1. Almennt um persónuverndarstefnu Háskóla Íslands
Hinn 15. júlí 2018 tóku gildi lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (persónuverndarlög). Í samræmi við ákvæði laganna hefur Háskóli Íslands sett sér eftirfarandi stefnu um meðferð persónuupplýsinga. Til persónuupplýsinga teljast þær upplýsingar sem auðkenna tiltekinn einstakling eða væri hægt að nota í þeim tilgangi.
Starfsfólk Háskóla Íslands skal hafa persónuverndarstefnuna að leiðarljósi í hvert skipti sem unnið er með persónuupplýsingar. Tryggt skal að allar persónuupplýsingar sem Háskóli Íslands safnar, nýtir eða vinnur með öðrum hætti, séu meðhöndlaðar í samræmi við hin nýju lög.
2. Vinnsla persónuupplýsinga skal grundvallast á fullnægjandi heimild
Starfsfólk Háskóla Íslands skal ekki vinna með persónuupplýsingar nema til staðar sé fullnægjandi heimild fyrir vinnslunni í persónuverndarlögum.
Samkvæmt persónuverndarlögum er eingöngu heimilt að vinna með persónuupplýsingar ef einhver eftirfarandi þátta er fyrir hendi:
- Hinn skráði hafi gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða
- Vinnslan er nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður
- Vinnslan er nauðsynleg til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila
- Vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings
- Vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með
- Vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum þegar hinn skráði er barn
3. Meðhöndlun viðkvæmra persónuupplýsinga
Starfsfólk Háskóla Íslands skal ávallt gæta ítrustu varúðar við vinnslu og vörslu viðkvæmra persónuupplýsinga. Í 3. tölulið 1. mgr. 3. gr. persónuverndarlaga er útlistað hvaða upplýsingar teljast vera viðkvæmar persónuupplýsingar í skilningi laganna. Viðkvæmar upplýsingar teljast til dæmis upplýsingar um kynþátt, þjóðernislegan uppruna, heilsufar o.fl.
4. Fræðsla og þjálfun starfsfólks
Háskóli Íslands skal reglulega veita starfsfólki sínu fræðslu og þjálfun í því hvernig meðhöndla skuli persónuupplýsingar.
5. Öryggi, áreiðanleiki og takmörkun vinnslu
Háskóli Íslands skal tryggja öryggi þeirra persónuupplýsinga sem stofnunin vinnur með. Háskóli Íslands ábyrgist að viðeigandi tæknilegar og skipulagslegar verndarráðstafanir séu til staðar sem koma eiga í veg fyrir óleyfilega eða ólögmæta vinnslu. Þá ábyrgist Háskóli Íslands að persónuupplýsingar séu áreiðanlegar og uppfærðar eftir þörfum. Reynist persónuupplýsingar rangar skal þeim eytt eða þær leiðréttar án tafar.
Háskóli Íslands mun, í samræmi við persónuverndarlög, tilkynna sérhvert öryggisbrot sem kann að eiga sér stað við vinnslu persónuupplýsinga til Persónuverndar. Háskóli Íslands mun einnig tilkynna skráðum einstaklingum um öryggisbrot ef skylt er. Þegar Háskólinn er vinnsluaðili persónuupplýsinga mun stofnunin jafnframt gera ábyrgðaraðila viðvart hafi öryggisbrot átt sér stað.
Háskóli Íslands skal einnig gæta þess við vinnslu persónuupplýsinga að þær einskorðist við það sem nauðsynlegt telst. Þá skulu persónuupplýsingar varðveittar á því formi að ekki sé unnt að persónugreina skráða einstaklinga lengur en þörf er á miðað við tilgang vinnslunnar.
6. Miðlun persónuupplýsinga til utanaðkomandi aðila
Í vissum tilvikum þarf Háskóli Íslands að miðla persónuupplýsingum til utanaðkomandi aðila, til dæmis á grundvelli þjónustusamnings. Þegar svo ber undir skal Háskóli Íslands sjá til þess að viðeigandi verndarráðstafanir séu til staðar.
7. Réttindi skráðra einstaklinga
Einstaklingur getur óskað eftir afriti af persónuupplýsingum um sig hjá Háskóla Íslands. Þjónustuborð Háskóla Íslands (Háskólatorgi, Sæmundargötu 4, 102 Reykjavík) tekur á móti beiðnum um afrit af persónuupplýsingum. Sá sem óskar afrits af persónuupplýsingum skal undirrita eyðublað og framvísa persónuskilríkjum.
Ef sótt er um persónuupplýsingar fyrir hönd annars aðila þarf undirritað umboð frá honum.
Háskóli Íslands mun bregðast skjótt við beiðnum um afrit af persónuupplýsingum. Almennt skal beiðni afgreidd innan mánaðar. Lengri frestur kann þó að vera áskilinn þegar um sérstaklega margar eða flóknar beiðnir er að ræða.
8. Útgáfa
Persónuverndarstefna þessi var samþykkt í háskólaráði hinn 4. apríl 2019.