Persónuverndarstefna

Hlutverk Alfa sem vinnsluaðili

Þegar skóli eða sveitarfélag tekur Alfa í notkun er sá aðili ábyrgðaraðili gagnanna en Alfa er vinnsluaðili. Vinnslusamningur er gerður milli Alfa og skólans/sveitarfélagsins skv. 28. gr. GDPR þar sem fram kemur hvaða vinnsla fer fram.

Ábyrgðaraðilinn (skólinn eða sveitarfélagið) ber ábyrgð á lagagrundvelli vinnslunnar og á upplýsingagjöf til nemenda og forráðamanna. Ef nemandi eða forráðamaður vill nýta réttindi sín, til dæmis fá aðgang að gögnum eða óska eftir eyðingu, á hann að hafa samband við skólann fyrst. Alfa aðstoðar skólann við að svara slíkum beiðnum.

Hvaða gögn söfnum við

Við söfnum aðeins þeim gögnum sem þarf til að reka þjónustuna. Hér er tæmandi listi yfir persónuupplýsingarnar sem við vinnum:

• Aðgangsupplýsingar: Nafn og netfang úr Google-aðgangi nemanda eða kennara. Notað til að búa til og auðkenna notandaaðgang.
• Innsendingar: Myndir af handskrifuðu vinnu nemenda eða innslegin svör. Tengd notandaaðgangi.
• Lýsigögn innsendinga: Tímasetning, samhengi dæmis (bók, kafli, dæmanúmer), unnið stærðfræðiefni, mat og endurgjöf frá gervigreind. Öll þessi lýsigögn eru tengd notandaaðgangi. Þetta er tæmandi upptalning lýsigagnanna.

Tilgangur

Gögnin eru notuð í þessum tilgangi:

• Rekstur þjónustunnar, þ.e. greina stærðfræðivinnu, veita endurgjöf, sýna sögu innsendinga og gefa kennurum yfirsýn yfir framvindu.
• Villuleit, þegar innsending veldur villu eða óvæntri niðurstöðu.
• Umbætur á þjónustunni, gögn sem notuð eru í þessu skyni eru nafnlaus eða samanlögð og ekki rakin til einstakra notenda.
• Öryggi, tryggja öruggan aðgang og koma í veg fyrir misnotkun.

Geymsla og varðveisla

Gildar innsendingar og tengdar myndir eru geymdar á meðan þjónustusamband er virkt, svo nemendur og kennarar hafi aðgang að sögu og framvindu.

Ef engin gild stærðfræðigreining á sér stað er myndin aðeins unnin í vinnsluminni (RAM) og er hvorki vistuð á disk né í gagnagrunni. Þessi vinnsla tekur nokkrar sekúndur.

Vistaðar myndir eru í lokuðum gagnageymslum (private bucket). Til að skoða mynd þarf undirritaða vefslóð sem gildir í um 5 mínútur og endurnýjast sjálfkrafa á meðan verið er að skoða. Nemendur geta eytt eigin tilraunum fyrir tiltekið dæmi innan appsins, sem eyðir líka tengdum myndum úr gagnageymslu.

Við lok þjónustusamnings eða skólaárs kunna gögn að verða eytt í samráði við ábyrgðaraðila.

Lagagrundvöllur (GDPR)

Lagagrundvöllurinn fer eftir hlutverki Alfa:

• Alfa sem vinnsluaðili (þegar skóli eða sveitarfélag notar þjónustuna): Grundvöllurinn er vinnslusamningur skv. 28. gr. GDPR. Skólinn eða sveitarfélagið ber ábyrgð á sínum lagagrundvelli gagnvart nemendum og forráðamönnum.
• Alfa sem ábyrgðaraðili (t.d. eigin vefsíða, samskipti við viðskiptavini): Grundvöllurinn er lögmætir hagsmunir (6. gr. 1. mgr. f-liður GDPR) eða samþykki eftir atvikum.

Undirvinnsluaðilar og gagnastaðsetning

Alfa notar eftirfarandi undirvinnsluaðila. Vinnslusamningar eru í gildi við alla. Við seljum ekki persónuupplýsingar.

• Supabase Inc., gagnagrunnur (PostgreSQL), gagnageymsla (S3) og auðkenning. Gögn eru geymd innan ESB.
• RunPod Inc., GPU-innviðir fyrir gervigreindarvinnslu. Alfa rekur eigin gervigreindarlíkön á sérstökum þjónum innan ESB. Engin gögn fara utan Evrópu og engin persónuauðkenni (nafn, netfang, notendanúmer) eru send til gervigreindarlíkansins, aðeins myndin og lýsing dæmisins.
• Google, innskráning (OAuth 2.0). Nafn og netfang eru sótt til auðkenningar. Google Classroom samþætting er valkvæð fyrir kennara.
• Vercel Inc., hýsing á vefsíðu og kennaravettvangi.

Öryggisráðstafanir

Helstu öryggisráðstafanir:

• Öll samskipti fara um dulkóðaða rás (HTTPS/TLS).
• Myndir eru í lokuðum gagnageymslum og aðgengilegar eingöngu gegnum skammvinnar undirritaðar vefslóðir.
• Nemendur sjá eingöngu eigin innsendingar. Kennarar sjá eingöngu nemendur í sínum áföngum.
• Gagnagrunnurinn notar aðgangsreglur á línustigi (Row-Level Security) til að framfylgja þessu.
• Innskráning fer eingöngu fram með Google OAuth 2.0 og aðgangur er stýrður með JWT-tókum. Google-lyklar kennara eru dulkóðaðir í gagnagrunni (AES-256-GCM).

Réttindi

Samkvæmt persónuverndarlöggjöf eiga skráðir einstaklingar eftirfarandi réttindi:

• Aðgangur að gögnum sem varða viðkomandi.
• Leiðrétting rangra eða ónákvæmra upplýsinga.
• Eyðing gagna þar sem skilyrði eru uppfyllt.
• Takmörkun á vinnslu.
• Gagnaflutningur á stöðluðu sniði.
• Andmæli gegn vinnslu.
• Kvörtun til Persónuverndar (personuvernd.is).

Börn

Alfa er ætlað nemendum á aldrinum 10–16 ára í skólastarfi. Vinnsla gagna barna fer fram á grundvelli samnings við skóla eða sveitarfélag sem ber ábyrgð á samþykki og upplýsingagjöf til forráðamanna. Telji forráðamaður að gögn um barn hafi verið unnin ranglega er hægt að hafa samband við skólann eða Alfa á alfa@alfakennsla.is.

Engin greiningartæki þriðja aðila

Hvorki appið né kennaravettvangurinn nota greiningartæki eða rakningarþjónustu þriðja aðila (t.d. Google Analytics, Sentry eða sambærilegt). Einkunnagjöf er nafnlaus, einkunnir sem nemendur gefa dæmum eru ekki tengdar notandaaðgangi.

Breytingar

Þessi stefna getur breyst. Ef efnislegar breytingar eru gerðar tilkynnum við ábyrgðaraðilum (skólum og sveitarfélögum). Nýjasta útgáfan er alltaf aðgengileg hér.