaheiti og leyniorði annars starfsfólks, fara framhjá aðgangsstýringu, opna og lesa tölvupóst sem þeir kunna að komast yfir við rekstur og viðhald tölvukerfisins. Þetta á m.a. við þegar þeir aðstoða einstaka starfsmenn, sbr. þó undantekningarákvæðin í greinum 5.1. og 5.2.  

Hið sama gildir um skoðun hvers kyns upplýsinga sem kunna að varðveitast í tölvukerfi MMS um netnotkun starfsmanna og önnur persónuleg gögn þeirra nema fyrir liggi rökstuddur grunur um refsiverða háttsemi viðkomandi og skal þá kalla til lögreglu. 

 

9.  gr. 

Kynning og birting vinnureglna þessara 

Stjórnendur MMS skulu kynna starfsfólki þessar reglur við gildistöku þeirra og tryggja að þær séu starfsfólki ávallt aðgengilegar á heimasíðu MMS og innrivef MMS. 

Kynna skal væntanlegum starfsmanni reglur þessar áður en hann undirritar ráðningarsamning og skal það skjalað með sannanlegum hætti að viðkomandi hafi kynnt sér efni reglnanna. 

Kjarasamningur gengur framar reglum þessum feli hann í sér ríkari rétt fyrir starfsmann. Sama gildir um bindandi skriflegt samkomulag sem kann að vera gert á milli Menntamálastofnunar og starfsmanns stofnunarinnar. 

Þjónustuaðilum sem annast rekstur tölvukerfa MMS, þ. á m. tölvupóstkerfis og búnaðar til að tengjast Netinu, skulu birt sérstaklega ákvæði 8. gr. reglnanna. Skal ákvæðið, ásamt öðrum ákvæðum þessara reglna eftir því sem við á, gert að hluta af sérhverjum samningi sem Menntamálastofnun gerir við slíka þjónustuaðila. 

Reglurnar, eins og þær eru hverju sinni, skal birta í heild sinni á heimasíðu Menntamálastofnunar. 

 

10. gr. 

Eftirlit 

Eftirlit með því að reglum þessum sé fylgt er í höndum forstjóra eða þess sem hann felur slíkt eftirlit sérstaklega og vera í samræmi við gildandi lög og reglur hverju sinni. Ef eftirlitið er falið öðrum en forstjóra skal það tilkynnt starfsfólki stofnunarinnar.  

Upplýsingar sem aflað er vegna eftirlits með reglum þessum má eingöngu nota í þágu eftirlitsins. Þær má ekki afhenda öðrum, vinna frekar eða geyma nema með samþykki starfsmanns. Þó er heimilt að afhenda lögreglu efni með upplýsingum um meintan refsiverðan verknað en þá skal gæta þess að eyða öðrum eintökum nema sérstakir lögvarðir hagsmunir standi til annars.  Þá er heimilt að nota gögn til að afmarka, setja fram eða verja réttarkröfu vegna dómsmáls og annarra laganauðsynja, t.d. í tengslum við brottvikningu úr starfi. 

Sá sem sætt hefur eftirliti skv. 1. mgr. á rétt á að skoða gögn þau sem aflað er um hann í tengslum við eftirlitið. Þegar beiðni um slíkt berst forstjóra skal hann svo fljótt sem verða má, og eigi síðar en innan eins mánaðar, verða við beiðninni. 

11. gr. 

Afleiðingar brota 

Brot gegn reglum þessum geta, samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins, eins og önnur brot í starfi, varðað áminningum eða, ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi. 

  

12. gr. 

Gildistaka o.fl. 

Reglur þessar eru settar í samræmi við reglur Persónuverndar nr. 837/2006 um rafræna vöktun með síðari breytingum, í samræmi við lög um opinber skjalasöfn nr. 77/2014 og reglur Þjóðskjalasafns Íslands nr. 331/2020 um meðferð, varðveislu og eyðingu á tölvupóstum afhendingarskyldra aðila. Þá eru þær samdar með hliðsjón af vinnureglum Persónuverndar um meðferð tölvupósts og netnotkun.  

 

Reglur þessar taka þegar gildi. 

Yfirfara skal reglur þessar eftir því sem þörf krefur, þó ekki sjaldnar en á tveggja ára fresti.