Persónuverndarstefna fyrir skóla
Síðast uppfært: 2026-05-16
Þessi stefna á við um notkun skóla, sveitarfélaga og kennara (sameiginlega „Skólinn”) á þjónustu Alfa, sem rekin er af Alfa Kennsla ehf., kt. 481225-1320 („Alfa”, „við”, „okkur”).
Ef þú ert einstaklingsáskrifandi (foreldri eða nemandi sem notar Alfa utan skóla) gildir almenn persónuverndarstefna okkar þess í stað.
Þessi stefna er almennt upplýsingaskjal um vinnslu persónuupplýsinga sem fer fram samkvæmt almennri persónuverndarreglugerð Evrópusambandsins (GDPR) og lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Skólar fá sérstakan vinnslusamning samkvæmt 28. gr. GDPR við undirritun.
1. Skilgreiningar
- Ábyrgðaraðili: Skólinn, sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga.
- Vinnsluaðili: Alfa Kennsla ehf., sem vinnur persónuupplýsingar fyrir hönd Skólans.
- Undirvinnsluaðili: Þriðji aðili sem Alfa nýtir til að veita þjónustuna.
- Skráður einstaklingur: Nemandi eða kennari sem notar Alfa.
- Persónuupplýsingar: Allar upplýsingar um auðkenndan eða auðkennanlegan einstakling.
- Þjónustan: Alfa-vefurinn, farsímaappið, kennarakerfið og bakendi.
2. Hlutverk aðila
Skólinn er ábyrgðaraðili persónuupplýsinga nemenda og kennara. Skólinn ákveður tilgang og aðferðir við vinnslu, þar á meðal hvaða nemendur fá aðgang að þjónustunni, hvaða verkefni þeir leysa og hvernig árangur þeirra er metinn.
Alfa er vinnsluaðili og vinnur persónuupplýsingar einungis samkvæmt skjalfestum fyrirmælum Skólans, sem koma fram í þessari stefnu og í gildandi samningi við Skólann.
3. Persónuupplýsingar sem unnið er með
Nemendur
- Auðkenni: Google-tölvupóstfang, nafn, Google-auðkenni
- Námsgögn: Svör við stærðfræðiverkefnum, myndir af handskrifuðum úrlausnum, niðurstöður yfirferðar (rétt/rangt) og endurgjöf
- Spjall við Alfa kennara: Samtalssaga (val nemandans og innslegnar línur) og valfrjáls mynd af úrlausn sem nemandi tengir við spjall
- Skráningar: Hvaða námskeið og verkefni nemandi er skráður í
- Tæknigögn: Tímastimplar tilrauna, atvikaskýrslur
Kennarar
- Auðkenni: Google-tölvupóstfang, nafn, Google-auðkenni
- Aðgangsgögn: Dulkóðuð Google OAuth-tákn (vegna tengingar við Google Classroom)
- Stjórnsýslugögn: Skólatenging, námskeið, athugasemdir kennara og yfirferð
Alfa vinnur engar viðkvæmar persónuupplýsingar (t.d. um heilsu, kynþátt eða stjórnmálaskoðanir).
4. Tilgangur og tímalengd vinnslu
Tilgangur: Að veita stærðfræðikennsluþjónustu með gervigreindarstuddri yfirferð á handskrifuðum úrlausnum nemenda, Sókratískri spjallaðstoð, samhæfingu við Google Classroom og umsýslu kennara á verkefnum og einkunnum.
Lagagrundvöllur Skólans: Lögbundið hlutverk grunnskólans samkvæmt lögum nr. 91/2008 um grunnskóla og almennum reglum um skólastarf.
Tímalengd: Vinnslan varir á meðan samningur við Skólann er í gildi. Vinnslunni lýkur þegar samningi er sagt upp.
5. Geymslutími og eyðing
| Gögn | Geymslutími |
|---|---|
| Námsgögn nemenda (svör, myndir, samtöl við Alfa kennara, einkunnir) | Á meðan samningur við Skólann er í gildi. Meðferð við lok samnings er ákveðin í vinnslusamningi við hvern skóla. |
| Reikningar nemenda | Á meðan nemandinn er skráður í virkt námskeið |
| Reikningar kennara | Á meðan samningur við Skólann er í gildi |
| Myndir af handskrift (í lokuðu geymslusvæði hjá Supabase, ESB) | Sami geymslutími og önnur námsgögn |
| Atvika- og kerfisskýrslur | Allt að 12 mánuði í öryggis- og rekstrartilgangi |
Skólinn getur hvenær sem er óskað eftir eyðingu gagna með því að senda beiðni á alfa@alfakennsla.is. Tímamörk og verklag eru útfærð í vinnslusamningi við Skólann.
6. Undirvinnsluaðilar
Eftirfarandi flokkar undirvinnsluaðila eru notaðir við veitingu þjónustunnar:
| Flokkur | Staðsetning |
|---|---|
| Gagnagrunnur, skráageymsla og auðkenning | ESB |
| Hýsing bakendaþjónustu | ESB |
| Gervigreindarafgreiðsla (hýst af Alfa; yfirferð handskriftar og spjall) | ESB |
| Atvikaskráning, kerfiseftirlit og villuvöktun | ESB |
| Auðkenning og samhæfing við Google Classroom (Google LLC) | Bandaríkin (EU–U.S. Data Privacy Framework) |
Heildarlisti yfir nafngreinda undirvinnsluaðila er fáanlegur hjá Alfa að beiðni Skólans og er hluti af viðauka við vinnslusamning.
Alfa tilkynnir Skólanum áður en nýjum undirvinnsluaðila er bætt við eða undirvinnsluaðila skipt út. Skólinn getur mótmælt nýjum undirvinnsluaðila innan 14 daga frá tilkynningu. Ef ekki tekst að leysa ágreining hefur Skólinn rétt til að segja upp þjónustunni.
7. Flutningur gagna utan ESB/EES
Öll vinnsla persónuupplýsinga nemenda fer fram innan Evrópska efnahagssvæðisins (ESB/EES). Eina undantekningin er auðkenning og samhæfing í gegnum Google LLC í Bandaríkjunum, sem fer fram undir EU–U.S. Data Privacy Framework samkvæmt jafngildisákvörðun framkvæmdastjórnar ESB.
Engin gögn nemenda fara til þriðju aðila gervigreindarþjónustna (t.d. OpenAI, Anthropic, Google AI). Bæði yfirferð handskriftar og spjall (Sókratísk hjálp við dæmi) fer fram á gervigreindarlíkönum sem Alfa rekur sjálft á GPU-innviðum innan ESB.
8. Öryggisráðstafanir
Alfa beitir viðeigandi tæknilegum og skipulagslegum öryggisráðstöfunum samkvæmt 32. gr. GDPR, þar á meðal:
- Öll samskipti dulkóðuð með HTTPS/TLS
- Forritskerfis-aðgangur er takmarkaður þannig að kennarar og nemendur sjá einungis sín eigin gögn
- Row-Level Security (RLS) virk á töflum í gagnasafni sem viðbótaröryggi á dýptina
- Google OAuth-tákn dulkóðuð í geymslu með AES-256-GCM
- Lokað og einkavarið geymslusvæði fyrir myndir af handskrift hjá Supabase (ESB); aðgangur einungis með skammtíma undirrituðum slóðum
- Aðgangsstýring starfsmanna að framleiðslukerfum byggð á starfsskyldu
- Reglulegt öryggiseftirlit, atvikaskráning og afritun
- Engar þriðjuaðila atferlisgreiningar- eða markaðsrekjunarþjónustur í kennarakerfi eða nemendaappi. Villuvöktun fer fram með dulnefndum auðkennum (auðkenni nemanda og hlutverk; tölvupóstföng nemenda eru ekki send)
Allir starfsmenn og verktakar með aðgang að persónuupplýsingum eru bundnir trúnaðarskyldu.
9. Notkun gervigreindar
Eftirfarandi sérstök ákvæði eiga við um gervigreindarþætti Alfa:
- Hýst af Alfa: Alfa rekur gervigreindarlíkön sín, bæði yfirferð handskriftar og spjall (Sókratísk hjálp við dæmi), sjálft á GPU-innviðum innan ESB. Engin gögn nemenda berast til þriðju aðila gervigreindarþjónustna.
- Mannleg yfirferð (22. gr. GDPR): Niðurstöður gervigreindarinnar hafa ekki lagagildi sem sjálfvirk ákvarðanataka. Kennari ber endanlega ábyrgð á einkunnagjöf og ber að yfirfara niðurstöður gervigreindar áður en þær eru notaðar í formlegt námsmat. Nemandi getur óskað eftir mannlegri yfirferð á hvaða niðurstöðu sem er.
- Engar auðkenningarupplýsingar sendar líkani: Einungis mynd af úrlausn nemanda, verkefnislýsing, matsviðmið og samtalssaga eru send til gervigreindarlíkansins. Nafn, tölvupóstfang eða önnur auðkenni nemandans eru ekki send.
Um spjall við Alfa kennara. Spjallið er frjálst flæði og ekki háð fyrirfram skilgreindum umferðafjölda. Samtalsinnihaldið (val nemandans, innsleginn texti og valfrjáls mynd af úrlausn) er skráð og geymt í gagnagrunni Alfa með sömu varðveislureglum og önnur námsgögn. Spjallið er ætlað sem stuðningur við stærðfræðinámið — nemendur ættu ekki að deila viðkvæmum persónuupplýsingum (t.d. um heilsu, fjölskylduaðstæður eða annað utan stærðfræðiverkefnisins) í spjallinu. Skólinn er ábyrgur fyrir því að upplýsa nemendur um þetta, t.d. í notkunarleiðbeiningum eða kennslustundakynningu.
Ákvæði um þjálfun gervigreindar á gögnum Skólans eru útfærð í vinnslusamningi við hvern skóla.
10. Réttindi hinna skráðu
Skráðir einstaklingar (nemendur og kennarar) eiga eftirfarandi réttindi samkvæmt GDPR:
- Réttur til aðgangs að persónuupplýsingum
- Réttur til leiðréttingar á röngum upplýsingum
- Réttur til eyðingar
- Réttur til takmörkunar á vinnslu
- Réttur til flytjanleika gagna
- Réttur til andmæla
Þar sem Skólinn er ábyrgðaraðili skal beiðnum um þessi réttindi beint til Skólans. Alfa aðstoðar Skólann við að uppfylla þessar skyldur innan hæfilegs tíma og án aukakostnaðar að því marki sem hægt er.
Skráðir einstaklingar geta sent kvörtun til Persónuverndar: personuvernd.is.
11. Tilkynning um öryggisbrest
Verði Alfa vart við öryggisbrest sem snertir persónuupplýsingar Skólans tilkynnir Alfa það Skólanum innan 48 klukkustunda frá uppgötvun brestsins. Tilkynningin inniheldur:
- Eðli brestsins
- Fjölda og flokka skráðra einstaklinga og persónuupplýsinga
- Líklegar afleiðingar
- Þær ráðstafanir sem Alfa hefur gert eða hyggst gera til að bregðast við
Alfa aðstoðar Skólann við að uppfylla tilkynningarskyldu Skólans gagnvart Persónuvernd og hinum skráðu, eftir atvikum. Nánara verklag er útfært í vinnslusamningi við Skólann.
12. Lok þjónustu
Meðferð gagna við lok samnings, þar á meðal endurheimt gagna, eyðing og geymsla afrita, er ákveðin í vinnslusamningi við hvern skóla fyrir sig.
13. Upplýsingar til foreldra og forráðamanna
Skólar sem nota Alfa eru hvattir til að upplýsa foreldra og forráðamenn um lausnina í skólanámskrá eða með öðrum hætti sem skólinn telur viðeigandi. Alfa veitir skólum tilbúna upplýsingatexta á íslensku til notkunar í slíkri kynningu að beiðni.
14. Breytingar á stefnu
Alfa getur uppfært þessa stefnu. Verulegum breytingum verður tilkynnt Skólanum með a.m.k. 30 daga fyrirvara. Aðrar breytingar (svo sem orðalagsbreytingar) má gera án sérstakrar tilkynningar; nýjasta útgáfan er ávallt aðgengileg á þessari síðu.
15. Lagaval og lögsögurnar
Þessi stefna lýtur íslenskum lögum. Ágreiningi er vísað til íslenskra dómstóla, og Héraðsdómur Reykjavíkur hefur fyrstu lögsögu.
16. Hafa samband
Alfa Kennsla ehf.
Kt. 481225-1320
Netfang: alfa@alfakennsla.is
Persónuvernd: personuvernd.is