Tónlistarskóli Húsavíkur safnar persónuupplýsingum um nemendur sína í þeim tilgangi að fylgjast með námsframvindu þeirra. Þessar upplýsingar falla undir samheitið nemendaskrá, sama á hvaða formi þær eru. Skólinn er ábyrgðaraðili vinnslu persónuupplýsinga nemendaskrár í samræmi við skilgreiningu í 3.gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 4.gr. reglugerðar ESB nr. 2016/679.
Þessar reglur eiga að tryggja að við vinnslu og öflun persónuupplýsinga sé þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga samkvæmt fyrirmælum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Reglurnar eiga að tryggja að gætt sé að því að upplýsinga sem aflað er séu viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslu þeirra. Þær séu áreiðanlegar og uppfærðar eftir þörfum.
Um vinnslu persónuupplýsinga nemenda í skólum og foreldra þeirra eða forsjáraðila gilda lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og almenna persónuverndarreglugerð Evrópusambandsins nr. 2016/679. Jafnframt gilda um vinnslu persónuupplýsinga nemenda lög um grunnskóla nr. 91/2008, og reglugerðir settar skv. þeim svo sem reglugerð nr. 897/2009 um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín, sbr. breyting nr. 657/2011 og reglugerð þar um. Auk þess þarf m.a. að taka tillit til laga um samning Sameinuðu þjóðanna um réttindi barnsins nr. 19/2013, stjórnsýslulaga nr. 37/1993, upplýsingalaga nr. 140/2012, barnalaga nr. 76/2003 og laga um opinber skjalasöfn nr. 77/2014. Þessu til viðbótar þarf að tryggja að farið sé að reglum 299/2001 um öryggi persónuupplýsinga.
Upplýsingaöryggisstefna Tónlistarskóla Húsavíkur
Tónlistarskóli Húsavíkur viðheldur nemendaskrá til að halda utan um upplýsingar um nemendur sína, námsframvindu og annað sem nauðsynlegt er vegna náms þeirra við skólann. Með þessari skjalfestu upplýsingaöryggisstefnu vill Tónlistarskólinn leggja áherslu á mikilvægi persónuverndar við vinnslu nemendaskrár skólans. Tónlistarskólinn hagnýtir m.a. upplýsingatækni til að varðveita gögn nemendaskrár og miðla þeim á öruggan og hagkvæman hátt.
Hlutverk þessarar stefnu er að lýsa skuldbindingu Tónlistarskólans að vernda nemendaskrána gegn ógnunum, innan frá og utan, vísvitandi og óviljandi. Markmið stjórnunar upplýsingaöryggis er að tryggja áframhaldandi aðgang að upplýsingum nemendaskrár og lágmarka tjón, ef skaði verður, með því að koma í veg fyrir eða lágmarka áhrif af atvikum sem geta truflað upplýsingavinnslu úr nemendaskrá eða upplýsingaleka. Þess vegna skilgreinir Tónlistarskólinn þessa öryggisstefnu er varðar trúnað, réttleika og tiltækileika gagna.
- Trúnaður. Tónlistarskólinn tryggir að eingöngu aðilar, sem til þess hafa heimild, hafi aðgang að upplýsingum nemendaskrár og búnaði tengdum henni.
- Réttleiki gagna. Tónlistarskólinn tryggir að upplýsingar sem skráðar eru í nemendaskrá séu réttar og nákvæmar á hverjum tíma. Rangar, villandi, ófullkomnar eða úreltar upplýsingar séu leiðréttar, þeim eytt eða við þær aukið þegar slíkt uppgötvast og haldið uppi reglubundnu eftirliti í þeim tilgangi.
- Tiltækileiki gagna. Tónlistarskólinn tryggir að upplýsingar skráðar í nemendaskrá séu aðgengilegar þeim sem hafa heimild og þurfa að nota þær þegar þeirra er þörf. Skólinn tryggir einnig að kerfi og gögn nemendaskrár sem kunna að eyðileggjast sé hægt að endurreisa með hjálp viðbragsáætlunar og afrita gögn sem geymd eru á öruggum stað.
Öryggisstefna þessi tekur mið af gildandi lögum og reglugerðum um persónuvernd og meðferð persónuupplýsinga. Öryggisstefnan er í fullu samræmi við reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga og uppfyllir kröfur staðalsins ÍST EN ISO/IEC 27001.
Starfsmenn sem hafa aðgang að upplýsingaverðmætum og þeir vinnsluaðilar, sem koma að rekstri upplýsingakerfa, þ.m.t. nemendaskrár, skulu hafa aðgang að og þekkja til þessarar öryggisstefnu og þess hluta reglubókar sem snertir þeirra vinnu. Viðurlög komi fram í ráðningarsamningum, starfslýsingum, kjarasamningum eða lögum og felist eftir atvikum í skriflegri áminningu eða brottrekstri.
Húsavík 5. nóv 2019