1. Almenn atriði.
1.1. Markmið og gildissvið
Markmið þessara reglna er að upplýsa notendur á tölvuneti Seltjarnarnesbæjar um hvernig umgangast skuli hugbúnað, tölvupóst, tölvubúnað, internetið og fleira ásamt því að skýra hvernig eftirliti og ábyrgð er háttað.
Markmið reglna er að stuðla að því að jafnvægi ríki milli einkalífsréttar annars vegar og hins
vegar hagsmuna Seltjarnarnesbæjar í að tryggja eðlilegt eftirlit og öryggi með notendum og öðrum sem sæta rafrænni vöktun.
Reglurnar eru hluti af öryggi tölvukerfa Seltjarnarnesbæjar sem falla undir upplýsingaöryggisstefnu bæjarins.
Það er hlutverk hvers notanda að tryggja að tölvubúnaður og tæki séu notuð á eðlilegan hátt í þágu Seltjarnarnesbæjar svo að öryggi og trúnaðar sé gætt og að viðkvæmar upplýsingar komist ekki í hendur óviðkomandi.
1.2. Skilgreiningar
Í reglum þessum hafa eftirfarandi orð merkingu sem hér greinir:
Notandi er tölvunotandi á tölvuneti Seltjarnarnesbæjar, starfsmaður, nemandi, verktakar og aðrir sem hafa fengið aðgang að tölvubúnaði í eigu og/eða í notkun hjá Seltjarnarnesbæ.
Einkatölvupóstur er tölvupóstur sem notandi hjá Seltjarnarnesbæ sendir eða móttekur með vél- eða hugbúnaði bæjarins, og lýtur að einkamálefnum hans en varðar hvorki hagsmuni Seltjarnarnesbæjar né starfsemi hennar.
Netnotkun merkir notkun notenda á þeim hug- og vélbúnaði sem Seltjarnarnesbær lætur honum í té, t.d. til að vafra um netið, til að taka við og senda tölvupóst eða til snarspjalls (Facebook, Svarbox o.fl.).
Netvöktun með netvöktun er bæði átt við óreglubundnar athuganir vegna tilfallandi atvika og viðvarandi eða reglubundið endurtekið eftirlit með netnotkun starfsmanna. Netvöktun er ekki framkvæmd hjá bænum á notenda útstöðvum.
Atburðaskráning er aðgerð til að tryggja rekjanleika upplýsinga og vinnsluaðgerða í tölvukerfum (þ.e. með log-skrám).
Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum sem fram fer með fjarstýrðum eða sjálfvirkum búnaði.
Hugtakið tekur til:
• vöktunar sem felur í sér vinnslu persónuupplýsinga, eða leiðir, á að leiða eða getur leitt til slíkrar vinnslu
• vöktunar sem hvorki felur í sér söfnun myndefnis né annarra persónuupplýsinga
Rafræn vöktun fer ekki fram hjá bænum á notenda útstöðvum.
2. Notkun.
2.1. Meðferð notandanafns og aðgangsorða
Upplýsingakerfi Seltjarnarnesbæjar eru varin með notandanafni og aðgangsorði. Notanda er úthlutað notandanafni og aðgangsorði og er hann ábyrgur fyrir notkun þeirra. Notanda ber að sjá til þess að aðgangslyklar og leyniorð að tölvubúnaði komist ekki í hendur óviðkomandi. Leiki grunur á að leyniorð hafi komist í hendur óviðkomandi ber að skipta um það án tafar.
2.2. Meðferð gagna og skjalavistun
Stofnanir bæjarins skulu setja sér reglur um skjalavistun í samræmi við samþykktir, lög og reglugerðir þar um. Notanda ber að fara að þeim reglum og vista skjöl, þar með talinn tölvupóst, samkvæmt þeim. Trúnaðarskjöl skulu vistuð með aðgangsstýringu. Stofnanir bæjarins setja sér skjalavistunarreglur í samráði við skjalastjóra bæjarins. Notanda ber að gæta að umfangi þeirra gagna sem hann vistar t.d. með að forðast margvistun skjala og eyða eldri útgáfum.
Við starfs- eða námslok er notanda óheimilt að eyða gögnum úr tölvukerfum, öðrum en einkagögnum, nema í samráði við yfirmann sinn. Skal notanda gefinn kostur á að taka afrit af einkatölvupósti. Óheimilt er við starfslok að framsenda tölvupóst úr netfangi viðkomandi notanda.Við starfslok eru pósthólfi og heimasvæði notanda eytt ásamt öllum gögnum sem þar eru hýst nema yfirmaður ákveði annað.
2.3. Meðferð tölvupósts
Notendur skulu vanda frágang tölvupósts, stafsetningu og málfar. Gæta skal almennrar kurteisi í tölvupósti og hafa í huga að sá sem fær tölvupóstinn getur sent hann áfram. Notendur skulu taka reglulega til í tölvupósthólfi sínu, eyða tölvupósti sem ekki þarf að geyma og færa annað efni í skjalavistunarkerfi stofnunar til varðveislu. Sé starfsmaður fjarverandi um tíma skal gera ráðstafanir til að tölvupóstur liggi ekki óafgreiddur. Starfsmaður skal hafa í huga að samskipti um Netið eru ekki með öllu örugg og oft hentar tölvupóstur ekki fyrir viðkvæm gögn eða trúnaðarupplýsingar, einkum vegna hættu á að óviðkomandi geti komist yfir og lesið tölvupóstinn einhvers staðar á leið hans eða hann glatist. Starfsmaður ber ábyrgð á að eftirfarandi grein birtist í neðanmálstexta tölvupósts: “Sá sem fyrir tilviljun, mistök eða án sérstakrar heimildar tekur við símskeytum, myndum eða öðrum fjarskiptamerkum og táknum eða hlustar á símtöl má ekki skrá neitt slíkt hjá sér eða notfæra sér það á nokkurn hátt. Jafnframt ber honum að tilkynna sendanda að upplýsingar hafi ranglega borist sér. Skylt er að gæta fyllsta trúnaðar í slíkum tilfellum, sbr. 5.mgr.47.gr. fjarskiptalaga nr.81/2003”. Í stað þessa texta má nota : Reglur um trúnað í tölvupóstsamskiptum.
2.4. Uppsetning tölvubúnaðar
Seltjarnarnesbær leggur til þann hugbúnað sem settur er í tölvur í eigu bæjarins. Umsjónarmenn tölvumála sjá um uppsetningu tölvubúnaðar. Öðrum notendum er óheimilt að setja upp hugbúnað á tölvur bæjarins nema í samráði við fjármálastjóra.
2.5. Heimil einkanot
Tölvunotendum Seltjarnarnesbæjar er heimilt að nýta tölvubúnað bæjarins til að vafra um netið, taka við og senda tölvupóst. Heimild þessi er bundin því skilyrði að einkanotkun sé stillt í hóf, komi ekki niður á starfi viðkomandi notanda. Seltjarnarnesbær áskilur sér rétt til að takmarka miðlægt aðgengi að þjónustum sem falla undir einkanot, s.s. Facebook o.s.frv.
2.6. Óheimil notkun
Eftirfarandi meðferð tölvubúnaðar, tölvupósts og tölvunets er notendum óheimil, en ekki er um tæmandi talningu að ræða:
• Sending dreifibréfa með tölvupósti sem er óviðkomandi starfsemi Seltjarnarnesbæjar, t.d. keðjubréfa, eða dreifibréfa vegna sölumennsku eða safnana.
• Auðkenning eða vistun tölvupósts sem eingöngu varðar starfsemi Seltjarnarnesbæjar þannig að ætla megi að um einkapóst starfsmanns sé að ræða. Sjálfvirk áframsending tölvupósts úr tölvupóstkerfi Seltjarnarnesbæjar, t.d. á einkapóstfang starfsmanns utan tölvunets Seltjarnarnesbæjar, nema slíkt sé gert með leyfi forstöðumanna eða annarra yfirmanna sem umboð hafa til að gefa slíkt leyfi.
• Notkun á tölvubúnaði til að senda og eða vista efni sem er ólöglegt, ósiðlegt, illgjarnt, hrottafengið, ærumeiðandi, hatursfullt, hvetur til ólöglegs athæfis eða gefur tilefni til skaðabótakröfu á hendur Seltjarnarnesbæjar.
• Notkun á tölvubúnaði til að nálgast ósiðlegt efni á netinu, svo sem klám, og / eða skoða eða vista slíkt efni í tölvukerfi Seltjarnarnesbæjar eða á öðrum miðli.
• Að opna tölvupóst með viðhengi frá óþekktum sendanda eða að opna viðhengi með tölvupósti sem auðkennd eru með endingunum .exe, .vba, .sit eða .zip, nema þeir séu þess fyrirfram fullvissir að slíkt sé óhætt. Ástæða þessa er hætta á vírussmiti o.fl. sem getur skaðað rekstraröryggi tölvukerfis borgarinnar.
• Að notfæra sér þekkingu sína og aðstöðu til að tengjast tölvukerfum undir notendaheiti eða leyniorði annarra notanda, fara framhjá aðgangsstýringu eða opna og lesa tölvupóst eða skoða aðrar upplýsingar sem þeim eru óviðkomandi.
• Að nota tölvubúnað bæjarins til að sækja stórar skrár svo sem kvikmyndir og tónlist á Netinu. Undantekning á þessu er ef það er vegna starfsemi bæjarins og skal þá leitast til að gera það utan hefðbundins vinnutíma.
• Að vista einkaljósmyndasöfn, tónlistarsöfn og annarskonar einkamargmiðlunarefni á heimasvæðum og sameignarsvæðum Seltjarnarnesbæjar. Þetta gildir bæði um efni tölvupósts og efni viðhengja, sem og aðrar leiðir til vistunar og tölvutækra dreifingar.
2.7. Heimildir stofnana til nánari útfærslu
Einstök svið Seltjarnarnesbæjar hafa heimildir til þess að útfæra og þrengja nánar notkunarheimildir tölvubúnaðar innan þess ramma sem heildarreglur Seltjarnarnesbæjar setja.
3. Eftirlit með notkun.
3.1. Atburðaskráning og rekjanleiki
Notkun á tölvukerfum á tölvuneti Seltjarnarnesbæjar er skráð niður á notandanafn. Upplýsingar um notkun eru notaðar til að tryggja öruggan rekstur og til að hafa eftirlit með því að unnið sé samkvæmt reglum borgarinnar. Gögn sem verða til og tengjast atburðaskráningunni eru aðgangsstýrð með sérstökum lykilorðum og einungis aðgengileg þeim sem vegna starfa sinna þurfa að geta rakið atburði. Óheimilt er að gera ráðstafanir til að varðveita upplýsingar um netnotkun starfsmanns eftir starfslok. Að öðru leyti fer um varðveislu eftir 7. gr. laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000.
3.2. Skoðun einkatölvupósts
Óheimilt er að skoða einkatölvupóst notanda. Til viðmiðunar um það hvort um slíkan póst sé að ræða skal m.a. litið til þess hvort hann sé:
• Auðkenndur sem einkamál í efnislínu (e. subject), eða að öðru leyti þannig að augljóst sé að um einkamálefni er að ræða.
• Vistaður í sérstakri möppu (e. folder) á vinnusvæði notanda í tölvupóstkerfinu sem er auðkennd þannig eða ef af öðru má ráða að um einkamál sé að ræða.
Þrátt fyrir ákvæði 1. mgr. er heimilt að skoða einkatölvupóst notanda ef brýna nauðsyn ber til, s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Slíka skoðun má aðeins framkvæma að fyrirmælum starfsmannastjóra. Ávallt skal þó fyrst leita eftir samþykki notanda ef þess er kostur. Enda þótt notandi neiti að veita slíkt samþykki skal veita honum færi á að vera viðstaddur skoðunina. Geti notandi ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Ef ekki reynist unnt að gera notanda viðvart um skoðunina fyrirfram skal honum gerð grein fyrir henni strax og hægt er. Notandi á rétt á vitneskju um hver eða hverjir hafa skoðað einkatölvupóst hans.
3.3. Starfstengdur tölvupóstur
Starfs- eða námstengdan tölvupóst má skoða ef:
1. Nauðsyn ber til vegna lögmætra hagsmuna Seltjarnarnesbæjar, s.s. til að finna gögn þegar notandi er forfallaður, hefur látið af störfum eða grunur hefur vaknað um misnotkun eða brot í starfi.
2. Nauðsyn ber til vegna tilfallandi atvika, s.s ef endurbætur, viðhald á tölvukerfum eða eftirlit með þeim leiða óhjákvæmilega til þess að tölvupóstur opnast eða þarf að opna. Skoðun á tölvupósti skv. 1. mgr. má aðeins framkvæma að fyrirmælum næsta yfirmanns, en ávallt skal kappkostað að leita eftir samþykki viðkomandi notanda og veita honum kost á að vera viðstaddur skoðunina. Geti notandi ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Þetta á þó ekki við ef brýnir hagsmunir mæla gegn því að beðið sé eftir notanda, s.s. í því tilviki þegar um er að ræða alvarlega bilun í tölvukerfinu, og ekki verði talið að einkalífshagsmunir notandans vegi þyngra. Ríki um það vafi hvort svo sé má ekki skoða tölvupóstinn nema honum hafi fyrst verið veittur kostur á að vera viðstaddur skoðunina. Notandi á rétt á vitneskju um hver eða hverjir hafa skoðað tölvupóst hans.
3.4. Skoðun netvafurs
Óheimilt er að skoða upplýsingar um netvafur einstaks notanda nema fyrir liggi rökstuddur grunur um að notandinn hafi brotið gegn gildandi lögum og reglum eða fyrirmælum bæjarstjóra eða sviðsstjóra. Sé tilefni skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu.
4. Ábyrgð.
4.1. Kynning og birting vinnureglna
Notendum skulu kynntar reglur þessar og tryggja skal að þær séu þeim ávallt aðgengilegar. Kynna skal notendum reglur þessar áður en þeir fá aðgang að tölvukerfum Seltjarnarnesbæjar. Fræða skal notendur um að upplýsingar um uppflettingar þeirra á netinu varðveitast bæði á netþjóni stofnunarinnar og í vafra í tölvu hvers notanda. Kynna skal þeim aðilum sem veita Seltjarnarnesbæ þjónustu við upplýsingatæknikerfin þessar reglur í trúnaðaryfirlýsingu sem þeir undirrita. Reglur þessar, eins og þær eru hverju sinni, skal birta í heild sinni á heimasíðu Seltjarnarnesbæjar og á innri vef Seltjarnarnesbæjar.
4.2. Eftirlit
Eftirlit með því að reglum þessum sé fylgt er í höndum starfsmannastjóra Seltjarnarnesbæjar eða þess sem hann felur slíkt eftirlit sérstaklega og skal vera í samræmi við gildandi lög og reglur hverju sinni. Upplýsingar sem aflað er vegna eftirlits með reglum þessum má eingöngu nota í þágu eftirlitsins með tölvukerfum Seltjarnarnesbæjar. Þær má ekki afhenda öðrum, vinna frekar eða geyma nema með samþykki starfsmanns. Þó er heimilt að afhenda lögreglu efni með upplýsingum um meintan refsiverðan verknað en þá skal gæta þess að eyða öðrum eintökum nema sérstakir lögvarðir hagsmunir standi til annars. Þá er heimilt að nota gögn til að afmarka, setja fram eða verja réttarkröfu vegna dómsmáls og annarra brýnna hagsmuna, t.d. í tengslum við brottvikningu úr starfi. Sá sem sætt hefur eftirliti skv. 1. mgr. á rétt á að skoða gögn þau sem aflað er um hann í tengslum við eftirlitið. Þegar beiðni um slíkt berst til yfirmanns skal hann svo fljótt sem verða má, og eigi síðar en innan 14 daga verða við beiðninni.
4.3. Starfsmenn við kerfisstjórn og notendaaðstoð
Umsjónarmenn upplýsingatæknimála hafa víðtækan aðgang að gögnum vegna starfs síns. Þeim ber að virða trúnað í hvívetna og þeim er ekki heimilt að kynna sér gögn og upplýsingar sem falla utan verksviðs þeirra. Þjónustuaðilum sem annast rekstur tölvukerfa Seltjarnarnesbæjar, þ. á m. tölvupóstkerfis og búnaðar til að tengjast Netinu, er með öllu óheimilt að notfæra sér þekkingu sína og aðstöðu til að tengjast tölvukerfunum undir notendaheiti og leyniorði annarra starfsmanna, fara framhjá aðgangsstýringu, opna og lesa tölvupóst sem þeir kunna að komast yfir við rekstur og viðhald tölvukerfisins. Þetta á m.a. við þegar þeir aðstoða einstaka notendur. Hið sama gildir um skoðun hvers kyns upplýsinga sem kunna að varðveitast í tölvukerfi Seltjarnarnesbæjar um netvafur starfsmanna og önnur persónuleg gögn þeirra.
5. Brot á reglum
5.1. Meðferð brota.
Vakni grunur um að brotið hafi verið gegn reglum þessum skal tilkynna það til næsta yfirmanns, sem tekur ákvörðun um framhald málsins. Ef grunur leikur á um ólöglegt athæfi skal yfirmaður tilkynna það lögreglu að höfðu samráði við starfsmannastjóra.
5.2. Viðurlög við brotum
Brot gegn þessum reglum geta, eins og önnur brot í starfi, varðað áminningu eða ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi/námi, sbr. reglur um réttindi og skyldur starfsmanna og stjórnenda Seltjarnarnesbæjar, ákvæði laga, kjarasamninga og reglugerð um skólareglur í grunnskóla.
6. Gildistaka og tengdar stefnur
Reglur þessar eru settar í samræmi við reglur Persónuverndar nr. 837/2006 um rafræna vöktun, sem settar voru samkvæmt heimild í 5. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 5. gr. laga nr. 81/2002. Yfirfara skal vinnureglur þessar eftir því sem þörf krefur, þó ekki sjaldnar en árlega.
Seltjarnarnesi 12. apríl 2011.