Persónuverndarstefna
1. Ábyrgðaraðili, samskiptaupplýsingar og markmið stefnunnar
Ábyrgðaraðili vinnslu persónuupplýsinga er:
Háskólinn á Bifröst
Bifröst, 311 Borgarnes
Sími: 433-3000
Netfang: bifrost@bifrost.is
Vefur: www.bifrost.is
Háskólinn starfar samkvæmt lögum um háskóla nr. 63/2006 og vinnur persónuupplýsingar í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679 (GDPR). Stefnan tekur til vinnslu persónuupplýsinga um umsækjendur, nemendur, fyrrverandi nemendur, starfsfólk og umsækjendur um störf, gesti háskólans og notendur vefs og stafrænnar þjónustu. Markmið stefnunnar er að útskýra hvaða persónuupplýsingar háskólinn vinnur, í hvaða tilgangi, á hvaða lagagrundvelli, hve lengi gögn eru varðveitt og hvaða réttindi einstaklingar hafa.
2. Hvaða persónuupplýsingar eru unnar og hvaðan koma þær?
Háskólinn vinnur m.a. eftirfarandi flokka persónuupplýsinga þegar það er nauðsynlegt vegna starfsemi hans:
Lýðfræði- og tengiliðaupplýsingar, t.d. nafn, kennitala, heimilisfang, sími, netfang.
Umsóknar- og námsupplýsingar, t.d. umsóknargögn, námsferill, prófskírteini, námsmat, verkefni og próf.
Starfs- og ráðningartengd gögn, t.d. ferilskrá, kynningarbréf, ráðningarsamningar og launaupplýsingar (fyrir starfsfólk og umsækjendur um störf).
Viðkvæmar persónuupplýsingar, þegar við á og samkvæmt heimildum laga, t.d. læknisvottorð og upplýsingar um sértækar náms- eða aðlögunarþarfir.
Myndir og myndefni frá viðburðum tengdum starfsemi háskólans, t.d. myndir úr námi, félagslífi og opinberum viðburðum. Slíkt efni getur í vissum tilvikum verið nýtt í innra efni eða markaðssetningu, eftir því sem við á og að uppfylltum skilyrðum laga. Einnig getur verið um að ræða upptökur af veffyrirlestrum þar sem nemendur eða aðrir þátttakendur sjást í mynd og/eða hljóði, en tilkynna skal þátttakendum um slíkar upptökur. Slíkar upptökur kunna að verða gerðar aðgengilegar öðrum nemendum eða starfsmönnum eftir því sem við á og ber að upplýsa um það.
Tæknilegar upplýsingar, t.d. IP-tölur, aðgangs- og kerfisloggar og vefkökur á heimasíðu og í kennslukerfum.
Upplýsingar um aðra aðila sem eiga í samskiptum við Háskólann: svo sem tengiliðaupplýsingar þeirra sem eiga í samskiptum við háskólann, upplýsingar um starfsfólk verktaka, birgja og annarra sem starfa fyrir háskólann og upplýsingar um menntun og starfsreynslu stunda- og aðstoðarkennara.
Upplýsingar koma aðallega beint frá viðkomandi, en geta einnig komið frá t.d. Menntamálastofnun eða öðrum skólum, lánastofnunum, meðmælendum, opinberum skrám eða þjónustuaðilum háskólans, eftir því sem við á. Ekki er um tæmandi upptalningu að ræða; vinnsla takmarkast þó við það sem nauðsynlegt er hverju sinni.
3. Tilgangur vinnslu og lagagrundvöllur
Háskólinn vinnur persónuupplýsingar aðallega í eftirfarandi tilgangi og á þessum lagagrundvelli:
Inntaka í nám og námsferill
Tilgangur: að meta umsóknir, skrá nemendur, skipuleggja og meta nám.
Lagagrundvöllur: samningur eða undirbúningur samnings (þegar gengið er frá námi), lagaskylda háskólans sem opinberrar menntastofnunar og, að hluta, lögmætir hagsmunir.
Starfsmannamál og ráðningar
Tilgangur: að ráða, greiða laun og sinna mannauðsmálum.
Lagagrundvöllur: lagaskylda á sviði vinnuréttar og skattaréttar, samningur og lögmætir hagsmunir.
Stuðningsþjónusta og sértækar námsþarfir
Tilgangur: að meta og veita viðeigandi stuðning, t.d. vegna fötlunar eða heilsufars.
Lagagrundvöllur: mikilvægar hagsmunir hins skráða, lagaskylda og/eða sérstakar heimildir til vinnslu viðkvæmra gagna samkvæmt lögum 1. mgr.11. gr. laga nr. 90/2018.
Öryggi tölvukerfa og húsnæðis
Tilgangur: að tryggja rekstraröryggi kerfa, vernda gögn og, þar sem við á, öryggi fólks og eigna.
Lagagrundvöllur: lögmætir hagsmunir háskólans.
Upplýsingamiðlun og markaðssetning
Tilgangur: að upplýsa um nám, þjónustu og viðburði.
Lagagrundvöllur: samþykki eða lögmætir hagsmunir, eftir eðli miðlunar. Einstaklingar geta ávallt afþakkað slíka miðlun.
4. Móttakendur og miðlun persónuupplýsinga
Persónuupplýsingar eru notaðar innan háskólans í þágu framangreindra verkefna. Upplýsingum getur verið miðlað til eftirfarandi aðila þegar það er nauðsynlegt og heimilt eða skylt samkvæmt lögum eða samningi:
upplýsingatæknifyrirtækja sem sjá um hýsingu, hugbúnað, tölvupóst og kennslukerfi,
samstarfsaðila á sviði kennslu, rannsókna eða nemendaskipta,
lánastofnana og stjórnvalda, t.d. Lánasjóðs íslenskra námsmanna og Hagstofu Íslands,
annarra opinberra aðila sem háskólanum ber að veita upplýsingar samkvæmt lögum.
Ef persónuupplýsingar eru fluttar utan Evrópska efnahagssvæðisins er það gert á grundvelli viðeigandi öryggisúrræða, t.d. stöðluðum samningsákvæðum Evrópusambandsins, eða að uppfylltum skilyrðum um fullnægjandi vernd í viðkomandi ríki.
5. Öryggi og varðveisla gagna
Háskólinn tryggir öryggi persónuupplýsinga með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, m.a. aðgangsstýringum, öryggisafritum, dulkóðun þar sem við á og öruggum upplýsingakerfum. Háskólinn er bundinn af lögum nr. 77/2014 um opinber skjalasöfn og ber skylda til að varðveita tiltekin skjöl og gögn í samræmi við þau lög.
Gögnum sem falla undir varðveisluskyldu er ekki eytt nema að fengnu sérstöku leyfi Þjóðskjalavarðar.
Önnur gögn eru varðveitt ekki lengur en nauðsynlegt er miðað við tilgang vinnslu, t.d.:
markaðssetningargögn eru varðveitt þar til samþykki er afturkallað eða einstaklingur afþakkar samskipti.
Athugasemdir og leiðréttingar einstaklings fylgja gögnum eftir atvikum.
6. Réttindi einstaklinga
Einstaklingar eiga, með þeim takmörkunum sem leiða af lögum nr. 77/2014, sérlögum og almennum undantekningum í lögum nr. 90/2018, m.a. rétt á að:
fá staðfestingu á því hvort unnið sé með persónuupplýsingar um þá og afrit af slíkum gögnum,
óska eftir leiðréttingu rangra eða ófullnægjandi upplýsinga,
óska eftir takmörkun vinnslu við ákveðnar aðstæður (t.d. meðan verið er að meta réttmæti athugasemda),
andmæla vinnslu sem byggir á lögmætum hagsmunum eða tengist markaðssetningu,
óska eftir flutningi gagna þegar vinnsla byggir á samþykki eða samningi og fer fram með rafrænum hætti,
draga samþykki til baka hvenær sem er þegar vinnsla byggir á samþykki,
leggja fram kvörtun til Persónuverndar ef viðkomandi telur að vinnsla fari í bága við lög nr. 90/2018.
Vegna laga um opinber skjalasöfn gildir réttur til eyðingar („rétturinn til að gleymast“) að takmörkuðu leyti um þær persónuupplýsingar sem Háskólinn vinnur. Aðrar persónuupplýsingar kunna þó að falla undir þann rétt, t.d. þegar vinnsla byggir á samþykki sem er dregið til baka og enginn annar lagagrundvöllur á við. Einstaklingur getur nýtt réttindi sín með því að hafa samband við háskólann eða persónuverndarfulltrúa (sjá 8. gr.).
7. Vefkökur og rekjanleiki
Vefsíða háskólans og stafrænir þjónustuvefir geta notað vefkökur („cookies“) og sambærilegar tækni til að:
tryggja eðlilega virkni vefsins (nauðsynlegar kökur),
greina notkun vefs og bæta þjónustu (greiningarkökur),
sýna viðeigandi efni og tilkynningar (ef við á).
Nánari upplýsingar um notkun vefkaka má finna í reglum um notkun á vefkökum á heimasíðu háskólans.
8. Sjálfvirk ákvarðanataka
Háskólinn tekur almennt ekki ákvarðanir sem hafa veruleg áhrif á einstaklinga eingöngu á grundvelli sjálfvirkrar vinnslu eða persónusniðs í skilningi 22. gr. GDPR. Verði slíkar vinnslur innleiddar verður upplýst sérstaklega um það og réttindi einstaklinga í tengslum við slíka vinnslu.
9. Endurskoðun og gildistaka
Persónuverndarstefnan er endurskoðuð reglulega og uppfærð þegar þörf krefur, m.a. vegna breytinga á lögum eða starfsemi háskólans.
10. Fyrirspurnir og kvartanir
Fyrirspurnum og ábendingum sem varða vinnslu persónuupplýsinga hjá Háskólanum á Bifröst má beina til persónuverndarfulltrúa á netfangið personuvernd@bifrost.is.
Einstaklingar geta einnig leitað til Persónuverndar, sem er eftirlitsaðili samkvæmt lögum nr. 90/2018, og lagt fram kvörtun ef þeir telja að vinnsla háskólans brjóti gegn persónuverndarlögum.
Uppfært og samþykkt af rektor 17.03.2026
Uppfært og samþykkt af rektor 26.07.2022
Staðfest af rektor 23. október 2019
Yfirfarið á fundi í Háskólaráði 14. október 2019