Persónuverndarstefna Persónuverndar
1. Persónuvernd er ábyrgðaraðili að vinnslu persónuupplýsinga
Persónuvernd er ábyrgðaraðili að vinnslu persónuupplýsinga sem fram fer af hálfu stofnunarinnar. Persónuvernd er stjórnvald sem starfar samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Hennar meginhlutverk er að hafa eftirlit með því að vinnsla persónuupplýsinga hjá opinberum aðilum, fyrirtækjum og öðrum aðilum sé í samræmi við persónuverndarlögin.
Persónuvernd er til húsa að Rauðarárstíg 10, 105 Reykjavík.
Sími stofnunarinnar er 510-9600 og netfang hennar er postur [hjá] personuvernd.is.
Nánari upplýsingar um starfsemi Persónuverndar.
2. Persónuverndarfulltrúi Persónuverndar
Þú getur haft samband við persónuverndarfulltrúa Persónuverndar með því að senda tölvupóst á netfangið pvf [hjá] personuvernd.is. Þú getur einnig sent bréf til Persónuverndar en þá skal umslagið merkt persónuverndarfulltrúa.
3. Hvenær vinnur Persónuvernd með persónuupplýsingar?
Í flestum tilvikum fær Persónuvernd persónuupplýsingar beint frá þér þegar:
- þú kvartar til Persónuverndar, sendir inn fyrirspurn, ábendingu, óskar eftir leyfi fyrir vinnslu persónuupplýsinga eða sendir inn önnur erindi
- þú hefur óskað eftir aðgangi að gögnum samkvæmt stjórnsýslulögum, upplýsingalögum eða persónuverndarlögum
- þú hefur skráð þig á málþing á vegum Persónuverndar
- þú hefur sótt um starf hjá okkur, sumarstarf eða starfsnám
- Persónuvernd hefur samið við þig um að sinna ákveðnum verkefnum fyrir stofnunina, t.d. í öryggisúttektum
- þú heimsækir vefsíðu Persónuverndar og samþykkir notkun vefkaka
- þú kemur á fund Persónuverndar og skráir þig á heimsóknarblað
Persónuvernd tekur einnig við persónuupplýsingum frá öðrum en þér í eftirfarandi tilvikum:
- Persónuvernd hefur átt í samskiptum við fyrirtæki eða stjórnvald sem þú starfar fyrir og viðkomandi aðili hefur gefið upp persónuupplýsingar þínar í svari sínu.
- Persónuupplýsingar um þig koma fram í tilkynningu um öryggisbrest eða í ábendingu til stofnunarinnar.
- Sá sem beinir kvörtun eða öðru erindi til Persónuverndar vísar til þín í samskiptum sínum við stofnunina.
- Persónuvernd berst tilkynning um að þú hafir brotið persónuverndarlög.
- Persónuvernd fær persónuupplýsingar þínar við framkvæmd úttektar.
- Persónuvernd fær persónuupplýsingar þínar frá öðrum stjórnvöldum.
- Þú kemur fram fyrir hönd fyrirtækis eða stjórnvalds, t.d. við svörun erinda, beiðni um umsögn o.s.frv.
- Þú hefur verið tilkynnt/ur sem persónuverndarfulltrúi fyrirtækis eða stjórnvalds.
- Umsækjandi um starf vísar til þín sem meðmælanda.
4. Þín réttindi samkvæmt persónuverndarlöggjöfinni
Samkvæmt persónuverndarlöggjöfinni hefur þú ákveðin réttindi og getur þú nýtt þér þau með því að senda beiðni á netfangið postur [hjá] personuvernd.is eða senda bréf til Persónuverndar. Þú þarft ekki að borga neitt fyrir að neyta réttinda þinna. Persónuvernd hefur allt að einn mánuð til að svara erindi þínu en hægt er að framlengja frestinn um tvo mánuði sé beiðnin sérstaklega umfangsmikil.
a. Aðgangsréttur
Þú átt rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem Persónuvernd vinnur um þig. Í sumum tilvikum geta undantekningar frá réttinum átt við, s.s. vegna réttinda annarra sem vega skulu þyngra, en almenna reglan er sú að veita skuli aðganginn.
Ítarlegri upplýsingar um réttinn til aðgangs að persónuupplýsingum.
Þú getur einnig átt rétt á aðgangi að gögnum um þig samkvæmt. stjórnsýslulögum og/eða upplýsingalögum. Hér getur verið ákveðin skörun á milli lagabálka sem meta þarf hverju sinni.
b. Réttur til leiðréttingar
Þú átt rétt á því að fá leiðréttar persónuupplýsingar um þig, sem þú telur rangar. Samkvæmt lögum um opinber skjalasöfn getur Persónuvernd verið óheimilt að breyta gögnum. Hins vegar má óska eftir að koma á framfæri leiðréttingu með athugasemd, sem látin er fylgja gögnunum, þegar við á og/eða að bæta upplýsingum við þær persónuupplýsingar sem stofnunin hefur um þig og þú telur ófullnægjandi.
Ítarlegri upplýsingar um réttinn til leiðréttingar.
c. Réttur til eyðingar /rétturinn til að gleymast
Rétturinn til eyðingar eða rétturinn til að gleymast á ekki við um vinnslu persónuupplýsinga hjá Persónuvernd þar sem stofnunin er bundin að lögum um opinber skjalasöfn til að varðveita allar upplýsingar sem henni berast.
Ítarlegri upplýsingar um réttinn til að gleymast og undantekningar frá honum.
d. Réttur til takmörkunar á vinnslu
Þú átt rétt á að biðja um að vinnsla sé takmörkuð í ákveðnum tilvikum.
e. Réttur til að andmæla vinnslu
Þú átt rétt á að andmæla vinnslu persónuupplýsinga um þig þegar Persónuvernd vinnur þær á grundvelli almannahagsmuna, þ.e. lagaheimildar, eða við beitingu opinbers valds.
Ítarlegri upplýsingar um andmælarétt.
f. Réttur til að flytja eigin gögn
Þessi réttur á eingöngu við þegar upplýsingar eru unnar á grundvelli samþykkis eða við gerð samnings. Persónuvernd starfar á grundvelli laga og byggir því mjög lítinn hluta sinnar vinnslu á persónuupplýsingum á samþykki eða samningi. Því er ólíklegt að þessi réttur eigi við um þá vinnslu sem Persónuvernd framkvæmir, þar sem hún fer nánast eingöngu fram á grundvelli lagaskyldu eða almannahagsmuna.
Ítarlegri upplýsingar um réttinn til flutnings eigin gagna.
g. Kvartanir vegna vinnslu persónuupplýsinga
Ef þú telur að Persónuvernd hafi ekki unnið með lögmætum hætti með persónuupplýsingar þínar skalt þú hafa samband við persónuverndarfulltrúa stofnunarinnar.
5. Hvað er skráð um þig þegar þú notar vefsíðu Persónuverndar?
a. Vefgreining
Persónuvernd notar vefgreiningarforrit frá Siteimprove til þess að greina notkun á vefsíðu stofnunarinnar. Tilgangur þess er að fá fram tölfræðiupplýsingar sem notaðar eru til að betrumbæta og þróa vefsíðuna og þær upplýsingar sem þar eru birtar. Þessar upplýsingar varpa til dæmis ljósi á það hversu margir notendur opna tilteknar undirsíður á vefsíðunni, hversu lengi þær eru skoðaðar, hvaða efni notendur leita að í leitarvélinni á síðunni, frá hvaða vefsíðum notendur koma inn á síðuna og hvers konar vafra þeir nota til að skoða hana.
Til þess að vinna þessar upplýsingar er notast við IP-tölur notenda, en áður en vinnslan fer fram er hluti IP-tölunnar afmáður og þar með eru upplýsingarnar gerðar ópersónugreinanlegar þannig að ekki verður lengur mögulegt að rekja þær til tiltekinna notenda vefsíðunnar. Aðeins fyrstu þrír hlutar IP-tölunnar eru notaðir til þess að taka saman tölfræðiupplýsingar, sbr. framangreint. Sem dæmi má nefna að ef IP-talan er 195.159.103.82 þá er notast við töluna 195.159.103.xx. Þá er ekki unnið með hverja IP-tölu fyrir sig heldur eru gögnin að baki IP-tölum notenda vefsíðunnar sameinuð áður en þau eru unnin.
Sú vinnsla persónuupplýsinga sem fram fer í tengslum við vefgreiningu á vefsíðu Persónuverndar, sbr. framangreint, styðst við heimild í 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. f-lið 1. mgr. 6. gr. persónuverndarreglugerðar (ESB) 2016/679, en samkvæmt þessum ákvæðum er heimilt að vinna með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Hinir lögmætu hagsmunir eru hér fólgnir í því að Persónuvernd geti veitt notendum vefsíðunnar betri þjónustu og sinnt fræðslu- og leiðbeiningarhlutverki sínu betur.
b. Vefkökur
Vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvunni þinni eða í öðrum snjalltækjum þegar þú heimsækir vefsíðu. Vefkökur frá fyrsta aðila (e. first-party cookies) koma frá sama léni og vefsíðan sem þú heimsækir (í þessu tilviki personuvernd.is), á meðan vefkökur frá þriðja aðila (e. third-party cookies) eru vefkökur sem koma frá öðrum lénum.
Vefsíða Persónuverndar notar þær vefkökur frá fyrsta aðila sem nauðsynlegar eru fyrir virkni vefsins. Þá eru vefkökur jafnframt notaðar í þágu vefgreiningar, sbr. umfjöllun í kafla 5a.
c. „Var efnið hjálplegt?“
Fyrir neðan greinarnar á vefsíðunni eru hnappar þar sem þú getur gefið til kynna hvort þér fannst efni vefsíðunnar hjálplegt eða ekki. Persónuvernd notar svarið til þess að betrumbæta innihald vefsíðunnar. Ekki er hægt að rekja svarið aftur til þín nema þú kjósir að skilja eftir persónugreinanlegar upplýsingar um þig í athugasemd þinni. Ekki er ætlast til þess að fyrirspurnum sé beint hér í gegn eða að persónuupplýsingar séu gefnar upp.
Heimild til þessa er í 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. pvrg.
6. Hvað er skráð þegar þú hefur samband við Persónuvernd?
a. Símtöl
Símanúmer þeirra sem hringja á skiptiborð Persónuverndar eru ekki skráð sjálfkrafa hjá stofnuninni. Óskir þú eftir að skilja eftir erindi til starfsmanna Persónuverndar er skráð nafn, símanúmer og eftir atvikum hvert erindið er. Þær upplýsingar eru geymdar í 60 daga. Ekki eru skráðar viðkvæmar persónuupplýsingar. Þá er skráður fjöldi þeirra símtala sem Persónuvernd berst í hverjum mánuði og hve lengi hvert símtal varir.
Þegar þú hefur samband við Persónuvernd símleiðis og óskar ráðgjafar eða leiðbeininga skrá starfsmenn/lögfræðingar stofnunarinnar niður efni símtalsins í sérstaka símtalaskrá. Nafn þitt og aðrar tengiliðaupplýsingar eru aðeins skráðar ef þú gefur þær upp. Það er hins vegar ekki nauðsynlegt til að sérfræðingar Persónuverndar geti veitt þér upplýsingar og ráðgjöf í gegnum síma. Tilgangurinn með því að skrá efni símtala er tvíþættur:
- Að halda utan um hvers eðlis þau símtöl eru sem berast á símatíma, þar sem það getur bent til þess að bæta þurfi fræðslu um tiltekin atriði, t.d. á vefsíðu Persónuverndar.
- Að geta sannreynt hvað kom fram í símtalinu, ef upp kemur ágreiningur milli þín og Persónuverndar.
Persónuvernd tekur ekki upp símtöl.
Þegar þú hringir í Persónuvernd utan símatíma í tengslum við tiltekið mál sem er til meðferðar hjá Persónuvernd er efni símtalsins og tengiliðaupplýsingar þínar skráðar í minnisblað undir því máli. Persónuvernd er skylt samkvæmt upplýsingalögum að skrá upplýsingar um málsatvik sem veittar eru munnlega. Þá er Persónuvernd einnig skylt að halda til haga mikilvægum upplýsingum, m.a. um samskipti við almenning.
b. Tölvupóstur
Þegar þú hefur samband við Persónuvernd í gegnum tölvupóst skaltu hafa í huga að tölvupósturinn þinn getur verið ódulkóðaður sem þýðir að mögulegt er fyrir óviðkomandi að lesa póstinn í sendingu. Því skaltu forðast það að tölvupósturinn innihaldi viðkvæmar persónuupplýsingar um þig eða aðra. Ef þú þarft að senda Persónuvernd gögn með viðkvæmum persónuupplýsingum er best að nota ábyrgðarpóst eða koma með gögnin á skrifstofu Persónuverndar. Persónuvernd sendir ekki viðkvæmar persónuupplýsingar í tölvupósti, þar sem ekki er hægt að tryggja öryggi upplýsinganna í slíkri sendingu.
Allur tölvupóstur sem Persónuvernd berst er skimaður fyrir tölvuveirum og vistaður í málaskrá Persónuverndar.
c. Fyrirspurnir sendar af vefsíðu Persónuverndar
Hægt er að senda Persónuvernd fyrirspurnir í gegnum vefsíðu stofnunarinnar en þá er skylt að gefa upp nafn, netfang og efni fyrirspurnar. Einnig er hægt að gefa upp símanúmer, en það er valkvætt. Tilgangur þess að skrá upplýsingar um nafn, netfang og símanúmer er að starfsmenn Persónuverndar geti haft samband við þig, hvort sem er í tölvupósti eða í síma, og upplýsingar um efni fyrirspurnar eru nauðsynlegar til að Persónuvernd geti svarað henni. Fyrirspurnin er vistuð í grunni vefþjónustuaðila Persónuverndar í 6 mánuði og síðan eytt þaðan. Þegar fyrirspurnin er send berst hún sem tölvupóstur í almennt pósthólf Persónuverndar og hún er svo skráð í málaskrá stofnunarinnar ásamt þeim tengiliðaupplýsingum sem gefnar voru upp. Þegar fyrirspurn er skráð í málaskrá er hún vistuð samkvæmt lögum um opinber skjalasöfn.
d. Bréfpóstur
Persónuvernd varðveitir öll bréf sem stofnuninni berast í skjalasafni stofnunarinnar auk þess sem öll bréf eru skönnuð og vistuð í málaskrá.
e. Heimsókn á skrifstofu Persónuverndar
Almennt tekur Persónuvernd ekki á móti fólki á skrifstofu Persónuverndar nema það eigi bókaðan fund. Þó er ávallt hægt að koma á skrifstofu stofnunarinnar á opnunartíma og afhenda eða sækja gögn. Persónuvernd skráir nöfn þeirra sem eiga erindi inn á skrifstofuna, svo sem til fundarsetu eða iðnaðarmenn, og upplýsingar um frá hvaða fyrirtæki/stofnun viðkomandi kemur. Þær upplýsingar eru geymdar í 30 daga.
Komi einstaklingur á fund kunna að vera skráðar upplýsingar í fundargerð eða minnisblaði um fund.
7. Vinnsla persónuupplýsinga þegar þú hefur samband við Persónuvernd
a. Fyrirspurnir og ráðgjöf
Þegar þú hefur samband við Persónuvernd með fyrirspurn eða biður um ráðgjöf vinnur Persónuvernd með persónuupplýsingar um þig til að geta svarað þér. Persónuvernd vinnur eingöngu með upplýsingar sem nauðsynlegt er að vinna með til að geta svarað spurningum þínum. Til dæmis vinnur Persónuvernd upplýsingar um netfangið þitt og nafn þegar fyrirspurnum er svarað í tölvupósti.
Persónuupplýsingar í fyrirspurnum eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Heimilt er að vinna framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, sbr. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. pvrg.
b. Kvartanir til Persónuverndar
Þegar Persónuvernd vinnur úr kvörtunum eru unnar persónuupplýsingar, t.d. tengiliðaupplýsingar og aðrar upplýsingar sem eru nauðsynlegar til að vinna úr málinu.
Persónuupplýsingar í kvörtunarmálum eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Persónuvernd er heimilt að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, skv. 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. pvrg. Heimilt er að vinna viðkvæmar persónuupplýsingar í tengslum við kvartanir ef slík vinnsla er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fer fram á grundvelli laga, skv. 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 9. gr. pvrg.
c. Leyfisveitingar
Þegar Persónuvernd berst umsókn um leyfi til vinnslu persónuupplýsinga er unnið með tengiliðaupplýsingar þess einstaklings sem sækir um leyfið, ef það á við, og eftir atvikum tengiliðaupplýsingar þess sem kemur fram f.h. þess sem afhendir upplýsingar, t.d. starfsmanns stjórnvalds. Þá er unnið með aðrar persónuupplýsingar sem veittar eru í umsókninni, eftir atvikum, en einkum eru það upplýsingar um nöfn, símanúmer og netföng annarra einstaklinga sem koma að umsókninni. Á Persónuvernd hvílir lagaskylda til að afgreiða leyfisumsóknir sem henni berast og eru tengiliðaupplýsingarnar nauðsynlegar til að hægt sé að afhenda leyfi réttum aðila.
Sama á við um þær umsóknir sem Persónuvernd berast til umsagnar vegna vísindarannsókna á heilbrigðissviði.
Umsóknir um leyfi, ásamt fylgigögnum, eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Öll vinnsla persónuupplýsinga í tengslum við leyfisveitingar og umsagnir vegna vísindarannsókna á heilbrigðissviði byggist á lagaskyldu sem hvílir á Persónuvernd, skv. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. pvrg.
d. Ábendingar
Persónuvernd skráir allar ábendingar um möguleg brot á persónuverndarlöggjöfinni sem henni berast í málaskrá stofnunarinnar. Berist ábendingin með tölvupósti er netfang og nafn sendandans skráð. Berist Persónuvernd skriflegt erindi, sem ekki snertir starfssvið hennar, áframsendir hún erindið á réttan stað svo fljótt sem unnt er, sbr. 2. mgr. 7. gr. stjórnsýslulaga. Er það almennt gert að höfðu samráði við þann sem sendi erindið, sé þess nokkur kostur. Berist ábendingin á símatíma, án þess að þú gefir nafn þitt upp, er eingöngu efni ábendingarinnar skráð.
Ábendingar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Heimilt er að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, skv. 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. pvrg. Heimild til vinnslu viðkvæmra persónuupplýsinga er í 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 9. gr. pvrg.
e. Beiðnir um aðgang að gögnum eða upplýsingum
Persónuvernd skráir allar beiðnir frá einstaklingum um aðgang að upplýsingum, hvort sem þær byggja á persónuverndarlögum, stjórnsýslulögum eða upplýsingaréttarlögum.
Aðgangsréttarbeiðnir eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Heimilt er að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, skv. 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. pvrg. Heimild til vinnslu viðkvæmra persónuupplýsinga er í 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 9. gr. pvrg.
f. Skráning á málþing á vegum Persónuverndar
Þegar Persónuvernd heldur málþing biður hún þá sem hyggjast mæta að skrá sig með því að senda tölvupóst á tiltekið netfang. Tilgangur þessa er að halda utan um fjölda þeirra sem hyggjast mæta á málþingið og áætla stærð fundarstaðar út frá því. Einstaklingum er þó ávallt frjálst að mæta á málþing þó þeir hafi ekki skráð sig sérstaklega, svo lengi sem húsrúm leyfir.
Skráningar á málþing á vegum Persónuverndar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Heimilt er að vinna framangreindar upplýsingar á grundvelli samþykkis, skv. 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. pvrg.
g. Tilkynningar sendar á grundvelli eldri laga
Samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, var skylt að tilkynna til Persónuverndar ákveðnar tegundir vinnslu. Sú tilkynningarskylda er nú fallin brott en Persónuvernd er eftir sem áður skylt að varðveita þær upplýsingar sem bárust í tilkynningunum. Þær persónuupplýsingar sem koma fram í tilkynningum eru einkum nafn, heimilisfang, símanúmer, netfang og kennitala viðkomandi einstaklings, ef hann var sjálfur ábyrgðaraðili, en ef ábyrgðaraðilinn var lögaðili var jafnframt skráð nafn þess sem sendi tilkynninguna inn. Þá var skráð nafn og stöðuheiti þess sem bar ábyrgð á öryggisráðstöfunum.
Framangreindar tilkynningar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Heimilt er að varðveita framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, skv. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. pvrg.
8. Starfsmenn ábyrgðaraðila eða vinnsluaðila
a. Tilkynningar um öryggisbrest
Persónuvernd heldur utan um allar tilkynningar um öryggisbresti í málaskrá. Í tilkynningunum koma fram upplýsingar um tengilið viðkomandi fyrirtækis eða stofnunar og upplýsingar um öryggisbrestinn.
Framangreindar tilkynningar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Heimilt er að varðveita framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, skv. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. pvrg.
b. Skrá yfir persónuverndarfulltrúa
Samkvæmt 7. mgr. 37. gr. pvrg. skulu ábyrgðaraðilar og vinnsluaðilar senda Persónuvernd samskiptaupplýsingar persónuverndarfulltrúa síns. Þetta á við hafi persónuverndarfulltrúi verið skipaður, óháð því hvort það er skylt eða valkvætt. Vegna þessa heldur Persónuvernd sérstaka skrá yfir tilkynnta persónuverndarfulltrúa þar sem fram kemur nafn þeirra, fyrir hvern þeir starfa, netfang og símanúmer.
Tilgangur skrárinnar er að Persónuvernd hafi yfirlit yfir alla starfandi persónuverndarfulltrúa, t.d. þannig að hægt sé að ná sambandi við þá í tengslum við eftirlit stofnunarinnar eða kvörtunarmál sem geta komið upp. Til viðbótar getur Persónuvernd miðlað upplýsingum til almennings um hver persónuverndarfulltrúi viðkomandi ábyrgðaraðila eða vinnsluaðila er. Þá getur Persónuvernd einnig notað skránna til að koma á framfæri mikilvægum upplýsingum til persónuverndarfulltrúanna.
Framangreindar upplýsingar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.
Heimilt er að varðveita framangreindar upplýsingar á grundvelli 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-liðar 1. mgr. 6. gr. pvrg.
9. Upplýsingar um starfsmenn og umsækjendur um störf
a. Starfsmenn
Persónuvernd vinnur með persónuupplýsingar um starfsmenn sína til að geta greitt þeim laun fyrir störf sín. Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun, s.s. tengiliðaupplýsingar, launaflokkur, tímaskráningar, skattþrep, stéttarfélagsaðild, bankaupplýsingar, lífeyrissjóðsupplýsingar og skuldir við innheimtumann ríkissjóðs. Einnig eru aðgerðir starfsmanna í málaskrá stofnunarinnar, skráðar í aðgerðaskrá. Aðrar upplýsingar eru tengdar starfslýsingu starfsmanns.
Nánar er fjallað um vinnslu persónuupplýsinga um starfsmenn í innri persónuverndarstefnu Persónuverndar.
Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að efna samning sem hinn skráði er aðili að, skv. 2. tölul. 9. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 6. gr. pvrg. Heimilt er að vinna upplýsingar um stéttarfélagsaðild á grundvelli samþykkis starfsmanns, skv. 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. a-lið 9. gr. pvrg. Öllum starfsmönnum er frjálst að gefa upp hvort, og þá í hvaða stéttarfélag, þeir eru skráðir og hefur það engin áhrif á ráðningar í störf hjá stofnuninni.
Framangreindar upplýsingar eru skráðar í málaskrá stofnunarinnar.
b. Umsækjendur um störf
Persónuvernd vinnur með persónuupplýsingar þeirra sem sækja um starf hjá stofnuninni. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna, s.s. tengiliðaupplýsingar, ferilskrá, kynningarbréf, upplýsingar um menntun, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur.
Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, skv. 2. tölul. 9. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 6. gr. pvrg.
Framangreindar upplýsingar eru skráðar í málaskrá stofnunarinnar.
10. Upplýsingaöryggi og vinnsluaðilar hjá Persónuvernd
a. Upplýsingaöryggi
Persónuvernd hefur útbúið upplýsingaöryggiskerfi til að tryggja vernd persónuupplýsinga í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga. Upplýsingaöryggiskerfið nær til allra helstu lykilkerfa stofnunarinnar. Þannig hefur Persónuvernd sett sér upplýsingaöryggisstefnu, gert áhættumat og viðeigandi öryggisráðstafanir til að tryggja öryggi kerfa stofnunarinnar.
b. Notkun vinnsluaðila
Tölvukerfi
Persónuverndar eru rekin innan stofnunarinnar og hýst hjá einum ytri
þjónustuaðila, Opnum Kerfum hf.
Vefsíða Persónuverndar er hýst hjá Hugsmiðjunni ehf., innan EES. Engin tenging
er á milli vefsíðunnar og annarra tölvukerfa Persónuverndar.
Stærsti vinnsluaðili Persónuverndar er Opin Kerfi hf. Opin Kerfi hf. þjónusta
útstöðvar, AD netþjón, eldvegg og póstþjón.
Málaskrárkerfið GoPro Foris er þróað af vinnsluaðila stofnunarinnar, Hugviti
hf. Málaskrárkerfið er rekið á netþjóni Opinna Kerfa hf. Öll samskipti á milli
útstöðva Persónuverndar og netþjónsins fara fram í gegnum dulkóðaða tengingu.
Póstþjónn Persónuverndar er einnig rekinn á netþjóni Opinna Kerfa hf.
Tilkynningagátt
um öryggisbresti er rekin sameiginlega fyrir Persónuvernd, Póst- og
fjarskiptastofnun/CERT-IS og Lögreglunnar. Tilkynningagáttin er forrituð, hýst
og í umsjón hjá Advania hf.
Afritataka er í umsjón Opinna Kerfa hf.
Fyrirtækið Halló ehf. sér um símsvörun fyrir Persónuvernd. Starfsmenn þar skrá einungis niður nafn þeirra sem óska eftir samtali við Persónuvernd, símanúmer og eftir atvikum netfang og stutta lýsingu á erindi. Þeir starfsmenn Halló ehf. sem sinna símsvörun hafa allir undirritað þagnarskylduyfirlýsingu gagnvart Persónuvernd.
Persónuvernd notar hugbúnaðinn Microsoft Teams sem fjarfundabúnað. Ekki er heimilt að nota Teams til að ræða viðkvæm málefni tengd starfsemi Persónuverndar. Þá er óheimilt að nota netspjallið í Teams til að ræða mál sem eru til meðferðar hjá Persónuvernd.
11. Endurskoðun og ábyrgð
Forstjóri ber ábyrgð á stefnunni og að henni sé framfylgt. Stefnuna skal endurskoða árlega, eða oftar ef tilefni gefst.