Markmið persónuverndarstefnu Tryggingastofnunar (TR) er að leggja áherslu á persónuvernd með því að tryggja lögmæta, sanngjarna, og gagnsæja meðferð allra persónuupplýsinga.
Persónuupplýsinga er einungis aflað í skýrt tilgreindum tilgangi og vinnsla þeirra takmörkuð við það sem er nauðsynlegt. Þá skulu upplýsingarnar vera áreiðanlegar, uppfærðar eftir þörfum og varðveittar á öruggan hátt. Verja þarf allar persónuupplýsingar í vörslu TR og umboða fyrir innri og ytri ógnum, hvort sem þær stafa af ásetningi eða gáleysi.
Í því sambandi er einnig vísað til upplýsingaöryggisstefnu TR. Framkvæmd stefnunnar er mikilvæg til að fullvissa stjórnvöld, viðskiptavini, starfsmenn og samstarfsaðila um að TR stjórni með ábyrgum hætti öryggi og vernd persónuupplýsinga í vörslu sinni.
Persónuverndarstefna er hluti af stjórnskipulagi hjá TR.
TR starfar að öllu leyti í samræmi við lög og reglur um persónuvernd.
Persónuverndar skal gæta við meðferð persónuupplýsinga í allri starfsemi stofnunarinnar og þjónustu sem TR veitir, hvort sem það er við vinnu vegna þeirra sjálfra, tölulegra upplýsinga eða faglegra úttekta.
Persónuverndarsjónamið skulu höfð í huga í öllum tölvukerfum og hugbúnaði í eigu TR eða sem TR vinnur með.
Persónuverndar skal gæta við öflun og miðlun upplýsinga til samstarfsaðila og fagaðila eftir öruggum rafrænum leiðum.
Að persónuupplýsinga sé einungis aflað, þær geymdar og unnið með þær teljist það nauðsynlegt til að uppfylla skilyrði laga sem TR er falið að framfylgja.
Að vernda persónuupplýsingar viðskiptavina TR á skipulegan hátt.
Að vernda viðkvæmar heilsufarslegar persónuupplýsingar enn frekar, þannig að aðgangi að þeim sé stjórnað með sérstökum aðgangsstýringum. Aðgangsstýringar eru þannig að enginn geti haft aðgang að þeim nema þeir sem þurfa það beint vinnu sinnar vegna.
Að tryggja vernd, réttleika, gagnsæi og aðgengi einstaklinga að eigin gögnum og upplýsingum í vörslu TR.
Að tryggja að persónuupplýsingar berist ekki óviðkomandi.
Að stuðla að virkri persónuverndarvitund starfsmanna, samstarfsaðila, viðskiptavina og gesta.
Forstjóri, persónuverndarfulltrúi, gæðastjóri, öryggisstjóri, framkvæmdastjórar og sýslumenn sjá til þess að persónuverndarstefnu sé fylgt.
Starfsmönnum TR og umboða, verktökum og þjónustuaðilum ber að vinna samkvæmt persónuverndarstefnunni.
Tryggingastofnun stuðlar að því að þessari stefnu sé framfylgt með ráðstöfunum í samræmi við störf og ábyrgð viðkomandi starfsmanna, verktaka og þjónustuaðila.
Tilkynna skal frávik og veikleika vegna persónuverndar til persónuverndarfulltrúa eða til næsta yfirmanns sem kemur þá upplýsingum á framfæri við persónuverndarfulltrúa án tafar.
Tryggingastofnun leggur áherslu á persónuvernd í sínum störfum með því að tryggja lögmæta, sanngjarna og gagnsæja meðferð persónuupplýsinga. Persónuupplýsinga skal einungis aflað í skýrt tilgreindum tilgangi og vinnsla þeirra takmörkuð við það sem nauðsynlegt er.
Persónuverndarstefna TR
Tryggingastofnun heldur utan um skrá yfir vinnslur stofnunarinnar þar sem fram koma tilvísanir til lagaákvæða, nauðsynlega öflun gagna bæði frá umsækjanda og þeim sem TR aflar gagna frá, svo og hvaða reglulega eftirlit er viðhaft fyrir hvern bótaflokk.
Tryggingastofnun notar Siteimprove til vefmælinga. Við hverja komu inn á vefinn eru nokkur atriði skráð, svo sem tími og dagsetning, leitarorð, frá hvaða vef er komið og gerð vafra og stýrikerfis. Þessar upplýsingar má nota við endurbætur á vefnum og þróun hans, t.d. til að greina hvaða efni notendur sækjast mest eftir og fleira. Engum frekari upplýsingum er safnað um hverja komu og ekki er gerð tilraun til að tengja slíkar upplýsingar við aðrar persónugreinanlegar upplýsingar.
Á Mínum síðum TR má sjá hvaða upplýsingar stofnunin hefur um viðkomandi einstakling, þ.e. upplýsingar úr Þjóðskrá um búsetu og fjölskylduaðstæður, bankareikning, lista yfir greiðslutegundir ásamt þeim bréfum sem stofnunin hefur sent frá sér. Hægt er að skrá sig inn á Mínar síður með íslykli eða rafrænum skilríkjum.
Í húsnæði Tryggingastofnunar að Hlíðarsmára 11 í Kópavogi er rafræn vöktun. Vöktun fer fram í öryggis- og eignavörsluskyni en eftirlitsmyndavélum hefur verið komið upp við innganga stofnunarinnar, í þjónustumiðstöð og utan við húsið. Þær vélar vakta bílastæði og stéttar við 1. og 2. hæð stofnunarinnar. Einnig fer fram rafræn vöktun með hljóðritun símtala í símaver stofnunarinnar. Við umrædda vöktun er þess gætt að virða einkalífsrétt þeirra sem sæta vöktun og forðast allt óþarfa inngrip í einkalíf þeirra.
Nánar um meðferð persónuupplýsinga
Tryggingastofnun stjórnar með ábyrgum hætti öryggi og vernd persónuupplýsinga sem stofnunin hefur í vörslu sinni og ábyrgist að persónuupplýsingar sem stofnunin hefur í umsjón sinni verði varðveittar á tryggan hátt og að enginn óviðkomandi aðili hafi aðgang að þeim.
Persónuupplýsinga er einungis aflað í skýrt tilgreindum tilgangi og vinnsla þeirra takmörkuð við það sem er nauðsynlegt. Þá skulu upplýsingarnar vera áreiðanlegar, uppfærðar eftir þörfum og varðveittar á öruggan hátt.
Stofnunin starfar að öllu leyti í samræmi við lög og reglur sem gilda um persónuvernd.
Til að tryggja ofangreint hefur stofnunin gert meðal annars eftirfarandi ráðstafanir:
Aðgangur að upplýsinga-og tölvukerfum stofnunar er stýrt þannig að starfsmenn hafa einungis aðgang að þeim kerfum og málum sem þeir þurfa til að sinna starfi sínu svo sem aðgang að viðkvæmum persónuupplýsingum
Sett hefur verið upplýsingaöryggisstefna þar sem fram kemur að stofnunin varðveiti og hámarki öryggi upplýsinga og verji upplýsingar í vörslu TR fyrir innri og ytri ógnum, hvort sem þær stafa af ásetningi eða gáleysi.
Stofnunin hefur sett sér verklagsreglur um hvernig starfsmenn skuli bregðast við verði öryggisbrot eða grunur um öryggisbrot.
Gögn eru varðveitt með öruggum hætti í tölvu- og upplýsingakerfum stofnunarinnar skv. sérstökum reglum þar um og í til þess gerðri geymslu, ef um pappír er að ræða.
Gögnum er ekki eytt nema með grisjunarheimild frá Þjóðskjalasafni en stofnuninni ber að varðveita gögn sín sbr. lög um opinber skjalasöfn en stofnunin er skilaskyld til Þjóðskjalasafns.
Allir starfsmenn eru bundnir þagnarskyldu um það sem þeir verða varir við vegna vinnu sinnar. Þeir undirrita heit um þagnarskyldu er þeir hefja störf hjá stofnuninni.
Auk þess undirrita þeir sem hafa aðgang, starfs sín vegna, að viðkvæmum persónuupplýsingum sérstaka yfirlýsingu um þagnarskyldu.
Starfsmenn fá einnig reglulega fræðslu um meðferð gagna og mikilvægi persónuverndar.
Persónuverndarfulltrúi
Persónuverndarfulltrúi Tryggingastofnunar tekur á móti ábendingum og svarar spurningum sem kunna að vakna varðandi persónuvernd á netfangið personuvernd@tr.is.
