Persónuverndarstefna
Markmið stefnunnar
Hjá Húsnæðis- og mannvirkjastofnun (hér eftir „HMS“ eða ,,stofnunin“) er unnið með margs kyns persónuupplýsingar, einkum um þau sem sækja þjónustu til stofnunarinnar og starfsfólk hennar (hér einu nafni nefnd „hin skráðu“).
Markmið þessarar stefnu er að veita almenningi en þó einkum hinum skráðu upplýsingar um þá vinnslu persónuupplýsinga sem fram fer hjá HMS, aðallega hvaða persónuupplýsingar er unnið með og hvaðan þær eru fengnar, í hvaða tilgangi og með hvaða heimild, hvert upplýsingunum kann að verða miðlað og hversu lengi þær verða geymdar. Þá er í stefnunni tilgreint hvaða réttindi hin skráðu hafa vegna vinnslunnar og hvert þau geta beint kvörtunum vegna hennar. Loks kemur fram hver sé ábyrgðaraðili vinnslunnar og persónuverndarfulltrúi stofnunarinnar.
Þessari upplýsingagjöf er ætlað að veita hinum skráðu yfirsýn yfir vinnslu persónuupplýsinga um þá hjá HMS og gera þeim kleift að nýta réttindi sín sem tengjast vinnslunni, auk þess að uppfylla fræðsluskyldur HMS gagnvart hinum skráðu sem hvíla á stofnuninni samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga (pvl.), nú lög númer 90/2018.
Verkefni HMS og heimildir til vinnslu persónuupplýsinga
Um HMS gilda lög númer 137/2019 um Húsnæðis- og mannvirkjastofnun. Stofnuninni var komið á fót með lögunum og tók meðal annars við hlutverki og verkefnum Mannvirkjastofnunar og hluta Íbúðalánasjóðs. Þá tók HMS við ýmsum verkefnum frá Neytendastofu og Þjóðskrá á
árunum 2021-22, sbr. breytingarlög númer 18/2021 og 36/2022.
Um verkefni HMS fer samkvæmt lögum um mannvirki, lögum um húsnæðismál, lögum um
almennar íbúðir, lögum um húsnæðisbætur, lögum um byggingarvörur, lögum um
brunavarnir, lögum um timbur og timburvöru, lögum um meðferð elds og varnir gegn
gróðureldum, lögum um öryggi raforkuvirkja, neysluveitna og raffanga, efnalögum, lögum um visthönnun vöru sem tengist orkunotkun, lögum um merkingar og upplýsingaskyldu varðandi vörur sem tengjast orkunotkun, lögum um öryggi vöru og opinbera markaðsgæslu, lögum um mælingar, mæligrunna og vigtarmenn, lögum um skráningu og mat fasteigna, húsaleigulögum og öðrum lögum eftir því sem við getur átt, sbr. 3. gr. laga um stofnunina.
HMS stundar vinnslu persónuupplýsinga fyrst og fremst til þess að stofnunin geti sinnt
lögbundnu hlutverki sínu og því eru heimildir fyrir nánast allri slíkri vinnslu að finna í
ákvæðum framtalinna laga.HMS kann einnig að vera nauðsynlegt að vinna með persónuupplýsingar til að efna samning við hinn skráða eða að beiðni hins skráða áður en samningur er gerður við stofnunina.
HMS gætir að því að afla samþykkis með fullnægjandi hætti þegar upplýsinga er óskað á þeim grundvelli.
Af þeim verkefnum sem HMS eru falin í framantöldum lögum verður ráðið hvaða persónuupplýsingar stofnuninni er falið að vinna með og að hvaða marki. Er þar einkum um að ræða persónuupplýsingar:
um þá sem sækja þjónustu til stofnunarinnar og leggja inn ýmiss konar umsóknir, kvartanir, kærur eða önnur erindi til hennar
um þá einstaklinga sem slík erindi snúa að og
um fyrirsvarsmenn eða tengiliði lögaðila sem inn komin erindi snerta
Að auki er stofnuninni nauðsynlegt að vinna með persónuupplýsingar um þá einstaklinga
eða fyrirsvarsmenn lögaðila sem tengjast málum sem stofnunin tekur upp að eigin
frumkvæði eða kemur að fyrir tilstilli annarra stjórnvalda. Auk þeirra laga sem fela HMS
tiltekin verkefni leggja lög um meðferð stjórnsýslumála, svo sem stjórnsýslulög,
upplýsingalög og lög um opinber skjalasöfn, skyldur á stofnunina til að vinna með
persónuupplýsingar til þess að uppfylla þær kröfur sem gerðar eru til stofnunarinnar sem
stjórnvalds við meðferð stjórnsýslumála.
Til þess að rækja hlutverk sitt reiðir HMS sig á starfsfólk stofnunarinnar og stjórn. HMS ber
ýmsar skyldur sem snúa að þessum mannauði, einkum er varðar aðbúnað, laun, starfskjör
og önnur réttindi. Þær skyldur er aðallega að finna í lögum um réttindi og skyldur starfsmanna ríkisins, lögum um aðbúnað, hollustuhætti og öryggi á vinnustöðum, lögum um tekjuskatt, lögum um tekjustofna sveitarfélaga, lögum um staðgreiðslu opinberra gjalda,
lögum um orlof, lögum um fæðingar- og foreldraorlof og lögum um jafna stöðu og jafnan rétt kvenna og karla. Það er mikilvægt verkefni stofnunarinnar að uppfylla þær skyldur í hvívetna og í því skyni er henni nauðsynlegt að vinna með margs kyns persónuupplýsingar.
Vinnsla persónuupplýsinga hjá HMS
Þau sem leita til stofnunarinnar
HMS er nauðsynlegt að vinna með persónuupplýsingar um þau sem leita með erindi til
stofnunarinnar í þeim tilgangi að tryggja rétta persónugreiningu, staðreyna viðkomandi
réttindi eða skyldur þeirra sem erindin lúta að, uppfylla rannsóknarregluna og aðrar
málsmeðferðarreglur stjórnsýslunnar og varðveita nægilegar upplýsingar um meðferð
viðkomandi máls til að uppfylla lagaskyldur stofnunarinnar, svo sem samkvæmt lögum um
opinber skjalasöfn.
HMS aflar því persónuupplýsinga um erindisbeiðendur, að meginstefnu frá þeim sjálfum, einkum um nöfn þeirra, kennitölur, tengsl við viðkomandi mál og málavexti, auk tengiliðaupplýsinga.
Þá kann stofnunin að afla viðbótarupplýsinga úr eigin skrám eða annars staðar frá í framangreindum tilgangi, svo sem um önnur skyld mál eða atvik.
Loks vinnur HMS með viðkomandi persónuupplýsingar í því skyni að komast að niðurstöðu sem er svo jafnan birt hinum skráðu og eftir atvikum öðrum hlutaðeigandi.
Þegar um er að ræða valkvæð erindi til stofnunarinnar ber hinum skráðu ekki skylda til að veita umbeðnar persónuupplýsingar en verði þær ekki veittar leiðir það jafnan til þess að ekki sé hægt að taka viðkomandi erindi til meðferðar.
Þau sem erindi til stofnunarinnar snúa að
Í þeim erindum sem leitað er til HMS með kunna að koma fyrir persónuupplýsingar um aðra
einstaklinga en erindisbeiðendur, svo sem gagnaðila eða eigendur annarra réttinda sem
koma þar við sögu. Stofnunin vinnur með slíkar persónuupplýsingar í þeim tilgangi að tryggja rétta meðferð viðkomandi máls, ganga úr skugga um að stofnunin hafi að fullu uppfyllt lagaskyldur sínar svo sem varðandi andmælarétt, önnur atriði sem varða rannsókn viðkomandi máls og framangreindar skyldur samkvæmt lögum um opinber skjalasöfn. Kann stofnunin af þessu tilefni að afla viðbótarupplýsinga, svo sem úr opinberum skrám eða frá hinum skráðu sjálfum, svo sem að framan greinir.
Þau sem koma fyrir í frumkvæðismálum eða málum frá öðrum stjórnvöldum
Þegar HMS tekur upp mál að eigin frumkvæði eða eftir að hafa tekið við málum frá öðrum
stjórnvöldum er henni skylt að vinna með persónuupplýsingar um þau sem málið lýtur að í þeim tilgangi að upplýsa málið, gæta að andmælarétti viðkomandi og uppfylla aðrar kröfur sem gerðar eru til málsmeðferðarinnar, þar á meðal um meðferð upplýsinganna að máli loknu.
Starfsfólk og umsækjendur um störf
Mikilvægt er fyrir HMS að afla og viðhalda réttum upplýsingum um starfsfólk sitt til að
uppfylla réttilega skyldur sínar gagnvart þeim.
Auk almennra lýðupplýsinga er þar einkum um að ræða upplýsingar um starfs- og launakjör og atriði sem hafa áhrif á þau, svo sem starfsréttindi, menntun og starfsaldur.
Þá ber HMS að vinna með upplýsingar um viðveru, orlof og fjarveru, svo sem vegna veikinda.
Einnig vinnur stofnunin með upplýsingar um launagreiðslur og staðgreiðslu opinberra gjalda til að uppfylla skyldur sínar á því sviði.
Miðlun persónuupplýsinga til annarra ábyrgðaraðila og vinnsluaðila
HMS er stofnun í eigu ríkisins og miðlar þeim persónuupplýsingum sem hún sýslar með til
tvenns konar móttakenda.
Annars vegar til annarra ábyrgðaraðila, ýmist sjálfstæðra eða sameiginlegra með HMS, á grundvelli lagaskyldu, svo sem til hinna skráðu sjálfra, annarra ríkisstofnana, fjölmiðla eða almennings á grundvelli stjórnsýslulaga, upplýsingalaga, persónuverndarlaga eða annarra laga.
Hins vegar miðlar stofnunin persónuupplýsingum til vinnsluaðila sem hún felur á grundvelli vinnslusamninga að annast framkvæmd hluta af þeirri vinnslu sem hún ber ábyrgð á.
HMS vistar og vinnur með allar persónuupplýsingar innan Evrópska efnahagssvæðisins. Allir vinnsluaðilar stofnunarinnar starfa innan þess svæðis.
Sjálfvirk ákvarðanataka, þar með talin gerð persónusniðs
Ekki fer fram sjálfvirk ákvarðanataka, þar með talin gerð persónusniðs, hjá HMS.
Geymslutími persónuupplýsinga
HMS er afhendingarskyldur aðili samkvæmt ákvæðum laga um opinber skjalasöfn. Í því felst að stofnuninni er óheimilt að eyða skjölum úr skjalasafni sínu nema með grisjunarheimild þjóðskjalavarðar. Almennt skulu skjöl afhendingarskylds aðila varðveitt hjá honum í að minnsta kosti 30 ár samkvæmt gildandi lögum og þá afhent Þjóðskjalasafni. Vörsluútgáfur hvers skjalavistunartímabils eru einnig sendar með reglulegu millibili til Þjóðskjalasafns. Mælt er fyrir um varðveislu gagna með ítarlegri hætti í geymslu- og grisjunaráætlun HMS. Af þessu leiðir að HMS varðveitir jafnan þær persónuupplýsingar sem stofnunin vinnur með og er óheimilt að verða við óskum hinna skráðu um að þeim verði eytt.
Réttindi hinna skráðu
Hin skráðu eiga margs kyns réttindi sem mikilvægt er að þau viti af:
Hinn skráði á jafnan rétt á að óska eftir aðgangi að og afriti af persónuupplýsingum
sínum hjá HMS og láta stofnunina skrá leiðréttingu við þær ef þær eru rangar eða
villandi.Hins vegar eiga hin skráðu, vegna fyrrnefndrar skilaskyldu til Þjóðskjalasafns, jafnan ekki rétt til að láta eyða persónuupplýsingum sínum sem er unnið með hjá HMS. Þessum réttindum og takmörkunum á þeim er nánar lýst í lögum um persónuvernd, samanber nú 17. og 20. grein persónuverndarlaga.
Þá eiga hin skráðu samkvæmt síðarnefndu lagagreininni rétt á að flytja eigin gögn eða að láta takmarka vinnslu persónuupplýsinga um sig, að uppfylltum nánar tilgreindum skilyrðum. Loks eiga hin skráðu rétt til að andmæla vinnslunni samkvæmt 21. grein laganna.
Hin skráðu eiga rétt til að leggja fram kvörtun hjá Persónuvernd vegna vinnslunnar.
Skrifstofa Persónuverndar er að Rauðarárstíg 10, 105 Reykjavík og netfang hennar
er postur@personuvernd.is.
Upplýsingaröryggi
HMS notar skjalfest stjórnkerfi upplýsingaöryggis til að tryggja vernd persónuupplýsinga í
samræmi við reglur númer 299/2001 um öryggi persónuupplýsinga.
Upplýsingaöryggiskerfið nær til allra helstu lykilkerfa stofnunarinnar. Þannig hefur HMS sett sér upplýsingaöryggisstefnu, gert áhættumat og innleitt viðeigandi öryggisráðstafanir til að
tryggja öryggi vinnslu persónuupplýsinga hjá stofnuninni. Þá hefur HMS aflað sér vottunar á upplýsingaöryggisstjórnkerfi sínu samkvæmt staðlinum ÍST ISO/IEC 27001 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur.
Ábyrgðaraðili vinnslu persónuupplýsinga hjá HMS
HMS er ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fram fer hjá og af hálfu
stofnunarinnar. Hægt er að hafa samband við stofnunina í tölvupósti á netfangið,
hms@hms.is eða bréfleiðis á starfsstöðvar HMS hvort sem er að
Borgartúni 21, 105 Reykjavík
Ártorgi 1, 550 Sauðárkróki
eða Hafnarstræti 107, 600 Akureyri
Persónuverndarfulltrúi HMS
HMS hefur tilnefnt persónuverndarfulltrúa í samræmi við skyldur sínar sem stjórnvald, samanber 35. grein persónuverndarlaga. Hægt er að hafa samband við persónuverndarfulltrúa stofnunarinnar í tölvupósti á netfanginu persona@hms.is og bréfleiðis á póstfangið
Persónuverndarfulltrúi HMS
Húsnæðis- og mannvirkjastofnun
Borgartúni 21
105 Reykjavík
Gildistími og endurskoðun
Persónuverndarstefna þessi var samþykkt af stjórn HMS þann 22. desember 2022 og verður endurskoðuð innan tveggja ára. Hún er birt á heimasíðu stofnunarinnar.
Stefnunni var breytt á fundi stjórnar HMS þann 28. september 2023.