Persónuverndarstefna Persónuverndar

1.       Persónuvernd er ábyrgðaraðili að vinnslu persónuupplýsinga

Persónuvernd er ábyrgðaraðili að vinnslu persónuupplýsinga sem fram fer af hálfu stofnunarinnar.  Persónuvernd er stjórnvald sem starfar samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Hennar meginhlutverk er að hafa eftirlit með því að vinnsla persónuupplýsinga hjá opinberum aðilum, fyrirtækjum og öðrum aðilum sé í samræmi við persónuverndarlögin.

Persónuvernd er til húsa að Rauðarárstíg 10, 105 Reykjavík.

Sími stofnunarinnar er 510-9600 og netfang hennar er postur@personuvernd.is.

Nánari upplýsingar um starfsemi Persónuverndar.

2.       Persónuverndarfulltrúi Persónuverndar

Persónuvernd hefur tilnefnt Steinunni Birnu Magnúsdóttur, lögfræðing hjá stofnuninni, sem persónuverndarfulltrúa. Netfang persónuverndarfulltrúans er pvf@personuvernd.is. Þú getur einnig sent bréf til Persónuverndar en þá skal umslagið merkt persónuverndarfulltrúanum.

3.       Hvenær vinnur Persónuvernd með persónuupplýsingar?

Í flestum tilvikum fær Persónuvernd persónuupplýsingar beint frá þér þegar:

  • þú kvartar til Persónuverndar, sendir inn fyrirspurn eða ábendingu eða óskar eftir leyfi fyrir vinnslu persónupplýsinga.
  • þú hefur óskað eftir aðgangi að gögnum samkvæmt stjórnsýslulögum, upplýsingalögum eða persónuverndarlögum.
  • þú hefur skráð þig á málþing eða póstlista á vegum Persónuverndar.
  • þú hefur sótt um starf hjá okkur, sumarstarf eða starfsnám.
  • Persónuvernd hefur samið við þig um að sinna ákveðnum verkefnum fyrir stofnunina, t.d. í öryggisúttektum.

Persónuvernd tekur einnig við persónuupplýsingum frá öðrum en þér sjálfri/sjálfum í eftirfarandi tilvikum:

  • Persónuvernd hefur átt í samskiptum við fyrirtæki eða stjórnvald sem þú starfar fyrir og viðkomandi aðili hefur gefið upp persónuupplýsingar þínar í svari sínu.
  • Persónuupplýsingar um þig koma fram í tilkynningu um öryggisbrest.
  • Sá sem beinir kvörtun eða öðru erindi til Persónuverndar vísar til þín í samskiptum sínum við stofnunina.
  • Persónuvernd berst tilkynning um að þú hafir brotið persónuverndarlög.
  • Persónuvernd fær persónuupplýsingar þínar við framkvæmd úttektar.
  • Persónuvernd fær persónuupplýsingar þínar frá öðrum stjórnvöldum.
  • Þú kemur fram fyrir hönd fyrirtækis eða stjórnvalds, t.d. við svörun erinda, beiðni um umsögn o.s.frv.
  •  Þú hefur verið tilkynnt/ur sem persónuverndarfulltrúi fyrirtækis eða stjórnvalds.
  • Umsækjandi um starf vísar til þín sem meðmælanda.

4.       Þín réttindi samkvæmt persónuverndarlöggjöfinni

Samkvæmt persónuverndarlöggjöfinni hefur þú ákveðin réttindi og getur þú nýtt þér þau með því að senda beiðni á netfangið rettindi@personuvernd.is eða hafa samband í síma 510-9600. Þú þarft ekki að borga neitt fyrir að neyta réttinda þinna. Persónuvernd hefur einn mánuð til að svara erindi þínu en hægt er að framlengja frestinn um tvo mánuði sé beiðnin sérstaklega umfangsmikil.

a.      Aðgangsréttur

Þú átt rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem Persónuvernd vinnur um þig. Í sumum tilvikum geta undantekningar frá réttinum átt við, s.s. vegna réttinda annarra sem vega skulu þyngra, en almenna reglan er sú að veita skuli aðganginn.

Ítarlegri upplýsingar um réttinn til aðgangs að persónuupplýsingum.

Þú getur einnig átt einnig rétt á aðgangi að gögnum um þig sjálfa/sjálfan samkvæmt 15. gr. stjórnsýslulaga nr. 37/1993, þar sem fjallað er um rétt aðila máls til aðgangs að málsgögnum, og samkvæmt 14. gr. upplýsingalaga nr. 140/2012. Hér getur verið ákveðin skörun á milli lagabálka sem meta þarf hverju sinni.

b.      Réttur til leiðréttingar

Þú átt rétt á því að fá leiðréttar persónuupplýsingar um þig, sem þú telur rangar. Þó skal tekið fram að með hliðsjón af ákvæðum laga nr. 77/2014 um opinber skjalasöfn er Persónuvernd oft óheimilt að breyta gögnum sem stofnunin býr yfir, en þá kann að vera mögulegt að koma leiðréttingu á framfæri með athugasemd, sem látin er fylgja gögnunum, þegar við á. Þú getur einnig beðið Persónuvernd um að bæta upplýsingum við þær persónuupplýsingar sem stofnunin hefur um þig og þú telur ófullnægjandi.

Ítarlegri upplýsingar um réttinn til leiðréttingar.

c.       Réttur til eyðingar /rétturinn til að gleymast

Rétturinn til eyðingar eða rétturinn til að gleymast á ekki við um vinnslu persónuupplýsinga hjá Persónuvernd þar sem stofnunin er bundin að lögum um opinber skjalasöfn til að varðveita allar upplýsingar sem henni berast. Í persónuverndarlögum er sérstaklega tekið fram að réttur til eyðingar persónuupplýsinga og til að gleymast eigi ekki við þegar lög mæla fyrir um að upplýsingarnar skuli varðveittar. Þannig gildir rétturinn til eyðingar/rétturinn til að gleymast ekki um persónuupplýsingar sem Persónuvernd vinnur.

Ítarlegri upplýsingar um réttinn til að gleymast og undantekningar frá honum.

d.      Réttur til takmörkunar á vinnslu

Þú átt rétt á að biðja um að vinnsla sé takmörkuð í ákveðnum aðstæðum.

e.      Réttur til að andmæla vinnslu

Þú átt rétt á að andmæla vinnslu persónuupplýsinga um þig þegar Persónuvernd vinnur persónuupplýsingar um þig á grundvelli almannahagsmuna, þ.e. lagaheimildar, eða við beitingu opinbers valds.

Ítarlegri upplýsingar um andmælarétt.

f.        Réttur til að flytja eigin gögn

Þessi réttur á eingöngu við þegar upplýsingar eru unnar á grundvelli samþykkis eða við gerð samnings. Persónuvernd starfar á grundvelli laga og byggir því mjög lítinn hluta sinnar vinnslu á persónuupplýsingum á samþykki eða samningi. Því er ólíklegt að þessi réttur eigi við um þá vinnslu sem Persónuvernd framkvæmir, þar sem hún fer nánast eingöngu fram á grundvelli lagaskyldu eða almannahagsmuna.

Ítarlegri upplýsingar um réttinn til flutnings eigin gagna.

g.      Kvartanir vegna vinnslu persónuupplýsinga

Ef þú telur að Persónuvernd hafi ekki unnið með lögmætum hætti með persónuupplýsingar þínar skalt þú hafa samband við persónuverndarfulltrúa stofnunarinnar.

5.       Hvað er skráð um þig þegar þú notar vefsíðu Persónuverndar?

a.      Vefkökur

Vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvunni þinni eða í öðrum snjalltækjum þegar þú heimsækir vefsíðu. Vefkökur frá fyrsta aðila (e. first-party cookies) koma frá sama léni og vefsíðan sem þú heimsækir (í þessu tilviki personuvernd.is), á meðan vefkökur frá þriðja aðila (e. third-party cookies) eru vefkökur sem koma frá öðrum lénum.

Vefsíða Persónuverndar notar hvorki vefkökur frá fyrsta né þriðja aðila.

b.      Leitarvél

Persónuvernd geymir ekki upplýsingar um hvaða leitarorð þú slærð inn í leitarvél vefsíðunnar.

c.       „Var efnið hjálplegt?“

Fyrir neðan greinarnar á vefsíðunni eru hnappar þar sem þú getur gefið til kynna hvort þér fannst efni vefsíðunnar hjálplegt eða ekki. Persónuvernd notar svarið til þess að betrumbæta innihald vefsíðunnar. Ekki er hægt að rekja svarið aftur til þín nema þú kjósir sjálf/ur að skilja eftir persónugreinanlegar upplýsingar um þig í athugasemd þinni. Ekki er ætlast til þess að fyrirspurnum sé beint hér í gegn eða að persónuupplýsingar séu gefnar upp.

Heimild til þessa er í a-lið 1. mgr. 6. gr. pvrg. , sbr. 1. tölul. 9. gr. laga nr. 90/2018.

6.       Hvað er skráð þegar þú hefur samband við Persónuvernd?

a.      Símtöl

Símanúmer þeirra sem hringja á skiptiborð Persónuverndar eru ekki skráð sjálfkrafa hjá stofnuninni. Óskir þú eftir að skilja eftir erindi eða símboð til starfsmanna Persónuverndar er skráð nafn, símanúmer og eftir atvikum hvert erindið er. Þær upplýsingar eru geymdar í 60 daga. Ekki eru skráðar viðkvæmar persónuupplýsingar. Þá er skráður fjöldi þeirra símtala sem Persónuvernd berst í hverjum mánuði og hve lengi hvert símtal varir.

Þegar þú hefur samband við Persónuvernd símleiðis og óskar ráðgjafar eða leiðbeininga skrá starfsmenn/lögfræðingar stofnunarinnar niður efni símtalsins í sérstaka símtalaskrá. Nafn þitt og aðrar tengiliðaupplýsingar eru aðeins skráðar ef þú gefur þær sjálf/ur upp. Það er hins vegar ekki nauðsynlegt til að sérfræðingar Persónuverndar geti veitt þér upplýsingar og ráðgjöf í gegnum síma. Tilgangurinn með því að skrá efni símtala er tvíþættur:

  • Að halda utan um hvers eðlis þau símtöl eru sem berast á símatíma, þar sem það getur bent til þess að bæta þurfi fræðslu um tiltekin atriði, t.d. á vefsíðu Persónuverndar.
  • Að geta sannreynt hvað kom fram í símtalinu, ef upp kemur ágreiningur milli þín og Persónuverndar.

Persónuvernd tekur ekki upp símtöl.

Þegar þú hringir í Persónuvernd utan símatíma í tengslum við tiltekið mál sem er til meðferðar hjá Persónuvernd er efni símtalsins og tengiliðaupplýsingar þínar skráðar í minnisblað undir því máli. Persónuvernd er skylt samkvæmt upplýsingalögum að skrá upplýsingar um málsatvik sem veittar eru munnlega. Þá er Persónuvernd einnig skylt að halda til haga mikilvægum upplýsingum, m.a. um samskipti við almenning.

b.      Tölvupóstur

Þegar þú hefur samband við Persónuvernd í gegnum tölvupóst skaltu hafa í huga að tölvupósturinn þinn getur verið ódulkóðaður sem þýðir að mögulegt er fyrir óviðkomandi að lesa póstinn í sendingu. Því skaltu forðast það að tölvupósturinn innihaldi viðkvæmar persónuupplýsingar um þig sjálfa/n eða aðra. Ef þú þarft að senda Persónuvernd gögn með viðkvæmum persónuupplýsingum er best að nota ábyrgðarpóst eða koma með gögnin á skrifstofu Persónuverndar. Persónuvernd sendir ekki viðkvæmar persónuupplýsingar í tölvupósti, þar sem ekki er hægt að tryggja öryggi upplýsinganna í slíkri sendingu.

Allur tölvupóstur sem Persónuvernd berst er skimaður fyrir tölvuveirum og vistaður í málaskrá Persónuverndar.

c.       Fyrirspurnir sendar af vefsíðu Persónuverndar

Hægt er að senda Persónuvernd fyrirspurnir í gegnum vefsíðu stofnunarinnar en þá er skylt að gefa upp nafn, netfang og efni fyrirspurnar. Einnig er hægt að gefa upp símanúmer, en það er valkvætt. Tilgangur þess að skrá uppýsingar um nafn, netfang og símanúmer er að starfsmenn Persónuverndar geti haft samband við þig, hvort sem er í tölvupósti eða í síma, og upplýsingar um efni fyrirspurnar eru nauðsynlegar til að Persónuvernd geti svarað henni. Fyrirspurnin er vistuð í grunni vefþjónustuaðila Persónuverndar í 6 mánuði og síðan eytt. Þegar fyrirspurnin er send berst hún sem tölvupóstur í almennt pósthólf Persónuverndar og hún er svo skráð handvirkt í málaskrárkerfi stofnunarinnar ásamt þeim tengiliðaupplýsingum sem gefnar voru upp.

d.      Bréfpóstur

Persónuvernd varðveitir öll bréf sem stofnuninni berast í skjalasafni stofnunarinnar auk þess sem öll bréf eru skönnuð og vistuð í rafrænu málaskrárkerfi.

e.      Póstlisti Persónuverndar

Þú getur skráð þig á póstlista Persónuverndar og fengið sendar tilkynningar um námskeið og málþing á vegum stofnunarinnar, fréttatilkynningar o.fl. Þegar þú skráir þig á póstlista er netfangið þitt skráð. Þú getur afskráð þig af póstlistanum með því að senda tölvupóst á skraning@personuvernd.is. Heimilt er að vinna framangreindar upplýsingar á grundvelli samþykkis, sbr. a-lið 1. mgr. 6. gr. pvrg., sbr. 1. tölul. 1. mgr. 9. gr. laga nr. 90/2018.

f.        Heimsókn á skrifstofu Persónuverndar

Almennt tekur Persónuvernd ekki á móti fólki á skrifstofu Persónuverndar nema það eigi bókaðan fund. Þó er ávallt hægt að koma á skrifstofu stofnunarinnar á opnunartíma og afhenda eða sækja gögn. Persónuvernd skráir ekki upplýsingar um hverjir koma á skrifstofuna að undanskildu því sem fram kemur í fundargerð eða minnisblaði um fund.

7.       Vinnsla persónuupplýsinga þegar þú hefur samband við Persónuvernd

a.      Fyrirspurnir og ráðgjöf

Þegar þú hefur samband við Persónuvernd með fyrirspurn eða biður um ráðgjöf vinnur Persónuvernd með persónuupplýsingar um þig til að geta svarað þér. Persónuvernd vinnur eingöngu með upplýsingar sem nauðsynlegt er að vinna með til að geta svarað spurningum þínum. Til dæmis vinnur Persónuvernd upplýsingar um netfangið þitt og nafn þegar fyrirspurnum er svarað í tölvupósti.

Persónuupplýsingar í fyrirspurnum eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn.

Heimilt er að vinna framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, sbr. c-lið 1. mgr. 6. gr. pvrg., sbr. 3. tölul. 9. gr. laga nr. 90/2018.

b.      Kvörtun til Persónuverndar

Þegar Persónuvernd vinnur úr kvörtunum eru unnar persónuupplýsingar í þeim tilgangi að beita opinberu valdi, sbr. e-lið 1. mgr. 6. gr. pvrg., sbr. 5. tölul. 9. gr. laga nr. 90/2018. Þær upplýsingar sem hér um ræðir geta t.d. verið tengiliðaupplýsingar og aðrar upplýsingar sem eru nauðsynlegar til að vinna úr málinu, svo sem upplýsingar um refsiverðan verknað, heilsufar, starfsmannamál o.fl.  

Persónuupplýsingar í kvörtunarmálum eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn.

Persónuvernd er heimilt að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, sbr. e-lið 1. mgr. 6. gr. pvrg., sbr.  5. tölul. 9. gr. laga nr. 90/2018. Heimilt er að vinna viðkvæmar persónuupplýsingar í tengslum við kvartanir ef slík vinnsla er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fer fram á grundvelli laga, sbr. g-lið 2. mgr. 9. gr. pvrg., sbr. 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018.

c.       Leyfisveitingar

Þegar Persónuvernd berst umsókn um leyfi til vinnslu persónuupplýsinga er unnið með tengiliðaupplýsingar þess einstaklings sem sækir um leyfið, ef það á við, og eftir atvikum tengiliðaupplýsingar þess sem kemur fram f.h. þess sem afhendir upplýsingar, t.d. starfsmanns stjórnvalds. Þá er unnið með aðrar persónuupplýsingar sem veittar eru í umsókninni, eftir atvikum, en einkum eru það upplýsingar um nöfn, símanúmer og netföng annarra einstaklinga sem koma að umsókninni. Á Persónuvernd hvílir lagaskylda til að afgreiða leyfisumóknir sem henni berast og eru tengiliðaupplýsingarnar nauðsynlegar til að hægt sé að afhenda leyfi réttum aðila.

Sama á við um þær umsóknir sem Persónuvernd berast til umsagnar vegna vísindarannsókna á heilbrigðissviði.

Umsóknir um leyfi, ásamt fylgigögnum, eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn.

Öll vinnsla persónuupplýsinga í tengslum við leyfisveitingar og umsagnir vegna vísindarannsókna á heilbrigðissviði byggist á lagaskyldu sem hvílir á Persónuvernd, sbr. c-lið 1. mgr. 6. gr. pvrg., sbr. 3. tölul. 9. gr. laga nr. 90/2018.

d.      Ábendingar

Persónuvernd skráir allar ábendingar um möguleg brot á persónuverndarlöggjöfinni sem henni berast í málaskrárkerfi sitt. Berist ábendingin með tölvupósti er netfang og nafn sendandans skráð. Berist Persónuvernd skriflegt erindi, sem ekki snertir starfssvið hennar, áframsendir hún erindið á réttan stað svo fljótt sem unnt er, sbr. 2. mgr. 7. gr. stjórnsýslulaga. Er það almennt gert að höfðu samráði við þann sem sendi erindið, sé þess nokkur kostur. Berist ábendingin á símatíma, án þess að þú gefir nafn þitt upp, er eingöngu efni ábendingarinnar skráð.

Ábendingar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn.

Heimilt er að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, sbr. e-lið 1. mgr. 6. gr. pvrg., sbr. 5. tölul. 9. gr. laga nr. 90/2018. Heimild til vinnslu viðkvæmra persónuupplýsinga er í g-lið 9. gr. pvrg., sbr. 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018.

e.      Skráning á málþing á vegum Persónuverndar

Persónuvernd heldur reglulega málþing um persónuvernd og biður þá sem hyggjast mæta að skrá sig með því að senda tölvupóst á tiltekið netfang. Tilgangur þessa er að halda utan um fjölda þeirra sem hyggjast mæta á málþingið og áætla stærð fundarstaðar út frá því. Einstaklingum er þó ávallt frjálst að mæta á málþing þó þeir hafi ekki skráð sig sérstaklega, svo lengi sem húsrúm leyfir.

Skráningar á málþing á vegum Persónuverndar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn.

Heimilt er að vinna framangreindar upplýsingar á grundvelli samþykkis, sbr. a-lið 1. mgr. 6. gr. pvrg., sbr. 1. tölul. 9. gr. laga nr. 90/2018.

f.        Tilkynningar sendar á grundvelli eldri laga

Samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, var skylt að tilkynna til Persónuverndar ákveðnar tegundir vinnslu. Sú tilkynningarskylda er nú fallin brott en Persónuvernd er eftir sem áður skylt að varðveita þær upplýsingar sem bárust í tilkynningunum. Þær persónuupplýsingar sem koma fram í tilkynningum eru einkum nafn, heimilisfang, símanúmer, netfang og kennitala viðkomandi einstaklings, ef hann var sjálfur ábyrgðaraðili, en ef ábyrgðaraðilinn var lögaðili var jafnframt skráð nafn þess sem sendi tilkynninguna inn. Þá var skráð nafn og stöðuheiti þess sem bar ábyrgð á öryggisráðstöfunum.

Framangreindar tilkynningar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn.

Heimilt er að varðveita framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, sbr. c-lið 1. mgr. 6. gr. pvrg., sbr. 3. tölul. 9. gr. laga nr. 90/2018.

8.       Starfsmenn ábyrgðaraðila eða vinnsluaðila

a.      Tilkynningar um öryggisbrest

Persónuvernd heldur utan um allar tilkynningar um öryggisbresti í málaskrárkerfi sínu. Í tilkynningunum koma fram upplýsingar um tengilið viðkomandi fyrirtækis eða stofnunar og upplýsingar um öryggisbrestinn.

Framangreindar tilkynningar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn.

Heimilt er að varðveita framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, sbr. c-lið 1. mgr. 6. gr. pvrg., sbr. 3. tölul. 9. gr. laga nr. 90/2018.

b.      Skrá yfir persónuverndarfulltrúa

Samkvæmt 7. mgr. 37. gr. pvrg. skulu ábyrgðaraðilar og vinnsluaðilar senda Persónuvernd samskiptaupplýsingar persónuverndarfulltrúa síns. Þetta á við hafi persónuverndarfulltrúi verið skipaður, óháð því hvort það er skylt eða valkvætt. Vegna þessa heldur Persónuvernd sérstaka skrá yfir tilkynnta persónuverndarfulltrúa þar sem fram kemur nafn þeirra, fyrir hvern þeir starfa, netfang og símanúmer.

Tilgangur skrárinnar er að Persónuvernd hafi yfirlit yfir alla starfandi persónuverndarfulltrúa, t.d. þannig að hægt sé að ná sambandi við þá í tengslum við eftirlit stofnunarinnar eða kvörtunarmál sem geta komið upp. Til viðbótar getur Persónuvernd miðlað upplýsingum til almennings um hver persónuverndarfulltrúi viðkomandi ábyrgðaraðila eða vinnsluaðila er. Í framtíðinni verður skráin einnig notuð til að koma á framfæri mikilvægum upplýsingum til persónuverndarfulltrúanna.

Framangreindar upplýsingar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Heimilt er að varðveita framangreindar upplýsingar á grundvelli c-liðar 1. mgr. 6. gr. pvrg., sbr. 3. tölul. 9. gr. laga nr. 90/2018.

Að svo stöddu verður skráin ekki birt opinberlega.

9.       Upplýsingar um starfsmenn og umsækjendur um störf

a.      Starfsmenn

Persónuvernd vinnur með persónuupplýsingar um starfsmenn sína til að geta greitt þeim laun fyrir störf sín. Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun, s.s. tengiliðaupplýsingar, launaflokkur, tímaskráningar, skattþrep, stéttarfélagsaðild, bankaupplýsingar, lífeyrissjóðsupplýsingar og skuldir við innheimtumann ríkissjóðs. Aðrar upplýsingar eru tengdar starfslýsingu starfsmanns.

Nánar er fjallað um vinnslu persónuupplýsinga um starfsmenn í innri persónuverndarstefnu Persónuverndar.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að efna samning sem hinn skráði er aðili að , sbr. b-lið 1. mgr. 6. gr. pvrg., sbr. 2. tölul. 9. gr. laga nr. 90/2018. Heimilt er að vinna upplýsingar um stéttarfélagsaðild á grundvelli samþykkis starfsmanns, sbr. a-lið 9. gr. pvrg., sbr. 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Öllum starfsmönnum er frjálst að gefa upp hvort, og þá í hvaða stéttarfélag, þeir eru skráðir og hefur það engin áhrif á ráðningar í störf hjá stofnuninni.

Framangreindar upplýsingar eru skráðar í málaskrá stofnunarinnar.

b.      Umsækjendur um störf

Persónuvernd vinnur með persónuupplýsingar um þig þegar þú sækir um starf hjá stofnuninni. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna, s.s. tengiliðaupplýsingar, ferilskrá, kynningarbréf, upplýsingar um menntun, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. b-lið 1. mgr. 6. gr. pvrg., sbr. 2. tölul. 9. gr. laga nr. 90/2018.

Framangreindar upplýsingar eru skráðar í málskrá stofnunarinnar.

10.  Upplýsingaöryggi og vinnsluaðilar hjá Persónuvernd

a.      Upplýsingaöryggi

Persónuvernd hefur útbúið upplýsingaöryggiskerfi til að tryggja vernd persónuupplýsinga í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga. Upplýsingaöryggiskerfið nær til allra helstu lykilkerfa stofnunarinnar. Þannig hefur Persónuvernd sett sér upplýsingaöryggistefnu, gert áhættumat og viðeigandi öryggisráðstafanir til að tryggja öryggi kerfa stofnunarinnar. Þá vinnur Persónuvernd nú að því að fá vottun á upplýsingaöryggi samkvæmt staðlinum ÍST ISO/IEC 27001 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur.

Öryggisstjóri Persónuverndar er Vigdís Eva Líndal, skrifstofustjóri upplýsingaöryggis hjá Persónuvernd, og netfangið er oryggisstjori@personuvernd.is.

b.      Notkun vinnsluaðila

Tölvukerfi Persónuverndar eru rekin innan stofnunarinnar og hjá einum ytri þjónustuaðila, Þjóðskrá Íslands. Það er krafa Persónuverndar að þjónustuaðilar hennar starfi á Íslandi og að unnið sé með öll gögn á Íslandi.

Vefsíða Persónuverndar er hýst hjá Hugsmiðjunni, á Íslandi. Engin tenging er á milli vefsíðunnar og annarra tölvukerfa Persónuverndar.

Stærsti vinnsluaðili Persónuverndar er Þjóðskrá Íslands. Þjóðskrá Íslands þjónustar útstöðvar, AD netþjón, eldvegg og póstþjón.

Málaskrárkerfið GoPro er þróað af vinnsluaðila stofnunarinnar, Hugviti hf. Málaskrárkerfið er rekið innan stofnunarinnar en starfsmaður Hugvits hefur aðgang að því innan starfsstöðvar Persónuverndar. Póstþjónn Persónuverndar er einnig rekinn innan stofnunarinnar.

Vísindasiðanefnd getur sent umsóknir til Persónuverndar með öruggum aðgangi í gegnum rafræna gátt. Þær umsóknir eru skráðar í málaskrárkerfi Persónuverndar.

Afritataka er í umsjón Þjóðskrár Íslands og fer fram í gegnum dulkóðaða VPN-tengingu.

Tímaskráning starfsmanna fer fram í Vinnustund, sem er hluti af Orra (fjárhags- og mannauðskerfi ríkisins). Þá er Persónuvernd í greiðslu- og bókhaldsþjónustu hjá Fjársýslu ríkisins.

Fyrirtækið Miðlun sér um símsvörun fyrir Persónuvernd. Starfsmenn þar skrá einungis niður nafn þeirra sem óska eftir samtali við Persónuvernd, símanúmer og eftir atvikum netfang og stutta lýsingu á erindi. Þeir starfsmenn Miðlunar sem sinna símsvörun hafa allir undirritað þagnarskylduyfirlýsingu gagnvart Persónuvernd.



Var efnið hjálplegt? Nei