Persónuverndarstefna Keilis

Keilir miðstöð vísinda fræða og atvinnulífs hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem Keilir vinnur með. Keilir hefur á þeim grundvelli sett sér svohljóðandi persónuverndarstefnu:

  • 1. Tilgangur og gildissvið

    Keilir leitast við að uppfylla í hvívetna þá persónuverndarlöggjöf sem er í gildi hverju sinni og er stefna þessi byggð á persónuverndarlögum nr. 90/2018 frá 15. júlí 2018.

    Með stefnu þessari leggur Keilir áherslu á mikilvægi þess að gætt sé að því að öll vinnsla persónuupplýsinga innan Keilis fari fram í samræmi við ákvæði persónuverndarlaga.

    Persónuverndarstefnan gildir um sérhverja vinnslu persónuupplýsinga Keilis, en þegar vísað er til Keilis í stefnu þessari er einnig átt við allar námsbrautir á vegum skólans.

    Persónuverndarstefna þessi lýsir vinnslu Keilis á persónuupplýsingum. Keilir mun auk þess leitast við að veita þeim einstaklingum, sem unnið er með persónuupplýsingar um, nánari fræðslu um þá vinnslu.

  • 2. Hvað er vinnsla persónuupplýsinga?

    Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að tengja eða rekja til tiltekinna einstaklinga á beinan jafnt sem óbeinan hátt. Það gæti verið í rituðum texta, rafrænu upplýsingakerfi eða á mynd. Dæmi um þetta er nafn, kennitala, heimilisfang, netfang, námsbrautir og jafnvel heilbrigðisupplýsingar af ýmsu tagi. 

    Fyrir starfsmenn næði þetta m.a. til starfsaldurs, launaupplýsinga, viðveru- og fjarvistaupplýsinga, veikinda, orlofs og vinnutíma. Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar. 

    Margvísleg skráning upplýsinga er nauðsynleg, bæði vegna þeirrar þjónustu sem skólinn veitir og vegna reksturs hans. Án þessarar skráningar væri ekki unnt að veita þá gæðaþjónustu sem skjólstæðingar Keilis búast við að fá eða að stjórna starfseminni á skilvirkan hátt. Undir hugtakið vinnsla fellur öll notkun persónuupplýsinga, s.s. söfnun, skráning, varðveisla, miðlun og eyðing.

  • 3. Hvernig vinnur Keilir persónuupplýsingar?

    Öll vinnsla Keilis á persónuupplýsingum fer fram í skýrum tilgangi og byggist á lögmætum grundvelli samkvæmt persónuverndarlögum. Gætt er að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg hinum upprunalega tilgangi vinnslunnar. Keilir leggur áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur, til að ná því markmiði sem stefnt er að með vinnslunni.

    Til þess að tryggja að unnið sé með persónuupplýsingar í samræmi við meginreglur persónuverndarlaga veitir Keilir starfsfólki sínu fræðslu og þjálfun í því hvernig skuli umgangast slíkar upplýsingar.

  • 4. Um hverja safnar Keilir persónuupplýsingum?

    Við rekstur skóla safnast óhjákvæmilega ýmsar persónuupplýsingar um mismunandi hópa einstaklinga og er vinnsla slíkra upplýsinga nauðsynleg svo Keilir geti veitt lögbundna þjónustu sem menntastofnun.

    Keilir safnar og vinnur m. a. með persónuupplýsingar um:

    • Nemendur
    • Starfsfólk
    • Umsækjendur um störf
    • Viðskiptavini og einstaklinga sem eru í samskiptum við Keili og tengiliði viðskiptamanna, birgja, verktaka, ráðgjafa, stofnanir og aðrir lögaðilar sem Keilir er í samningssambandi við.
  • 5. Hvaða persónuupplýsingum safnar Keilir?

    Keilir safnar og varðveitir ýmsar persónuupplýsingar um framangreinda flokka einstaklinga, en þó eingöngu upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi vinnslunnar hverju sinni. Þannig er ólíkum persónuupplýsingum safnað um ólíka flokka einstaklinga og fer vinnsla og söfnun á persónuupplýsingum eftir eðli sambandsins sem er á milli Keilis og viðkomandi einstaklings. Þannig er umfangsmeiri upplýsingum t.d. safnað um nemendur Keilis og starfsmenn heldur en aðra.

    Undir tilteknum kringumstæðum safnar Keilir viðkvæmum persónuupplýsingum, s.s. um heilsufar, aðild að stéttarfélagi og þjóðernislegan uppruna. Sérstök aðgát er höfð við vinnslu slíkra upplýsinga.

    Keilir aflar að mestu persónuupplýsinga beint frá þeim einstaklingum sem upplýsingarnar varða. Við tilteknar aðstæður geta upplýsingarnar þó komið frá þriðja aðila, t.d. Innu eða öðrum skólum. Þegar upplýsinga er aflað frá þriðja aðila mun Keilir upplýsa um slíkt, eftir því sem við á.

  • 6. Á hvaða grundvelli safnar Keilir persónuupplýsingum?

    Tilgangur upplýsingasöfnunar er að tryggja rekstur og þjónustu við nemendur Keilis sbr. lög 92/2008 um framhaldsskóla og sbr. lög 60/1998 um loftferðir og reglugerð 692/1999 um flugskóla. Ýtrasta trúnaðar er gætt við meðferð allra persónuupplýsinga.

    Upplýsingar um nemendur eru skráðar í nemendaskrá. Allar nemendaskrár eru skilgreindar sem persónuupplýsingar. Einungis viðeigandi starfsmenn Keilis hafa aðgang að nemendaskrám í samræmi við lög um framhaldsskóla og reglur Keilis um aðgangsheimildir starfsmanna. Upplýsingum er eingöngu miðlað út fyrir Keili í samræmi við lög, m.a. geta nemendur í fjarnámi þurft að taka próf í öðrum skóla og þá eru gerðar viðeigandi ráðstafanir til að tryggja öryggi persónuupplýsinga nemenda. Þá er Flugakademían í vissum tilvikum skuldbundin til að miðla upplýsingum til annarra aðila, svo sem Isavia og Samgöngustofu. Það sama á við um Íþróttaakademíu sem er skuldbundin að miðla upplýsingum m.a. til EuropeActive. Öllum nemendum er veitt lágmarksfræðsla í inntökuferlinu um feril persónuupplýsinga sem þau gefa til vinnslu.

    Samkvæmt lögum um persónuvernd á nemandi eða umboðsmaður hans rétt á aðgangi að eigin nemendaskrá í heild eða að hluta og að fá afhent afrit af henni ef þess er óskað. 

    Í lögum um nemendaskrá og lögum um opinber skjalasöfn er mælt fyrir um að upplýsingar í nemendaskrá skuli varðveittar til frambúðar.

    Upplýsingar um starfsfólk Keilis eru skráðar m.a. vegna launagreiðslna, vinnuskila og veikinda. Nauðsynlegar upplýsingar um starfsmenn eru m.a. sendar til Fjársýslu ríkisins vegna launagreiðslna.

    Keilir safnar persónuupplýsingum fyrst og fremst til að geta uppfyllt skyldur sínar á grundvelli laga sem gilda um rekstur og þjónustu. Þá safnar Keilir einnig persónuupplýsingum vegna samningssambands sem Keilir er í t.d. við starfsfólk eða verktaka, eða til að koma slíku samningssambandi á. Þá byggir Keilir sumar vinnslur jafnframt á samþykki hinna skráðu, s.s. vegna myndbirtingar og á lögmætum hagsmunum Keilis, s.s. vegna eftirlits í öryggis- og eignavörsluskyni.

  • 7. Varðveislutími

    Þar sem Keilir er afhendingarskyldur aðili á grundvelli laga nr. 77/2014 um opinber skjalasöfn er óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið laganna, nema með heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem Keilir vinnur því afhentar Þjóðskjalasafni að þrjátíu árum liðnum.

  • 8. Hvernig er öryggi persónuupplýsinga tryggt?

    Keilir beitir viðeigandi tæknilegum og skipulögðum ráðstöfunum til að vernda persónuupplýsingar með sterkri aðgangsstýringu innan skjalavörslukerfis þess, með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.

    Keilir stuðlar að virkri öryggisvitund starfsmanna með viðeigandi fræðslu og þjálfun varðandi öryggi við vinnslu persónuupplýsinga.

  • 9. Miðlun upplýsinga til þriðja aðila

    Keilir kann að miðla persónuupplýsingum til þriðja aðila af mismunandi ástæðum. Þannig geta þriðju aðilar sem veita Keili upplýsingatækniþjónustu haft aðgang að persónuupplýsingum en Keili kann einnig að vera skylt samkvæmt lögum að afhenda þriðja aðila persónuupplýsingar. Nemendum er ávallt tryggt lágmarksfræðsla um hverjir viðkomandi aðilar það eru líkt og lög um persónuvernd kveður á um.

    Keilir semur eingöngu við utanaðkomandi aðila sem tryggja öryggi persónuupplýsinga sem þeir vinna með fyrir hönd Keilis og er þá gerður viðeigandi vinnslusamningur. Þá mun Keilir ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar og eða með heimild nemenda.

  • 10. Réttindi einstaklinga samkvæmt persónuverndarlögum

    Einstaklingar hafa rétt til að vita hvaða persónuupplýsingar Keilir vinnur um þá og geta eftir atvikum óskað eftir afriti af upplýsingunum. Þá geta einstaklingar fengið rangar persónuupplýsingar um sig leiðréttar og í einstaka tilvikum persónuupplýsingum um sig eytt. Jafnframt geta einstaklingar í ákveðnum tilvikum mótmælt vinnslu persónuupplýsinga og óskað eftir því að vinnsla þeirra verði takmörkuð. Óski einstaklingur eftir að flytja upplýsingar um sig til annars aðila, t.d. til annars skóla, getur viðkomandi einnig átt rétt á að fá persónuupplýsingar sínar afhendar til sín persónulega á tölvutæku formi eða að þær verði fluttar beint til viðkomandi þriðja aðila.

    Í þeim tilvikum er vinnsla Keilis byggir á samþykki getur sá sem veitti samþykkið alltaf afturkallað það.

    Keilir virðir framangreind réttindi einstaklinga samkvæmt persónuverndarlögum.

    Leitast er við að bregðast við öllum beiðnum innan 30 daga frá viðtöku þeirra.Sé um að ræða umfangsmikla eða flókna beiðni mun Keilir upplýsa um slíkar tafir og leitast við að svara í síðasta lagi innan þriggja mánaða frá viðtöku á beiðni.

  • 11. Ábyrgð á grundvelli persónuverndarlaga

    Ábyrgð á vinnslu persónuupplýsinga sem fer fram innan Keilis getur verið mismunandi eftir sviðum og deildum skólans til að tryggja að upplýsingarnar verði ekki persónugreinanlegar. Sérhver starfsmaður Keilis ber lagalega skyldu til þess að þínar upplýsingar, hvort heldur þú ert nemandi eða starfsmaður, séu geymdar á öruggan hátt og að trúnaðar sé gætt og er það staðfest í ráðningarsamningi hvers og eins.

  • 12. Heimasíða Keilis

    Vefsíðan keilir.net meðhöndlar persónuupplýsingar í samræmi við lög um persónuvernd og meðferð persónuupplýsinga. 

    Í þeim tilfellum þar sem persónuupplýsingar eru skráðar t.d. vegna fyrirspurna, beiðna eða starfsumsókna, þar sem þú þarft að skrá nafn þitt, heimilisfang, tölvupóstfang eða aðrar persónutengdar upplýsingar, skuldbindur Keilir sig til þess að varðveita framangreindar upplýsingar á öruggan og tryggan hátt og mun ekki miðla áfram upplýsingum sem skráðar hafa verið til þriðja aðila án samþykkis viðkomandi aðila eða í kjölfar dómsúrskurðar.

    Við heimsókn á vefsíðu okkar eru skráðar ýmsar nauðsynlegar upplýsingar um aðgengi og notkun. Þessar upplýsingar kunna að innihalda IP-tölur notanda. Þessum upplýsingum er einungis safnað af öryggisástæðum og fyrir bilanagreiningu. Þessi síða notar einnig vafrakökur fyrir nauðsynlega virkni, söfnun tölfræðiupplýsinga og fyrir deilingu á samfélagsmiðla, sjá nánar í vafrakökustefnu.

    Vinnsla gagna fer fram svo lengi sem notandi hefur gefið samþykki sitt við meðferð upplýsinganna. Ef notandi óskar eftir að koma athugasemdum um meðhöndlun persónuupplýsinga á framfæri eða óskar eftir að persónuupplýsingum sínum verði eytt úr grunninum, skal athugasemdum komið til Keilis í tölvupósti á gudmundurag@keilir.net

    Vinnsluaðilar sem vefsíðan notar og eru nauðsynlegir fyrir eðlilega virkni:

    • Amazon AWS cloud hosting - vefhýsing (Privacy Shield vottað)
    • Bugsnag - Villumeðhöndlun (Privacy Shield vottað)
    • New Relic - Eftirlit með álagi og umferð vefþjóna (Privacy Shield vottað)

    Vinnsluaðilar sem vefsíðan notar fyrir tölfræðilegar upplýsingar og deilingu á samfélagsmiðlum:

    • Google Analytics - Umferð og tölfræðiupplýsingar  (Privacy Shield vottað).
    • AddThis - Deila efni á samfélagsmiðlum
  • 13. Fyrirspurnir og kvörtun til Persónuverndar

    Hafi einstaklingar spurningar um persónuverndarstefnu þessa eða hvernig Keilir varðveitir eða vinnur persónuupplýsingar geta þeir ávallt haft samband við persónuverndarfulltrúa Keilis sem mun leitast við að svara fyrirspurnum og leiðbeina einstaklingum um réttindi þeirra samkvæmt persónuverndarstefnu þessari og persónuverndarlögum.

    Ef einstaklingur er ósáttur við vinnslu Keilis á persónuupplýsingum hans getur hann jafnframt sent erindi til Persónuverndar.

  • 14. Samskiptaupplýsingar

    Persónuverndarfulltrúi Keilis er Guðmundur Arnar Guðmundsson, en hann hefur umsjón með eftirfylgni við persónuverndarstefnu Keilis og að persónuverndarlögum sé framfylgt.

    Hægt er að hafa samband við persónuverndarfulltrúa Keilis með því að senda honum tölvupóst á netfangið: gudmundurag@keilir.net

  • 15. Endurskoðun

    Keilir getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum og reglugerðum eða vegna breytinga á því hvernig Keilir vinnur með persónuupplýsingar. Verði gerðar breytingar á stefnu þessari verður slíkt kynnt á heimasíðu Keili www.keilir.net

    Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt.