Persónuverndarstefna VÍ

Verzlunarskóli Íslands („Verzlunarskólinn“ eða „skólinn“) leggur áherslu á að tryggja að öll meðferð persónuupplýsinga sé í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga. Markmið laganna er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins. Markmið persónuverndarstefnu Verzlunarskólans er að auðvelda einstaklingum að átta sig á hvaða upplýsingum skólinn safnar, hvers vegna og hvað er gert við þær.

Persónuupplýsingar og meðhöndlun þeirra

Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem á einhvern hátt má tengja við ákveðinn einstakling. Þær persónuupplýsingar sem skráðar eru í tengslum við skólagöngu nemenda hjá Verzlunarskólanum hafa lagalegan (sbr. lög nr. 92/2008 um framhaldsskóla) eða þjónustulegan tilgang. Persónuupplýsingar er varða nemendur eru allar til þess gerðar að veita nemendum þjónustu er þeir hafa lagalegan rétt til. Í skólanum er lögð áhersla á að meðferð persónuupplýsinga sé í samræmi við lög og reglur. Sérstaklega er hugað að því að vinnsla persónuupplýsinga takmarkist við meðalhóf, þ.e. ekki sé unnið með meira af persónuupplýsingum en nauðsynlegt er miðað við tilgang vinnslunnar. Upplýsingarnar sem unnið er með geta verið á pappír eða á rafrænu formi, en rafræn vinnsla hefur aukist mikið síðustu ár. Hugtakið vinnsla er notað í rúmum skilningi og þegar talað er um “vinnslu persónuupplýsinga” er m.a. átt við söfnun, flokkun, eyðingu, miðlun, notkun og skoðun skjals. Nokkrar grundvallarreglur hafa verið settar í skólanum um meðhöndlun persónuupplýsinga.
Upplýsingarnar skulu:

  • Vera löglegar, sanngjarnar og réttar.
  • Meðhöndlaðar af trúnaði og tryggðar gegn óheimilum breytingum.
  • Skráðar og notaðar í sérstökum tilgangi og ekki síðar notaðar í öðrum óskyldum tilgangi.
  • Vistaðar eins lengi og þörf er á og lög kveða á um.
  • Uppfærðar og aðgengilegar.
  • Ekki afhentar öðrum nema að beiðni hlutaðeigandi, með ótvíræðu samþykki hans eða að skólanum beri lagaleg skylda til.

Persónuupplýsingar sem Verzlunarskólinn skráir eða geymir

Til þess að hægt sé að bjóða nemendum skólans sem besta þjónustu þarf að skrá og meðhöndla persónuupplýsingar um nemendur bæði rafrænt og á pappír. Þar er átt við almennar upplýsingar eins og t.d. nafn, kennitala, heimilisfang, símanúmer, netfang og námsárangur. Vinnsla með viðkvæmar persónuupplýsingar um nemendur skólans fer að jafnaði fram á grundvelli lagaheimildar, þar er átt við upplýsingar eins og t.d. heilsufarsupplýsingar og upplýsingar um greiningar nemenda. Þá getur komið til vinnslu viðkvæmra persónuupplýsinga um starfsmenn, þ.e. heilsufarsupplýsinga og upplýsinga um aðild að stéttarfélagi.

Dæmi um persónuupplýsingar sem Verzlunarskólinn skráir eða notar í starfsemi sinni.

  • Upplýsingar um nemendur eins og nafn, kennitala, heimilisfang, símanúmer og netpóstfang.
  • Upplýsingar um forráðamenn eins og nafn, kennitala, heimilisfang, símanúmer og netpóstfang.
  • Upplýsingar um umsækjendur um störf.
  • Upplýsingar um starfsmenn eins og nafn, kennitala, heimilisfang, símanúmer, ferilskrá, ráðningarsamningur, prófskírteini, bankaupplýsingar, upplýsingar um lífeyrissjóð og upplýsingar um aðild að verkalýðsfélagi.
  • Samskipti við nemendur og forráðamenn þeirra.
  • Viðveruskráningar nemenda.
  • Vottorð nemenda og starfsmanna.
  • Verkefnaskil nemenda.
  • Einkunnir nemenda.
  • Mat á námi sem stundað hefur verið annarsstaðar.
  • Upplýsingar um sérþarfir sem nemandi eða forráðamaður lætur skólanum í té.
  • Útlán af bókasafni skólans.

Verzlunarskólanum er heimilt að vinna með persónuupplýsingar um nemendur á grundvelli lagaskyldu sem hvílir á skólanum, sbr. 3. tl. 9. gr. laga nr. 90/2018.
Verzlunarskólanum er heimilt að vinna með almennar persónuupplýsingar um starfsmenn skólans til að efna samning sem starfsmaður er aðili að, sbr. 2. tl. 9.gr. laga nr. 90/2018. Heimilt er að vinna upplýsingar um stéttarfélagsaðild starfsmanna á grundvelli afdráttarlauss samþykkis starfsmanns, sbr. 1. tl. 11. gr. laga nr. 90/2018. Verzlunarskólanum er heimilt að vinna með heilsufarsupplýsingar um starfsmenn til að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd, sbr. 2. tl. 1. mgr. 11. gr. laga nr. 90/2018.

Litið er svo á að umsækjendur um störf gefi samþykki fyrir að persónuupplýsingar sem þeir láta Verzlunarskólanum í té, t.d. upplýsingar sem koma fram í starfsumsókn, séu notaðar í ráðningarferlinu.

Myndbirtingar

Myndir með fréttum á vef skólans eða á samfélagsmiðlum eru aðeins birtar ef nemandi eða starfsmaður hefur gefið heimild til þess. Þá heimild er alltaf hægt að draga til baka og óska eftir að myndefni sé fjarlægt. Undanþága frá kröfum um heimild til myndbirtinga er þegar hópmynd er tekin í skólanum eða á atburðum honum tengdum og enginn einn er fókus myndarinnar. Nemandi eða starfsmaður getur þó farið fram á að slíkar myndir verði fjarlægðar af vef skólans eða samfélagsmiðlum á hans vegum án þess að gefa upp
ástæðu þess.

Varðveislutími

Þar sem Verzlunarskólinn er afhendingarskyldur aðili á grundvelli laga nr. 77/2014 um opinber skjalasöfn er skólanum óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið laganna, nema með heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem skólinn vinnur því afhentar Þjóðskjalasafni samkvæmt gildandi reglum um skjalavörslu og skjalastjórn.

Öryggi persónuupplýsinga

Verzlunarskólinn hefur gert tæknilegar og skipulagslegar ráðstafanir til þess að tryggja öryggi persónuupplýsinga, s.s. með því að notast við dulkóðun og aðgangsstýringu þannig að einungis þeir sem þurfa að vinna með persónuupplýsingarnar vegna starfa sinna hafa aðgang að þeim. Skólinn hefur gert viðeigandi öryggisráðstafanir til að tryggja öryggi kerfa skólans sem er í samræmi við reglur um öryggi persónuupplýsinga. Rafrænar persónuupplýsingar eru varðveittar í skjalavistunarkerfinu GoPro og námsumsjónarkerfunum INNU og Moodle, prófakerfinu Duggu og Office 365.

Starfsmenn skólans eru bundnir þagnareiði sem gildir áfram eftir að störfum þeirra við skólann er lokið og þeim ber skylda til að fara með persónuupplýsingar samkvæmt lögum og reglum.

Verzlunarskólinn leggur ríka áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að með vinnslunni. Skólinn hefur yfirlit yfir vinnslu persónuupplýsinga með því að halda skrá yfir vinnslustarfsemi. Í henni koma m.a. fram hvaða upplýsingar skólinn vinnur með um nemendur og starfsmenn hans. Ef öryggisbrestur á sér stað við vinnslu persónuupplýsinga skal skólinn tilkynna hann til Persónuverndar eigi síður en 72 klukkustundum eftir að skólinn verður var við brestinn, nema að bresturinn verði ekki talinn leiða til áhættu fyrir réttindi og frelsi nemenda. Öryggisbrestur þýðir að “brestur verður á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi”.

Verkferlar vegna vinnslu persónuupplýsinga eru yfirfarnir og áhættumetnir reglulega.

Vinnsluaðilar

Verzlunarskólinn gerir vinnslusamninga við vinnsluaðila, svo sem þá sem hýsa gögn skólans, í samræmi við kröfur persónuverndarlaga. Krafa er gerð um að viðkomandi vinnsluaðilar uppfylli kröfur persónuverndarlaga.

Réttur einstaklinga samkvæmt persónuverndarlögum

Einstaklingar hafa rétt á að fá upplýsingar um allar þær persónuupplýsingar sem um þá eru skráðar hjá skólanum, hvort sem þær upplýsingar eru á rafrænu formi eða pappírsformi, hvaðan upplýsingarnar komi og til hvers þær eru notaðar. Þá geta einstaklingar fengið rangar persónuupplýsingar um sig leiðréttar. Jafnframt geta einstaklingar í ákveðnum tilvikum mótmælt vinnslu persónuupplýsinga og óskað eftir því að vinnsla þeirra verði takmörkuð eða þeim eytt nema skólanum beri skylda til að varðveita upplýsingarnar samkvæmt lögum eða eyðing upplýsinganna brjóti á einhvern hátt á rétti annarrar persónu um persónuvernd.
Þegar einstaklingur fer fram á að fá upplýsingar sem skráðar eru um hann skal beiðnin vera skrifleg og vera viðkomandi að kostnaðarlausu. Beiðnina skal senda á netfangið personuvernd@verslo.is

Nánari upplýsingar um réttindi einstaklinga varðandi persónuvernd má finna á vef persónuverndar:
https://www.personuvernd.is/einstaklingar/

Persónuverndarfulltrúi

Persónuverndarfulltrúi Verzlunarskólans er Anna Sigríður Aðalbjörnsdóttir, anna@verslo.is. Anna hefur umsjón með eftirfylgni við persónuverndarstefnu þessa og framfylgni við persónuverndarlög.

Eftirlitsaðili

Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lög eða reglugerð. Persónuvernd úrskurðar um hvort brot hafi átt sér stað. Frekari upplýsingar um persónuvernd er að finna á vef stofnunarinnar www.personuvernd.is

Endurskoðun

Verzlunarskólinn getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig skólinn vinnur með persónuupplýsingar. Allar efnislegar breytingar sem kunna að verða gerðar á persónuverndarstefnunni verða kynntar og birtar á heimasíðu skólans.
Þessi persónuverndarstefna var samþykkt af skólanefnd Verzlunarskóla Íslands þann 17. desember 2019, og uppfærð í mars 2023 af gæðateymi og persónuverndarfulltrúa skólans.

Síðast uppfært í mars 2023