Persónuvernd er ábyrgðaraðili að vinnslu persónuupplýsinga sem fram fer af hálfu stofnunarinnar. Persónuvernd er stjórnvald sem starfar samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Hennar meginhlutverk er að hafa eftirlit með því að vinnsla persónuupplýsinga hjá opinberum aðilum, fyrirtækjum og öðrum sé í samræmi við persónuverndarlögin.

Persónuvernd er til húsa að Laugavegi 166, 4. hæð, 105 Reykjavík.

Sími stofnunarinnar er 510 9600 og netfang hennar er postur@personuvernd.is

Nánari upplýsingar um starfsemi Persónuverndar.

Þú getur haft samband við persónuverndarfulltrúa Persónuverndar með því að senda tölvupóst á pvf@personuvernd.is.

Þú getur einnig sent bréf til Persónuverndar en þá skal umslagið merkt persónuverndarfulltrúa.

Laugavegur 166, 4. hæð

105 Reykjavík

Í flestum tilvikum fær Persónuvernd persónuupplýsingar beint frá þér þegar

• þú kvartar til Persónuverndar, sendir inn fyrirspurn, ábendingu, óskar eftir leyfi fyrir vinnslu persónuupplýsinga eða sendir inn önnur erindi

• þú hefur óskað eftir aðgangi að gögnum samkvæmt stjórnsýslulögum, upplýsingalögum eða persónuverndarlögum

• þú hefur skráð þig á málþing á vegum Persónuverndar

• þú hefur sótt um starf hjá okkur, sumarstarf eða starfsnám

• Persónuvernd hefur samið við þig um að sinna ákveðnum verkefnum fyrir stofnunina, til dæmis í öryggisúttektum

• þú kemur á fund Persónuverndar og skráir þig á heimsóknarblað

Persónuvernd tekur einnig við persónuupplýsingum frá öðrum en þér í eftirfarandi tilvikum

• Persónuvernd hefur átt í samskiptum við fyrirtæki eða stjórnvald sem þú starfar fyrir og viðkomandi aðili hefur gefið upp persónuupplýsingar þínar í svari sínu

• Persónuupplýsingar um þig koma fram í tilkynningu um öryggisbrest eða í ábendingu til stofnunarinnar

• Sá sem beinir kvörtun eða öðru erindi til Persónuverndar vísar til þín í samskiptum sínum við stofnunina

• Persónuvernd berst tilkynning um að þú hafir brotið persónuverndarlög

• Persónuvernd fær persónuupplýsingar þínar við framkvæmd úttektar

• Persónuvernd fær persónuupplýsingar þínar frá öðrum stjórnvöldum

• Þú kemur fram fyrir hönd fyrirtækis eða stjórnvalds, til dæmis við svörun erinda, beiðni um umsögn og svo framvegis

• Þú hefur verið tilkynnt/ur sem persónuverndarfulltrúi fyrirtækis eða stjórnvalds

• Umsækjandi um starf vísar til þín sem meðmælanda

Samkvæmt persónuverndarlöggjöfinni hefur þú ákveðin réttindi og getur þú nýtt þér þau með því að senda beiðni á netfangið postur@personuvernd.is eða senda bréf til Persónuverndar.

Þú þarft ekki að borga neitt fyrir að neyta réttinda þinna.

Persónuvernd hefur allt að einn mánuð til að svara erindi þínu en hægt er að framlengja frestinn um tvo mánuði sé beiðnin sérstaklega umfangsmikil.

a.      Aðgangsréttur

Þú átt rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem Persónuvernd vinnur um þig. Í sumum tilvikum geta undantekningar frá réttinum átt við, svo sem vegna réttinda annarra sem vega skulu þyngra, en almenna reglan er sú að veita skuli aðganginn.

Þú getur einnig átt rétt á aðgangi að gögnum um þig samkvæmt stjórnsýslulögum og/eða upplýsingalögum. Hér getur verið ákveðin skörun á milli lagabálka sem meta þarf hverju sinni.

b.      Réttur til leiðréttingar

Þú átt rétt á því að fá leiðréttar persónuupplýsingar um þig, sem þú telur rangar. Samkvæmt lögum um opinber skjalasöfn getur Persónuvernd verið óheimilt að breyta gögnum. Hins vegar má óska eftir að koma á framfæri leiðréttingu með athugasemd, sem látin er fylgja gögnunum, þegar við á og/eða að bæta upplýsingum við þær persónuupplýsingar sem stofnunin hefur um þig og þú telur ófullnægjandi.

c.       Réttur til eyðingar /rétturinn til að gleymast

Rétturinn til eyðingar eða rétturinn til að gleymast á ekki við um vinnslu persónuupplýsinga hjá Persónuvernd þar sem stofnunin er bundin að lögum um opinber skjalasöfn til að varðveita allar upplýsingar sem henni berast. 

d.      Réttur til takmörkunar á vinnslu

Þú átt rétt á að biðja um að vinnsla sé takmörkuð í ákveðnum tilvikum.

e.      Réttur til að andmæla vinnslu

Þú átt rétt á að andmæla vinnslu persónuupplýsinga um þig þegar Persónuvernd vinnur þær á grundvelli almannahagsmuna, það er, lagaheimildar, eða við beitingu opinbers valds.

f.        Réttur til að flytja eigin gögn

Þessi réttur á eingöngu við þegar upplýsingar eru unnar á grundvelli samþykkis þíns eða við gerð samnings. Persónuvernd starfar á grundvelli laga og byggir því mjög lítinn hluta sinnar vinnslu á persónuupplýsingum á samþykki eða samningi. Því er ólíklegt að þessi réttur eigi við um þá vinnslu sem Persónuvernd framkvæmir, þar sem hún fer nánast eingöngu fram á grundvelli lagaskyldu eða almannahagsmuna.

g.      Kvartanir vegna vinnslu persónuupplýsinga

Ef þú telur að Persónuvernd hafi ekki unnið með lögmætum hætti með persónuupplýsingar þínar skalt þú hafa samband við persónuverndarfulltrúa stofnunarinnar.

Skoða persónuverndarstefnu Ísland.is

Símtöl

Símanúmer þeirra sem hringja á skiptiborð Persónuverndar eru ekki skráð sjálfkrafa hjá stofnuninni. Óskir þú eftir að skilja eftir erindi til starfsmanna Persónuverndar er skráð nafn, símanúmer og eftir atvikum hvert erindið er. Þær upplýsingar eru geymdar í 60 daga.

Ekki eru skráðar viðkvæmar persónuupplýsingar.

Þá er skráður fjöldi þeirra símtala sem Persónuvernd berst í hverjum mánuði og hve lengi hvert símtal varir.

Þegar þú hefur samband við Persónuvernd símleiðis og óskar ráðgjafar eða leiðbeininga skrá starfsmenn/lögfræðingar stofnunarinnar niður efni símtalsins í sérstaka símtalaskrá. Nafn þitt og aðrar tengiliðaupplýsingar eru aðeins skráðar ef þú gefur þær upp. Það er hins vegar ekki nauðsynlegt til að sérfræðingar Persónuverndar geti veitt þér upplýsingar og ráðgjöf í gegnum síma.

Tilgangurinn með því að skrá efni símtala er tvíþættur:

• Að halda utan um hvers eðlis þau símtöl eru sem berast á símatíma, þar sem það getur bent til þess að bæta þurfi fræðslu um tiltekin atriði, til dæmis á vefsíðu Persónuverndar.

• Að geta sannreynt hvað kom fram í símtalinu, ef upp kemur ágreiningur milli þín og Persónuverndar.

Persónuvernd tekur ekki upp símtöl.

Þegar þú hringir í Persónuvernd utan símatíma í tengslum við tiltekið mál sem er til meðferðar hjá Persónuvernd er efni símtalsins og tengiliðaupplýsingar þínar skráðar í minnisblað undir því máli.

Persónuvernd er skylt samkvæmt upplýsingalögum að skrá upplýsingar um málsatvik sem veittar eru munnlega.

Þá er Persónuvernd einnig skylt að halda til haga mikilvægum upplýsingum, meðal annars um samskipti við almenning.

Tölvupóstur

Þegar þú hefur samband við Persónuvernd í gegnum tölvupóst skaltu hafa í huga að tölvupósturinn þinn getur verið ódulkóðaður sem þýðir að mögulegt er fyrir óviðkomandi að lesa póstinn í sendingu. Því skaltu forðast það að tölvupósturinn innihaldi viðkvæmar persónuupplýsingar um þig eða aðra.

Ef þú þarft að senda Persónuvernd gögn með viðkvæmum persónuupplýsingum er best að nota ábyrgðarpóst eða koma með gögnin á skrifstofu Persónuverndar. Persónuvernd sendir ekki viðkvæmar persónuupplýsingar í tölvupósti, þar sem ekki er hægt að tryggja öryggi upplýsinganna í slíkri sendingu.

Allur tölvupóstur sem Persónuvernd berst er skimaður fyrir tölvuveirum og vistaður í málaskrá Persónuverndar.

Fyrirspurnir sendar af vefsíðu Persónuverndar

Hægt er að senda Persónuvernd fyrirspurnir í gegnum vefsíðu stofnunarinnar en þá er skylt að gefa upp nafn, netfang og efni fyrirspurnar. Einnig er hægt að gefa upp símanúmer, en það er valkvætt.

Tilgangur þess að skrá upplýsingar um nafn, netfang og símanúmer er að starfsmenn Persónuverndar geti haft samband við þig, hvort sem er í tölvupósti eða í síma, og upplýsingar um efni fyrirspurnar eru nauðsynlegar til að Persónuvernd geti svarað henni.

Fyrirspurnin er vistuð í grunni vefþjónustuaðila Persónuverndar í 6 mánuði og síðan eytt þaðan.

Þegar fyrirspurnin er send berst hún sem tölvupóstur í almennt pósthólf Persónuverndar og hún er svo skráð í málaskrá stofnunarinnar ásamt þeim tengiliðaupplýsingum sem gefnar voru upp.

Þegar fyrirspurn er skráð í málaskrá er hún vistuð samkvæmt lögum um opinber skjalasöfn.

Bréfpóstur

Persónuvernd varðveitir öll bréf sem stofnuninni berast í skjalasafni stofnunarinnar auk þess sem öll bréf eru skönnuð og vistuð í málaskrá.

Heimsókn á skrifstofu Persónuverndar

Almennt tekur Persónuvernd ekki á móti fólki á skrifstofu Persónuverndar nema það eigi bókaðan fund. Þó er ávallt hægt að koma á skrifstofu stofnunarinnar á opnunartíma og afhenda eða sækja gögn.

Persónuvernd skráir nöfn þeirra sem eiga erindi inn á skrifstofuna, svo sem til fundarsetu eða iðnaðarmenn, og upplýsingar um frá hvaða fyrirtæki/stofnun viðkomandi kemur. Þær upplýsingar eru geymdar í 30 daga.

Komi einstaklingur á fund kunna að vera skráðar upplýsingar í fundargerð eða minnisblaði um fund.

Fyrirspurnir og ráðgjöf

Þegar þú hefur samband við Persónuvernd með fyrirspurn eða biður um ráðgjöf vinnur Persónuvernd með persónuupplýsingar um þig til að geta svarað þér. Persónuvernd vinnur eingöngu með upplýsingar sem nauðsynlegt er að vinna með til að geta svarað spurningum þínum. Til dæmis vinnur Persónuvernd upplýsingar um netfangið þitt og nafn þegar fyrirspurnum er svarað í tölvupósti.

Persónuupplýsingar í fyrirspurnum eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Heimilt er að vinna framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, sbr. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. persónuverndarreglugerðarinnar.

Kvartanir til Persónuverndar

Þegar Persónuvernd vinnur úr kvörtunum eru unnar persónuupplýsingar, til dæmis tengiliðaupplýsingar og aðrar upplýsingar sem eru nauðsynlegar til að vinna úr málinu.

Persónuupplýsingar í kvörtunarmálum eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn.

Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Persónuvernd er heimilt að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, skv. 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar.

Heimilt er að vinna viðkvæmar persónuupplýsingar í tengslum við kvartanir ef slík vinnsla er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fer fram á grundvelli laga, skv. 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 9. gr. evrópsku persónuverndarreglugerðarinnar.

Leyfisveitingar

Þegar Persónuvernd berst umsókn um leyfi til vinnslu persónuupplýsinga er unnið með tengiliðaupplýsingar þess einstaklings sem sækir um leyfið, ef það á við, og eftir atvikum tengiliðaupplýsingar þess sem kemur fram fyrir hönd þess sem afhendir upplýsingar, til dæmis starfsmanns stjórnvalds.

Þá er unnið með aðrar persónuupplýsingar sem veittar eru í umsókninni, eftir atvikum, en einkum eru það upplýsingar um nöfn, símanúmer og netföng annarra einstaklinga sem koma að umsókninni.

Á Persónuvernd hvílir lagaskylda til að afgreiða leyfisumsóknir sem henni berast og eru tengiliðaupplýsingarnar nauðsynlegar til að hægt sé að afhenda leyfi réttum aðila. Sama á við um þær umsóknir sem Persónuvernd berast til umsagnar vegna vísindarannsókna á heilbrigðissviði.

Umsóknir um leyfi, ásamt fylgigögnum, eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við varðveisluskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Öll vinnsla persónuupplýsinga í tengslum við leyfisveitingar og umsagnir vegna vísindarannsókna á heilbrigðissviði byggist á lagaskyldu sem hvílir á Persónuvernd, skv. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar.

Ábendingar

Persónuvernd skráir allar ábendingar um möguleg brot á persónuverndarlöggjöfinni sem henni berast í málaskrá stofnunarinnar.

Berist ábendingin með tölvupósti er netfang og nafn sendandans skráð. Berist Persónuvernd skriflegt erindi, sem ekki snertir starfssvið hennar, áframsendir hún erindið á réttan stað svo fljótt sem unnt er, sbr. 2. mgr. 7. gr. stjórnsýslulaga. Er það almennt gert að höfðu samráði við þann sem sendi erindið, sé þess nokkur kostur.

Berist ábendingin á símatíma, án þess að þú gefir nafn þitt upp, er eingöngu efni ábendingarinnar skráð.

Ábendingar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Heimilt er að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, skv. 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar. Heimild til vinnslu viðkvæmra persónuupplýsinga er í 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 9. gr. evrópsku persónuverndarreglugerðarinnar.

Beiðnir um aðgang að gögnum eða upplýsingum

Persónuvernd skráir allar beiðnir frá einstaklingum um aðgang að upplýsingum, hvort sem þær byggja á persónuverndarlögum, stjórnsýslulögum eða upplýsingaréttarlögum.

Aðgangsréttarbeiðnir eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Heimilt er að vinna framangreindar upplýsingar vegna þess að það er nauðsynlegt við beitingu opinbers valds sem Persónuvernd fer með, skv. 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar. Heimild til vinnslu viðkvæmra persónuupplýsinga er í 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. g-lið 9. gr. evrópsku persónuverndarreglugerðarinnar.

Skráning á málþing á vegum Persónuverndar

Þegar Persónuvernd heldur málþing biður hún þá sem hyggjast mæta að skrá sig með því að senda tölvupóst á tiltekið netfang. Tilgangur þessa er að halda utan um fjölda þeirra sem hyggjast mæta á málþingið og áætla stærð fundarstaðar út frá því. Einstaklingum er þó ávallt frjálst að mæta á málþing þó þeir hafi ekki skráð sig sérstaklega, svo lengi sem húsrúm leyfir.

Skráningar á málþing á vegum Persónuverndar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn.

Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Heimilt er að vinna framangreindar upplýsingar á grundvelli samþykkis, skv. 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar.

Tilkynningar sendar á grundvelli eldri laga

Samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, var skylt að tilkynna til Persónuverndar ákveðnar tegundir vinnslu. Sú tilkynningarskylda er nú fallin brott en Persónuvernd er eftir sem áður skylt að varðveita þær upplýsingar sem bárust í tilkynningunum.

Þær persónuupplýsingar sem koma fram í tilkynningum eru einkum nafn, heimilisfang, símanúmer, netfang og kennitala viðkomandi einstaklings, ef hann var sjálfur ábyrgðaraðili, en ef ábyrgðaraðilinn var lögaðili var jafnframt skráð nafn þess sem sendi tilkynninguna inn. Þá var skráð nafn og stöðuheiti þess sem bar ábyrgð á öryggisráðstöfunum.

Framangreindar tilkynningar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Heimilt er að varðveita framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, skv. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar.

Tilkynningar um öryggisbrest

Persónuvernd heldur utan um allar tilkynningar um öryggisbresti í málaskrá. Í tilkynningunum koma fram upplýsingar um tengilið viðkomandi fyrirtækis eða stofnunar og upplýsingar um öryggisbrestinn.

Framangreindar tilkynningar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Heimilt er að varðveita framangreindar upplýsingar á grundvelli lagaskyldu sem hvílir á Persónuvernd, skv. 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar.

Skrá yfir persónuverndarfulltrúa

Samkvæmt 7. mgr. 37. gr. evrópsku persónuverndarreglugerðarinnar skulu ábyrgðaraðilar og vinnsluaðilar senda Persónuvernd samskiptaupplýsingar persónuverndarfulltrúa síns. Þetta á við hafi persónuverndarfulltrúi verið skipaður, óháð því hvort það er skylt eða valkvætt. Vegna þessa heldur Persónuvernd sérstaka skrá yfir tilkynnta persónuverndarfulltrúa þar sem fram kemur nafn þeirra, fyrir hvern þeir starfa, netfang og símanúmer.

Tilgangur skrárinnar er að Persónuvernd hafi yfirlit yfir starfandi persónuverndarfulltrúa, til dæmis þannig að hægt sé að ná sambandi við þá í tengslum við eftirlit stofnunarinnar eða kvörtunarmál sem geta komið upp.

Til viðbótar getur Persónuvernd miðlað upplýsingum til almennings um hver persónuverndarfulltrúi viðkomandi ábyrgðaraðila eða vinnsluaðila er.

Þá getur Persónuvernd einnig notað skránna til að koma á framfæri mikilvægum upplýsingum til persónuverndarfulltrúanna.

Framangreindar upplýsingar eru varðveittar í 30 ár hjá Persónuvernd en eftir þann tíma er gögnum skilað til Þjóðskjalasafns Íslands í samræmi við skilaskyldu samkvæmt lögum um opinber skjalasöfn. Persónuvernd afhendir rafrænt afrit af gögnum til Þjóðskjalasafns Íslands á 5 ára fresti samkvæmt lögum um opinber skjalasöfn.

Heimilt er að varðveita framangreindar upplýsingar á grundvelli 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-liðar 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar.

Starfsmenn

Persónuvernd vinnur með persónuupplýsingar um starfsmenn sína til að geta greitt þeim laun fyrir störf sín.

Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun, svo sem:

• tengiliðaupplýsingar,

• launaflokkur, tímaskráningar,

• skattþrep, stéttarfélagsaðild,

• bankaupplýsingar,

• lífeyrissjóðsupplýsingar og skuldir við innheimtumann ríkissjóðs.

Einnig eru aðgerðir starfsmanna í málaskrá stofnunarinnar, skráðar í aðgerðaskrá. Aðrar upplýsingar eru tengdar starfslýsingu starfsmanns.

Nánar er fjallað um vinnslu persónuupplýsinga um starfsmenn í innri persónuverndarstefnu Persónuverndar.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að efna samning sem starfsmenn eru aðilar að, samkvæmt 2. tölul. 9. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 6. gr. evróppsku persónuverndarreglugerðarinna.

Heimilt er að vinna upplýsingar um stéttarfélagsaðild á grundvelli samþykkis starfsmanns, skv. 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. a-lið 9. gr. evrópsku persónuverndarreglugerðarinnar.

Öllum starfsmönnum er frjálst að gefa upp hvort, og þá í hvaða stéttarfélag, þeir eru skráðir og hefur það engin áhrif á ráðningar í störf hjá stofnuninni.

Framangreindar upplýsingar eru skráðar í málaskrá stofnunarinnar.

Umsækjendur um störf

Persónuvernd vinnur með persónuupplýsingar þeirra sem sækja um starf hjá stofnuninni. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna, svo sem tengiliðaupplýsingar, ferilskrá, kynningarbréf, upplýsingar um menntun, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, skv. 2. tölul. 9. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 6. gr. evrópsku persónuverndarreglugerðarinnar.

Framangreindar upplýsingar eru skráðar í málaskrá stofnunarinnar. Aðgangur að þeim upplýsingum er takmarkaður við þá starfsmenn sem koma að viðkomandi ráðningu.

Upplýsingaöryggi

Persónuvernd hefur útbúið upplýsingaöryggiskerfi til að tryggja vernd persónuupplýsinga í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga. Upplýsingaöryggiskerfið nær til allra helstu lykilkerfa stofnunarinnar.

Þannig hefur Persónuvernd sett sér upplýsingaöryggisstefnu, gert áhættumat og viðeigandi öryggisráðstafanir til að tryggja öryggi kerfa stofnunarinnar. 

Notkun vinnsluaðila

Tölvukerfi Persónuverndar eru rekin innan stofnunarinnar og hýst hjá einum ytri þjónustuaðila, Opnum Kerfum hf.

Stærsti vinnsluaðili Persónuverndar er Opin Kerfi hf. Opin Kerfi hf. þjónusta útstöðvar, AD netþjón, eldvegg og póstþjón.

Málaskrárkerfið GoPro Foris er þróað af vinnsluaðila stofnunarinnar, Hugviti hf. Málaskrárkerfið er rekið á netþjóni Opinna Kerfa hf. Öll samskipti á milli útstöðva Persónuverndar og netþjónsins fara fram í gegnum dulkóðaða tengingu.

Póstþjónn Persónuverndar er einnig rekinn á netþjóni Opinna Kerfa hf.

Fyrirtækið Halló ehf. sér um símsvörun fyrir Persónuvernd. Starfsmenn þar skrá einungis niður nafn þeirra sem óska eftir samtali við Persónuvernd, símanúmer og eftir atvikum netfang og stutta lýsingu á erindi. Þeir starfsmenn Halló ehf. sem sinna símsvörun hafa allir undirritað þagnarskylduyfirlýsingu gagnvart Persónuvernd.

Persónuvernd notar hugbúnaðinn Microsoft Teams sem fjarfundabúnað. Ekki er heimilt að nota Teams til að ræða viðkvæm málefni tengd starfsemi Persónuverndar. Þá er óheimilt að nota netspjallið í Teams til að ræða mál sem eru til meðferðar hjá Persónuvernd.

Forstjóri ber ábyrgð á stefnunni og að henni sé framfylgt. Stefnuna skal endurskoða árlega, eða oftar ef tilefni gefst.