1. gr.

Tilgangur, markmið og gildissvið

Reglur þessar fjalla um það hvernig starfsfólk Miðstöðvar menntunar og skólaþjónustu (MMS) skuli umgangast starfstengdan tölvupóst og haga netnotkun. Reglunum er einnig ætlað að veita starfsfólki fræðslu um réttindi þeirra og skyldur í þeim efnum.

Reglur þessar eru hluti af öryggi upplýsingakerfa Miðstöðvar menntunar og skólaþjónustu og er ætlað að auka rekstraröryggi stofnunarinnar. Þá er reglunum ætlað að tryggja jafnvægi milli annars vegar hagsmuna MMS af því að geta fylgst með því að sá hug- og vélbúnaður sem stofnunin leggur til sé nýttur í þágu stofnunarinnar og hins vegar hagsmuna starfsfólks af því að njóta eðlilegs einkalífsréttar á vinnustað.

Reglur þessar taka ekki til einkatölvupósts starfsfólks sem hvorki er móttekinn né sendur með netfangi stofnunarinnar (@mms.is /@midstodmenntunar.is) /@landsteymi.is .

Markmið þessara reglna er að upplýsa notendur Miðstöðvar menntunar og skólaþjónustu um hvernig skuli fara með stafrænt efni, umgangast tölvupóst, tölvubúnað, hugbúnað og snjalltæki og haga netnotkun, ásamt því að skýra hvernig eftirliti og ábyrgð Miðstöðvar menntunar og skólaþjónustu er háttað.

Markmið reglnanna er að stuðla að jafnvægi milli hagsmuna Miðstöðvar menntunar og skólaþjónustu og hagsmuna notenda hvað varðar rétt til einkalífs á vinnustað. Einnig að tryggja öryggi og eftirlit með notendum og öðrum sem sæta rafrænni vöktun.

2. gr.

Skilgreiningar

Einkatölvupóstur: er tölvupóstur sem starfsfólk Miðstöðvar menntunar og skólaþjónustu sendir eða móttekur með vél- eða hugbúnaði stofnunarinnar, og lýtur einungis að einkamálefnum viðkomandi en varðar hvorki hagsmuni MMS né starfsemi stofnunarinnar.

Starfstengdur tölvupóstur: er tölvupóstur sem starfsfólk MMS sendir eða móttekur með hug- og vélbúnaði MMS og netfangi sem hefur endinguna @mms.is / @midstodmenntunar.is /@landsteymi.is og varðar starf þess eða tengist hagsmunum stofnunarinnar og starfsemi hennar.

Netnotkun: er notkun starfsfólks á þeim hug- og vélbúnaði sem MMS lætur viðkomandi í té, t.d. til að vafra um netið, til að taka við og senda tölvupóst eða til snarspjalls (s.s.Teams).

Netvöktun: óreglubundnar athuganir vegna tilfallandi atvika og viðvarandi eða reglubundið endurtekið eftirlit vinnuveitanda með netnotkun starfsmanna.

Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer að jafnaði um. Hugtakið tekur til:

a. vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga, og

b. sjónvarpsvöktunar sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.

Tölvukerfi: tekur m.a. til tölvupóstkerfis og þess hug- og vélbúnaðar sem þarf til að tengjast netinu, þ.e. prentara, skanna, þráðlausa punkta og netþjóna.

3. gr.

Heimil einkanot

Starfsfólki MMS er heimilt að nýta tölvukerfi Miðstöðvar menntunar og skólaþjónustu bæði til að vafra um netið og taka við og senda tölvupóst, enda séu slík einkanot í hófi og í samræmi við reglur þessar. Starfsfólki ber að nota eigin netföng til persónulegra nota og er eindregið hvatt til þess að koma sér upp einkatölvupóstfangi til að senda og taka á móti einkatölvupósti.

4. gr.

Óheimil netnotkun

Eftirfarandi netnotkun er starfsfólki óheimil:

Sending dreifibréfa sem er óviðkomandi starfsemi Miðstöðvar menntunar og skólaþjónustu, t.d. keðjubréfa eða dreifibréfa vegna sölumennsku eða safnana.

Sjálfvirk áframsending tölvupósts úr tölvupóstkerfi Miðstöðvar menntunar og skólaþjónustu, t.d. á einkatölvupóstfang viðkomandi starfsmanns, nema slíkt sé gert með leyfi forstjóra eða kerfisstjóra.

Sending efnis sem er ólöglegt, ósiðlegt, illgjarnt, hótandi, hrottafengið, ærumeiðandi, hatursfullt, hvetur til ólöglegs athæfis eða getur gefið tilefni til skaðabótakröfu á hendur stofnuninni. Þetta gildir bæði um efni tölvupósts og efni viðhengja. Sama á við um notkun efnis sem hætta er á að innihaldi tölvuvírus.

Notkun á tölvukerfi stofnunarinnar til að nálgast ósiðlegt efni á netinu, s.s. klám, og/eða skoða eða vista slíkt efni í tölvukerfi Miðstöðvar menntunar og skólaþjónustu eða á öðrum miðli.

Starfsfólki er óheimilt að tengjast eða hala niður efni s.s. kvikmyndum og tónlist af ólöglegum síðum, þar með talið Torrent síðum og vista í tölvukerfi MMS.

Að nota tölvukerfi MMS til aðgerða sem teljast óhóflegar eða of kostnaðarsamar.

Vegna þess skaða sem tölvuveirur geta valdið á gögnum í tölvukerfi er starfsfólki óheimilt að opna tölvupóst með viðhengi frá óþekktum sendanda eða að opna viðhengi með tölvupósti sem auðkennd eru með endingum s.s. .exe, .vba, .sit eða .zip nema þeir séu þess fyrirfram fullvissir að slíkt sé óhætt.

Notkun á tölvukerfi stofnunarinnar til að nálgast og/eða hala niður mjög stórum skrám á netinu, s.s. kvikmyndum og tónlist, og vista í tölvukerfi Miðstöðvar menntunar og skólaþjónustu.

Að öðru leyti skal starfsfólk hlíta fyrirmælum frá forstjóra, eða öðrum til þess bærum starfsmanni, um að opna ekki eða eyða tölvupósti eða viðhengjum, s.s. vegna aðsteðjandi hættu á tölvuvírussmiti eða annars konar skaða fyrir tölvukerfi stofnunarinnar. Sama á við um aðgerðir sem geta stofnað öryggi gagna stofnunarinnar í hættu, eða sem teljast vera óhóflegar, íþyngjandi fyrir tölvukerfi stofnunarinnar eða henni of kostnaðarsamar.

Ef starfsfólk fær sendan tölvupóst, eða ratar fyrir mistök inn á vefsíðu sem inniheldur slíkt efni er greinir í 3. og 7. tl. 1. mgr., skal viðkomandi tafarlaust tilkynna slíkt yfirmanni sínum um það og eftir atvikum eyða viðkomandi efni eða loka netvafra sínum.

5. gr.

Meðferð tölvupósts

5.1 Einkatölvupóstur

Óheimilt er að skoða einkatölvupóst starfsfólks. Til viðmiðunar um það hvort um slíkan póst sé að ræða skal m.a. litið til þess hvort hann sé:

Auðkenndur sem einkamál í efnislínu (e. subject), eða er að öðru leyti þannig að augljóst sé að einungis sé um einkamálefni er að ræða.

Vistaður í sérstakri möppu (e. folder) á vinnusvæði starfsmanns í tölvupóstkerfinu sem er auðkennd þannig eða ef af öðru má ráða að um einkamál sé að ræða.

Þrátt fyrir ákvæði 1. mgr. er heimilt að skoða einkatölvupóst starfsfólks ef brýna nauðsyn ber til, s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Slíka skoðun má aðeins framkvæma að fyrirmælum forstjóra. Ávallt skal þó fyrst leita eftir samþykki starfsmanns ef þess er kostur. Enda þótt starfsmaður neiti að veita slíkt samþykki skal veita honum færi á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan aðila í sinn stað. Ef ekki reynist unnt að gera starfsmanni viðvart um skoðunina fyrirfram skal honum gerð grein fyrir henni strax og hægt er. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað einkatölvupóst hans.

5.2. Starfstengdur tölvupóstur

Starfstengdur tölvupóstur er tölvupóstur móttekinn eða sendur frá netföngum sem hafa endingarnar @mms.is, @midstodmenntunar.is og @landsteymi.is er eign Miðstöðvar menntunar og skólaþjónustu.

Starfstengdan tölvupóst má skoða ef:

Nauðsyn ber til vegna lögmætra hagsmuna MMS, s.s. til að finna gögn þegar starfsmaður er forfallaður, hefur látið af störfum eða grunur hefur vaknað um misnotkun eða brot í starfi.

Nauðsyn ber til vegna tilfallandi atvika, s.s ef endurbætur, viðhald á tölvukerfum eða eftirlit með þeim leiða óhjákvæmilega til þess að tölvupóstur opnast eða þarf að opna.

Skoðun á tölvupósti skv. 1. mgr. má aðeins framkvæma að fyrirmælum forstjóra, en ávallt skal kappkostað að leita eftir samþykki viðkomandi starfsmanns og veita honum kost á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan aðila í sinn stað. Þetta á þó ekki við ef brýnir hagsmunir mæla gegn því að beðið sé eftir starfsmanni, s.s. í því tilviki þegar um er að ræða alvarlega bilun í tölvukerfinu, og ekki verði talið að einkalífshagsmunir starfsmanns vegi þyngra. Ríki um það vafi hvort svo sé má ekki skoða tölvupóstinn nema starfsmanni hafi fyrst verið veittur kostur á að vera viðstaddur skoðunina. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað tölvupóst hans.

5.3. Vistun og varðveisla tölvupósts

Tölvupósta og fylgiskjöl þeirra er varða mál með efnislegum hætti skal skrá og varðveita í skjalastjórnarkerfi MMS. Starfsmaður sem ekki er notandi að skjalakerfinu en fær eða sendir tölvupóst/póst sem tengist einstökum málum skal senda tölvupóstinn/póstinn til þess sem vinnur í málinu eða til skjalastjóra. Heimilt er að eyða tölvupóstum og fylgiskjölum þeirra úr tölvupósthólfum þegar þau hafa verið skráð og vistuð í skjalastjórnkerfi MMS. Eyða má tölvupóstum og fylgiskjölum sem ekki tilheyra tilteknum málum. Ef starfsmaður er frá vinnu um tíma skal hann gera ráðstafanir til að erindi stofnunarinnar sem berast í tölvupósti til hans liggi ekki óafgreidd, s.s. með því að virkja sjálfvirkan svarpóst þar sem fram kemur hvar leita megi afgreiðslu á erindinu.

5.4 Um meðferð tölvupósts við starfslok o.fl.

Starfsmanni ber að eyða einkatölvupósti sínum þegar hann lætur af störfum. Geri hann það ekki verður slíkum pósti eytt einum mánuði eftir að starfsmaður hefur látið af störfum. Við starfslok er óheimilt að framsenda tölvupóst úr netfangi viðkomandi starfsmanns á netfang forstjóra eða annars starfsfólks. Við starfslok skal starfsmanni gefinn kostur á að taka afrit af einkatölvupósti.

Þegar starfsmaður lætur af störfum skal netfangi hans lokað án tafar. Þá skal og slökkva á sjálfkrafa framsendingu tölvupósts sem berst á netfang hans hjá MMS. Samtímis skal stilla tölvupóstkerfi stofnunarinnar þannig að allur tölvupóstur á það netfang verði framvegis endursendur ásamt ábendingu um að starfsmaðurinn hafi látið af störfum og á hvaða netfang stofnunarinnar nú eigi að senda erindið. Þar skal og tilgreina nýtt netfang starfsmannsins, óski hann eftir að það verði látið fylgja með.

Starfsfólki er óheimilt að auðkenna eða vista tölvupóst sem eingöngu varðar starfsemi Miðstöðvar menntunar og skólaþjónustu þannig að ætla megi að um einkatölvupóst sé að ræða. Tölvupóst, sem eingöngu varðar starfsemi Miðstöðvar menntunar og skólaþjónustu skal starfsfólk án tafar færa undir viðhlítandi mál í málaskrá stofnunarinnar.

6. gr.

Notkun nets og tölvupósts

Þegar um er að ræða starfstengdan tölvupóst skulu starfsmenn vanda frágang, stafsetningu og málfar. Starfsfólk skal hafa í huga að samskipti um netið eru ekki með öllu örugg og oft hentar tölvupóstur ekki fyrir viðkvæm gögn eða trúnaðarupplýsingar, einkum vegna hættu á að óviðkomandi geti komist yfir og lesið tölvupóstinn einhvers staðar á leið hans eða hann glatist. Ef nauðsynlegt er að senda viðkvæmar persónuupplýsingar með tölvupósti þá er mikilvægt að senda það í viðhengdu skjali sem er læst með lykilorði. Lykilorðið má hringja til viðtakanda eða senda með sms skilaboðum.

Vegna þeirrar hættu að tölvupóstur berist í rangar hendur skal allur útsendur tölvupóstur frá Miðstöð menntunar og skólaþjónustu hafa að geyma staðlaðan niðurlagstexta þar sem kveðið er á um að pósturinn kunni að innihalda trúnaðarupplýsingar sem ekki eru ætlaðar lesanda ásamt leiðbeiningum um hvernig hann skuli bregðast við ef svo háttar til. Þegar efni standa til skal dulkóða póstsendingar.

Kerfisstjóri setur inn samræmdar undirskriftir tölvupósts hjá starfsfólki stofnunarinnar.

Í samræmdum undirskriftum í tölvupóstkerfi MMS er tengill (Fyrirvari – Disclaimer) sem inniheldur eftirfarandi texta: Vinsamlegast athugið að þessi tölvupóstur og viðhengi hans eru eingöngu ætluð þeim sem tölvupósturinn er stílaður á og gætu innihaldið upplýsingar sem eru trúnaðarmál. Hafir þú fyrir tilviljun, mistök eða án sérstakrar heimildar tekið við tölvupósti þessum og viðhengjum hans biðjum við þig að fara eftir 9. mgr. 47. gr. laga um fjarskipti nr. 81/2003 og gæta fyllsta trúnaðar, hvorki lesa efni þeirra né skrá þau hjá þér né notfæra þau á nokkurn hátt og tilkynna okkur samstundis að þau hafi ranglega borist þér. Brot gegn þessu varða bótaábyrgð og refsingu skv. 74. gr. laganna. Please note that this e-mail and its attachments are intended for the named addressee only and may contain information that is confidential and privileged. If you have by coincidence or mistake or without specific authorization received this e-mail and its attachments, we request that you notify us immediately that you have received them in error, uphold strict confidentiality and neither read, copy, nor otherwise make use of their content in any way.

7. gr.

Varðveisla upplýsinga um tölvupóst- og netnotkun

Allan tölvupóst sem sendur er úr tölvupóstkerfi Miðstöðvar menntunar og skólaþjónustu eða móttekinn skal vista sjálfkrafa. Hann skal, í samræmi við öryggisstefnu stofnunarinnar, afrita eins og önnur gögn, þ.e.a.s. á hverjum virkum degi.

Fræða skal starfsmenn um að upplýsingar um uppflettingar þeirra á netinu varðveitast bæði á netþjóni stofnunarinnar og í vafra í tölvu hvers starfsmanns. Upplýsingar um uppflettingar starfsfólks á netinu varðveitast sem upplýsingakökur í vafra í tölvum. Hver notandi getur eytt sínum upplýsingum úr vafra ef hann vill.

Tryggja skal að upplýsingar um tölvupóst-, og eftir atvikum, netnotkun séu varðveittar með tryggum hætti þannig að einungis forstjóri, kerfisstjóri og viðkomandi starfsmaður hafi aðgang að þeim.

Óheimilt er að gera ráðstafanir til að varðveita upplýsingar um netnotkun starfsmanns eftir starfslok. Að öðru leyti fer um varðveislu eftir 8. gr. laga nr. 90/2018.

8. gr.

Starfsfólk við kerfisstjórn og notendaaðstoð

Starfsfólki MMS og þjónustuaðilum sem annast rekstur tölvukerfa stofnunarinnar, þ. á m. tölvupóstkerfis og búnaðar til að tengjast netinu, er með öllu óheimilt að notfæra sér þekkingu sína og aðstöðu til að tengjast tölvukerfunum undir notendaheiti og leyniorði annars starfsfólks, fara framhjá aðgangsstýringu, opna og lesa tölvupóst sem þeir kunna að komast yfir við rekstur og viðhald tölvukerfisins. Þetta á m.a. við þegar þeir aðstoða einstaka starfsmenn, sbr. þó undantekningarákvæðin í greinum 5.1. og 5.2.

Hið sama gildir um skoðun hvers kyns upplýsinga sem kunna að varðveitast í tölvukerfi MMS um netnotkun starfsmanna og önnur persónuleg gögn þeirra nema fyrir liggi rökstuddur grunur um refsiverða háttsemi viðkomandi og skal þá kalla til lögreglu.

9. gr.

Kynning og birting vinnureglna þessara

Stjórnendur MMS skulu kynna starfsfólki þessar reglur við gildistöku þeirra og tryggja að þær séu starfsfólki og þjónustuaðilum ávallt aðgengilegar á heimasíðu og innri vef MMS.

10. gr.

Eftirlit

Eftirlit með því að reglum þessum sé fylgt er í höndum forstjóra eða þess sem hann felur slíkt eftirlit sérstaklega og skal vera í samræmi við gildandi lög og reglur hverju sinni. Ef eftirlitið er falið öðrum en forstjóra skal það tilkynnt starfsfólki stofnunarinnar.

Upplýsingar sem aflað er vegna eftirlits með reglum þessum má eingöngu nota í þágu eftirlitsins. Þær má ekki afhenda öðrum, vinna frekar eða geyma nema með samþykki starfsmanns. Þó er heimilt að afhenda lögreglu efni með upplýsingum um meintan refsiverðan verknað en þá skal gæta þess að eyða öðrum eintökum nema sérstakir lögvarðir hagsmunir standi til annars. Þá er heimilt að nota gögn til að afmarka, setja fram eða verja réttarkröfu vegna dómsmáls og annarra laganauðsynja, t.d. í tengslum við brottvikningu úr starfi.

Sá sem sætt hefur eftirliti skv. 1. mgr. á rétt á að skoða gögn þau sem aflað er um hann í tengslum við eftirlitið. Þegar beiðni um slíkt berst forstjóra skal hann svo fljótt sem verða má, og eigi síðar en innan eins mánaðar, verða við beiðninni.

11. gr.

Afleiðingar brota

Brot gegn reglum þessum geta, samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins, eins og önnur brot í starfi, varðað áminningum eða, ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi.

12. gr.

Gildistaka o.fl.

Reglur þessar eru samdar með hliðsjón af lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, auglýsingu Persónuverndar nr. 1001/2001 um leiðbeiningar varðandi eftirlit vinnuveitanda með tölvupóst- og netnotkun starfsmanna, reglum Persónuverndar nr. 50/2023 um rafræna vöktun og í samræmi við reglur Þjóðskjalasafns Íslands nr. 331/2020 um meðferð, varðveislu og eyðingu á tölvupóstum afhendingarskyldra aðila. Jafnframt taka reglur þessar mið af lögum um fjarskipti nr. 70/2022 sem og lögum um opinber skjalasöfn nr. 77/2014, reglum nr. 331/2020 um meðferð, varðveislu og eyðingu á tölvupóstum afhendingarskyldra aðila og vinnureglum Persónuverndar um meðferð tölvupósts og netnotkun.

Reglur þessar taka þegar gildi.

Yfirfara skal reglur þessar eftir því sem þörf krefur, þó ekki sjaldnar en á tveggja ára fresti.

Júní 2025

Þórdís Jóna Sigurðardóttir, forstjóri Miðstöð menntunar og skólaþjónustu