Persónuverndarstefna Ósa
Ósar ber ábyrgð á vinnslu og meðferð persónuupplýsinga sem unnið er með í starfsemi félagsins ýmist sem ábyrgðaraðili persónuupplýsinga, þ.e. sá aðili sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga, eða sem vinnsluaðili þeirra, þ.e. sá aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila. Persónuupplýsingar teljast allar persónugreinanlegar upplýsingar um skráðan einstakling eða upplýsingar sem hægt er að nota til að persónugreina einstakling, beint eða óbeint, af upplýsingunum einum og sér eða með frekari gögnum. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
Persónuverndarstefna Ósa sem PDF
Ósar kann að safna, skrá, nota, varðveita eða flytja persónuupplýsingar um einstaklinga.
Þessum persónuupplýsingum má skipta í eftirfarandi flokka:
- Auðkennisupplýsingar: s.s. nafn, notendanafn og samskonar auðkenni, kennitala og kyn.
- Samskiptaupplýsingar: s.s. heimilisfang, tölvupóstur, símanúmer.
- Starfstengdar upplýsingar: s.s. upplýsingar um vinnustað, sérgrein, starfsnúmer
- Fjármálaupplýsingar: s.s. bankareikningsupplýsingar eða aðrar greiðsluupplýsingar.
- Upplýsingar um viðskiptasögu: s.s. yfirlit yfir þær vörur sem keyptar hafa verið og reikninga sem gefnir hafa verið út.
- Tæknilegar upplýsingar: s.s. ip-tala, innskráningarupplýsingar, upplýsingar um tegund og útgáfu vafra.
- Upplýsingar um notendahegðun: s.s. upplýsingar um hvernig heimasíður, vörur eða þjónusta er notuð.
- Upplýsingar um markaðssetningu: s.s. upplýsingar sem tengjast vali einstaklings á því hvort félaginu sé heimilt að senda markaðsefni.
- Ferðaupplýsingar: s.s. upplýsingar úr vegabréfi o.fl.
- Upplýsingar um áhugamál og venjur: s.s. upplýsingar er tengjast heilsu og lífstíl, upplýsingar er tengjast áhugasviði/sérsviði einstaklings.
- Aðrar upplýsingar sem gætu talist persónuupplýsingar í skilningi laganna: s.s. upplýsingar í tengslum við notkun einstaklinga á ákveðinni vöru, upplýsingar um samskipti ákveðins aðila við starfsmenn Ósa o.fl.
Að auki getur verið nauðsynlegt að vinna viðkvæmar persónuupplýsingar t.d. heilsufarsupplýsingar um einstaklinga, og þá aðeins þegar slík vinnsla uppfyllir lagaskilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.
Persónuverndarlögin takmarka hvernig persónuupplýsingar skulu meðhöndlaðar. Takmarkanirnar koma þó ekki í veg fyrir vinnslu persónuupplýsinga heldur eiga að stuðla að því að persónuupplýsingar séu unnar á sanngjarnan og lögmætan hátt og aðeins í tilgreindum
tilgangi. Ósar vinnur aðeins persónuupplýsingar einstaklinga ef heimild er fyrir því í persónuverndarlögum. Vinnsla almennra persónuupplýsinga fer þannig einungis fram þegar a.m.k. eitt af eftirfarandi skilyrðum er uppfyllt:
- Einstaklingur hefur gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða;
- Vinnsla persónuupplýsinga telst nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
- Vinnsla persónuupplýsina telst nauðsynleg til að uppfylla lagaskyldu;
- Vinnsla persónuupplýsinga telst nauðsynleg til að vernda brýna hagsmuni hins skráða einstaklings eða annars einstaklings;
- Vinnsla persónuupplýsinga telst nauðsynleg vegna lögmætra hagsmuna félagsins, viðskiptavinar eða annars þriðja aðila, þ.e. þegar hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vega ekki þyngra.
Persónuupplýsingar einstaklings kunna að vera unnar samkvæmt fleiri en einni heimild eftir tilgangi vinnslunnar hverju sinni en einstaklingum er ætíð velkomið að hafa samband ef þeir óska eftir því að fá nánari upplýsingar um tilgang vinnslu og það hvaða heimild býr að baki vinnslunni. Vinnsla viðkvæmra persónuupplýsinga fer einungis fram þegar einstaklingur hefur gefið samþykki sitt fyrir slíkri vinnslu eða ef hún telst nauðsynleg til að uppfylla lagaskyldu eða til að vernda brýna hagsmuni einstaklings eða annars einstaklings og aðeins þegar uppfyllt er a.m.k. eitt af lagaskilyrðum fyrir vinnslu viðkvæmra persónuupplýsinga, sbr. 11. gr. persónuverndarlaga nr. 90/2018.
Mismunandi aðferðir eru notaðar við söfnun persónuupplýsinga en eftirfarandi eru dæmi um
það með hvaða hætti Ósar safnar persónuupplýsingum í starfsemi sinni:
-
Söfnun upplýsinga beint frá einstaklingi
Algengast er að starfsmenn Ósa móttaki og safni auðkennis- og samskiptaupplýsingum beint frá einstaklingnum sjálfum, m.a. frá viðskiptavinum, tengiliðum viðskiptavina, heilbrigðisstarfsmönnum, sjúklingum, aðstandendum sjúklinga, starfsfólki, umsækjendum um störf o.fl. Í öðrum tilvikum geta
einstaklingar einnig verið beðnir um að láta af hendi starfstengdar upplýsingar, fjármálaupplýsingar sem og aðra flokka persónuupplýsinga. Í ákveðnum tilvikum taka starfsmenn Ósa á móti viðkvæmum persónuupplýsingum frá einstaklingnum sjálfum, t.d. heilsufarsupplýsingum.Einstaklingar geta ætíð hafnað því að afhenda persónuupplýsingar þegar eftir því er leitað. Hins vegar, ef einstaklingur kýs að láta ekki af hendi upplýsingar
sem eru nauðsynlegar til að veita umbeðna þjónustu eða framkvæma samningsbundnar skyldur, gæti það leitt til þess að ómögulegt sé, að öllu leyti
eða hluta, að veita einstaklingnum þá þjónustu sem óskað er eftir eða fullnægja samningsskuldbindingum sínum á annan hátt. -
Söfnun persónuupplýsinga með sjálfvirkri tækni
Ósar kann einnig að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður sem reknar eru af félaginu. Þeim persónuupplýsingum er safnað með notkun á vafrakökum, atvikaskráningu og svipaðri tækni. Sjá nánar um vafrakökur hér.
-
Söfnun persónuupplýsinga frá þriðja aðila
Í vissum tilvikum gætu starfsmenn Ósa tekið við persónuupplýsingum frá þriðja aðila eða aflað persónuupplýsinga frá fyrirtækjum, stofnunum eða tengiliðum
lögaðila, sem búa yfir persónuupplýsingum um einstakling, þegar fyrrnefndir aðilar hafa heimild til að afhenda félaginu slíkar upplýsingarnar og þegar
upplýsingarnar eru nauðsynlegar félaginu í ákveðnum tilgangi. Það sama á við um persónuupplýsingar sem eru birtar opinberlega, s.s. persónuupplýsingar
heilbrigðisstarfsmanna í opinberum skrám eða af vefsíðum, enda er vinnsla þeirra almennt heimil og upplýsingarnar aðeins unnar að því marki og í þeim tilgangi sem viðkomandi upplýsingar voru upphaflega gerðar aðgengilegar.
Ósar leitast eftir því að haga allri vinnslu persónuupplýsinga með sanngjörnum og gagnsæjum hætti gagnvart hinum skráða einstakling. Persónuupplýsingarnar eru ætíð unnar í skýrt tilgreindum og málefnanlegum tilgangi og ekki unnar í öðrum og óskyldum tilgangi nema félagið hafi til þess heimild og einstaklingur hafi verið upplýstur um hinn nýja tilgang. Vinnsla persónuupplýsinga er ætíð takmörkuð við þær upplýsingar sem teljast nauðsynlegar og viðeigandi miðað við tilgang vinnslunnar hverju sinni. Hér á eftir má finna upptalningu á því í hvaða tilgangi Ósar kann að vinna persónuupplýsingar um einstaklinga. Þegar félaginu gefst færi á að veita einstaklingum beint allar nauðsynlegar upplýsingar um vinnslu persónuupplýsinga á þeim tíma sem þeim er safnað eða þær mótteknar er það gert með viðeigandi persónuverndarfyrirvara sem tekur þá sérstaklega til tiltekinna vinnsluaðgerða. Þannig ber ekki að túlka þá upptalningu sem á eftir fer sem tæmandi heimild fyrir hvers konar vinnsluaðgerðir sem framkvæmdar eru í starfsemi Ósa.
- Vinnsla persónuupplýsinga við heimsókn á vefsíður
- Vinnsla persónuupplýsinga vegna fyrirspurna og kvartana
- Vinnsla persónuupplýsinga um viðskiptavini
- Vinnsla persónuupplýsinga um tengiliði fyrirtækja/stofnana
- Vinnsla persónuupplýsinga vegna tilkynninga er varða öryggi lyfja og lækningatækja
- Vinnsla persónuupplýsinga um starfsmenn
- Vinnsla persónuupplýsinga umsækjenda um störf
- Vinnsla persónuupplýsinga í tengslum við rafræna vöktun og gestamóttöku
- Önnur vinnsla persónuupplýsinga
- Kynningar- og markaðsstarf
Ósar framkvæmir ýmsar aðgerðir í tengslum við markaðs- og kynningarstarf á þjónustu og starfsemi félagsins. Í því samhengi getur verið nauðsynlegt að safna og nota persónuupplýsingar um þann sem markaðsstarfinu er beint að og er þá einna helst átt við samskiptaupplýsingar einstaklings, s.s. nafn, símanúmer og netfang. Afhending persónuupplýsinga í almennum tilgangi markaðssetningar er einstaklingum alltaf valkvæð og aldrei skilyrði fyrir veittri þjónustu. Í ákveðnum tilvikum, s.s. þegar stuðst er við beina rafræna markaðssetningu, krefjast lög þess að félagið afli fyrirfram samþykkis þess einstaklings sem markaðssetningunni er beint að. Einstaklingur sem veitir samþykki sitt getur ávallt dregið samþykki sitt til baka og þar með hafnað frekari samskiptum við félagið í tilgreindum tilgangi. Vilji einstaklingur hafna því að fulltrúar Ósa hafi samband við viðkomandi í formi beinnar markaðssetningar, s.s. með símtali eða tölvupósti, má senda beiðni þess efnis á netfangið: personuvernd@osar.is.
Miðlun persónuupplýsinga á milli starfsmanna getur verið nauðsynleg en er aðeins heimil þegar viðtakandi upplýsinganna hefur ástæðu til að öðlast upplýsingarnar starfs síns vegna og miðlunin er í samræmi við viðeigandi takmarkanir á miðlun persónuupplýsinga. Persónuupplýsingar eru ekki seldar til þriðja aðila en Ósar kann hins vegar að vera skylt eða nauðsynlegt að miðla eða afhenda persónuupplýsingum til þriðja aðila, t.d. til eftirlitsaðila, stjórnvalda eða annarra lögaðila sem félagið á í viðskiptasambandi við. Slík afhending fer eingöngu fram sé hún heimil samkvæmt lögum og þannig að ávallt sé gætt að upplýsingarnar séu meðhöndlaðar sem trúnaðarmál.
Þjónustuaðilar Ósa í hlutverki vinnsluaðila, sem hafa m.a fengið það hlutverk að vinna persónuupplýsingar fyrir hönd félagsins, kunna að fá afhentar persónuupplýsingar vegna framkvæmdar á þjónustusamningi milli aðila. Slíkir vinnsluaðilar geta ýmist verið þjónustuveitendur, umboðsmenn eða verktakar á vegum félagsins en einungis er leitað til vinnsluaðila sem geta veitt nægilegar tryggingar fyrir því að vinnsla persónuupplýsinga og réttindi einstaklinga uppfylli þær kröfur sem persónuverndarlög áskilja. Ósar afhendir vinnsluaðilum sínum einungis þær persónuupplýsingar sem eru nauðsynlegar vegna tilgangs vinnslunnar og slík vinnsla byggist ætíð á samningi aðila þar sem vinnsluaðilinn undirgengst þær skyldur að tryggja öryggi upplýsinganna og nota þær eingöngu í þeim tilgangi sem getið er um í samningi aðila.
Persónuverndarlög takmarka miðlun persónuupplýsinga yfir landamæri til þess að tryggja viðeigandi persónuvernd einstaklinga. Miðlun persónuupplýsinga yfir landamæri er talin eiga sér stað þegar persónuupplýsingar frá einu landi eru fluttar, sendar, skoðaðar eða með öðrum hætti eru gerðar aðgengilegar í öðru landi. Ósar kann að miðla og/eða flytja persónuupplýsingar úr landi, þ.e. til viðtökulands sem veita persónuupplýsingum fullnægjandi vernd, sbr. öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd. Í undantekningartilfellum er persónuupplýsingum miðlað til landa utan EES-svæðisins og þá eingöngu þegar heimild er fyrir slíku, s.s. þegar viðeigandi verndarráðstafanir eru til staðar, svo sem bindandi fyrirtækjareglur, stöðluð ákvæði um persónuvernd sem eftirlitsyfirvald hefur samþykkt og framkvæmdastjórn Evrópusambandsins viðurkennt, viðurkenndar hátternisreglur, viðurkennt vottunarkerfi, þegar hinn skráði einstaklingur hefur verið upplýstur um mögulega áhættu slíks flutnings og hefur gefið afdráttarlaust samþykki sitt fyrir flutningnum eða á grundvelli annarra ráðstafana sem um getur í 46. gr. almennu persónuverndarreglugerðarinnar. Í slíkum tilfellum eru aldrei sendar meiri upplýsingar er nauðsynlegt er.
Upplýsingar eru ekki varðveittar á persónugreinanlegu formi lengur en nauðsynlegt er miðaðvið upphaflegan tilgang með söfnun þeirra og vinnslu. Persónuupplýsingar eru varðveittar á meðan viðskiptasambönd vara, eins lengi og lög kveða á um eða lögmætir hagsmunir krefjast og málefnaleg ástæða gefur tilefni til. Málefnanleg ástæða telst til staðar ef enn er unnið með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra. Af framangreindu leiðir að mismunandi varðveislutímabil getur átt við eftir tegund og eðli persónuupplýsinga. Starfsmenn fylgja stefnum og verklagsreglum um varðveislu og eyðingu persónuupplýsinga og reglulega fer fram innri úttekt á varðveislu persónuupplýsinga og þeim persónuupplýsingum eytt sem ekki er lengur þörf á að varðveita eða þær gerðar ópersónugreinanlegar, nema lög krefjist þess að slíkar upplýsingar séu varðveittar í lengri tíma.
Persónuverndarlög kveða á um og tryggja einstaklingum ákveðin réttindi varðandi meðhöndlun persónuupplýsinga, m.a. til fræðslu og upplýsinga um hvernig persónuupplýsingar eru unnar. Ósar virðir réttindi eigenda persónuupplýsinga en eftirtalin réttindi geta þó verið háð takmörkunum sem leiða m.a. af lögum, hagsmunum annarra sem upplýsingarnar varða eða mikilvægum fjárhags- eða viðskiptahagsmunum félagsins. Vilji einstaklingur leggja fram beiðni er varðar neðangreind réttindi hans (‘’persónuverndarbeiðni’’) skal það gert með því að senda inn formlega persónuverndarbeiðni til persónuverndarfulltrúa félagsins á netfangið: personuvernd@osar.is.
Einstaklingur á rétt á að fá fræðslu og upplýsingar um það hvort og þá hvernig unnið er með persónuupplýsingar hans í starfseminni. Þannig getur einstaklingur átt rétt á upplýsingum um tilgang vinnslu persónuupplýsinga, flokka persónuupplýsinga, viðtakendur þeirra, viðmið um varðveislutíma, réttindi sem hann hefur, og heimild hans til að leggja fram kvörtun hjá Persónuvernd o.fl. Þá á einstaklingur jafnframt rétt á að óska eftir aðgangi að persónuupplýsingum og afhendingu þeirra á því formi sem mögulegt er hverju sinni, skriflega eða rafrænt.
Einstaklingur sem óskar eftir að koma á framfæri breyttum upplýsingum er bent á að koma þeim á framfæri með því að senda inn formlega persónuverndarbeiðni í gegnum vefsíðu Ósa eða með tölvupósti á netfangið personuvernd@osar.is. Einstaklingur á rétt á að fá óáreiðanlegar eða rangar persónuupplýsingar um sig leiðréttar og í ákveðnum tilvikum á hann einnig rétt á að persónuupplýsingum sé alfarið eytt.
Einstaklingur getur andmælt vinnslu persónuupplýsinga sem varða hans tilteknu aðstæður
þegar vinnsla hefur verið réttlætt á grundvelli lögmætra hagsmuna eða almannahagsmuna.
Ósar leitast ætíð eftir því að gera einstaklingum sérstaklega grein fyrir andmælarétti með
skýrum hætti þegar það á við. Komi andmæli fram við vinnslu persónuupplýsinga mun
félagið ekki vinna persónuupplýsingar frekar nema lagaskilyrði til þess séu til staðar.
Einstaklingur getur í ákveðnum tilvikum farið fram á að vinnsla persónuupplýsinga um sig sé takmörkuð tímabundið, t.d. ef hann telur að persónuupplýsingar sem unnar eru séu ekki réttar, ef hann telur félagið ekki hafa heimild til vinnslunnar eða þurfi ekki lengur á persónuupplýsingunum að halda. Í slíkum tilfellum er vinnsla stöðvuð meðan slík beiðni er yfirfarin og upplýsingar veittar um framhaldið.
Einstaklingur á rétt á að fá upplýsingar sem hann hefur sjálfur látið félaginu í té fluttar til annars ábyrgðaraðila sem einstaklingur vísar á ef það er tæknilega framkvæmanlegt. Einungis er um að ræða persónuupplýsingar sem félagið hefur aflað á grundvelli samþykkis einstaklings eða vegna framkvæmdar samnings og eru unnar með sjálfvirkum hætti. Eftir flutninginn ber þriðji aðili ábyrgð á upplýsingunum sem einstaklingur hefur óskað eftir að séu fluttar.
Einstaklingur sem veitt hefur samþykki sitt fyrir vinnslu persónuupplýsinga í ákveðnum tilgangi á rétt á að draga það samþykki til baka. Afturkalli einstaklingur samþykki sitt mun það þó ekki hafa áhrif á þá vinnslu sem átt hefur sér stað áður en samþykki var dregið til baka en getur orðið til þess að Ósar geti ekki veitt áfram ákveðna þjónustu sem óskað er eftir.
Einstaklingar hafa rétt til að leggja fram kvörtun hjá Persónuvernd vegna meðferðar á persónuupplýsingum sínum. Komi upp ágreiningur um meðferð persónuupplýsinga óskar félagið þó tækifæris til að leysa úr þeim ágreiningi áður en kvörtun er send til Persónuverndar.
Vilji einstaklingur leggja fram beiðni er varðar réttindi hans á grundvelli laga um persónuvernd skal það gert með því að senda inn formlega persónuverndarbeiðni til persónuverndarfulltrúa félagsins á netfangið: personuvernd@osar.is. Berist félaginu formleg persónuverndarbeiðni frá einstaklingum um að neyta ofangreindra réttinda upplýsir félagið beiðanda um þær aðgerðir sem gripið verður til eins fljótt og auðið er en í síðasta lagi innan tveggja vikna frá viðtöku hennar.
Ósar verður almennt við beiðnum er varða ofangreind réttindi einstaklinga þegar félagið telst ábyrgðaraðili persónuupplýsinganna en áskilur sér þó rétt til að neita að verða við beiðni sem er augljóslega tilefnislaus eða óhófleg. Svo unnt sé að afgreiða slíkar beiðnir er félaginu nauðsynlegt að afla persónuupplýsinga um beiðanda til að tryggja auðkenningu. Formleg afgreiðsla persónuverndarbeiðni getur því ekki hafist fyrr en auðkenning hefur farið fram. Telji beiðandi að Ósar verði ekki á fullnægjandi hátt við framkominni beiðni getur beiðandi lagt fram kvörtun til persónuverndarfulltrúa félagsins á netfangið personuvernd@osar.is eða sent kvörtun til Persónuverndar.
-
Öryggisráðstafanir í þágu persónuverndar og fylgni við meginreglur
Ósar hefur innleitt tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja upplýsingaöryggi almennt og það að farið sé að meginreglum um vinnslu
persónuupplýsinga. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfseminni og hafa viðeigandi verkferla, aðferðir, þjálfun, öryggisþætti og aðra þætti verið innleiddir með það að markmiði að tryggja fylgni við meginreglur laga um persónuvernd. Persónuupplýsingar sem Ósar safnar, vinnur og varðveitir eru varðar með ströngum reglum og ferlum bæði þegar kemur að mannshöndinni og rafrænu umhverfi. Öllum slíkum öryggisráðstöfunum er fyrst og fremst ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Aðrar ráðstafanir miða að því að tryggja að sjálfgefið sé að persónuupplýsingar, sem safnað er og notaðar eins og nauðsyn krefur í sértækum tilgangi, séu ekki geymdar lengur en þurfa þykir og séu ekki gerðar aðgengilegar fyrir óviðkomandi aðila. -
Persónuverndarfulltrúi
Persónuverndarfulltrúi ber meginábyrgð á málefnum er varða persónuvernd og er tengiliður við persónuverndaryfirvöld. Fulltrúinn hefur eftirlit með reglufylgni, svo sem að innri stefnum og verkferlum, er varðar upplýsingaöryggi og meðhöndlum persónuupplýsinga, sé fylgt. Fulltrúinn hefur einnig mikilvægu hlutverki að gegna gagnvart starfsmönnum, s.s. við öryggisvakningu, upplýsingagjöf, fræðslu og þjálfun. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfseminni og það er á ábyrgð persónuverndarfulltrúa að sjá til þess að allir starfsmenn séu meðvitaðir um og þjálfaðir í öllum innri verklagsreglum er varða persónuvernd og meðferð persónuupplýsinga.
-
Virk öryggisvitund starfsmanna
Ósar stuðlar að virkri öryggisvitund starfsmanna og sér starfsmönnum fyrir fullnægjandi og viðeigandi fræðslu og þjálfun. Allir starfsmenn eru þátttakendur
í stefnum félagsins er varða persónuvernd og skuldbinda sig til að fylgja persónuverndaryfirlýsingu og þeim verklagsreglum sem eiga að tryggja framfylgd hennar. Samningsbundin- og/eða lögbundin þagnarskylda hvílir á öllum starfsmönnum, og öðrum sem koma að vinnslu persónuupplýsinga fyrir hönd félagsins, um allt það sem þeir fá vitneskju um við störf sín. Brot á trúnaðarskyldum eru litin alvarlegum augum og fara í skilgreindan farveg í samræmi við agastefnu félagsins. -
Skjölun
Ósar skjalfestir með nákvæmum hætti vinnslu persónuupplýsinga, að því marki sem slíkrar skráningar er krafist samkvæmt persónuverndarlögum. Þannig
skilgreinir félagið og skjalfestir grundvöll fyrir vinnslu hvers vinnsluþáttar persónuupplýsinga í starfseminni og heldur skrá yfir vinnslustarfsemina. -
Innbyggð persónuvernd og mat á áhrifum á persónuvernd
Reglulega fer fram mat á því með hvaða hætti unnt er að tryggja innbyggða persónuvernd í öllum forritum, kerfum og ferlum sem notuð eru og stuðst er við
í starfseminni. Slíkt mat fer fram með hliðsjón af ýmsum atriðum, s.s. nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslu sem
og þeirrar áhættu sem vinnslan getur haft á réttindi og frelsi einstaklinga. Sé um að ræða áhættusama vinnslu í skilningi persónuverndarlaga fer til viðbótar fram reglulegt mat á áhrifum persónuverndar. -
Strangar kröfur gerðar til upplýsingakerfa
Til allra upplýsingakerfa sem notuð eru í starfsemi Ósar eru gerðar þær kröfur að þau styðji markmið félagsins um fylgni við lög og reglur um persónuvernd
og þess er ávallt gætt að persónuupplýsingar séu eingöngu aðgengilegar þeim starfsmönnum sem er aðgangurinn nauðsynlegur í störfum sínum. Aðgangi að
upplýsingum er stýrt með aðgangsstýringum. -
Öryggisbrestur við meðferð og vinnslu persónuupplýsinga
Allt er gert til þess að tryggja að ekki komi til öryggisbrests við vinnslu persónuupplýsinga í starfseminni. Öryggisbrestur er þegar brestur eða brot verður
á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, að persónuupplýsingar eru sendar óviðkomandi aðila, varðveittar eða unnar á annan hátt, eða þær glatast, breytast, er birtar eða aðgangur er veittur að þeim í leyfisleysi.
Öryggisbrestur getur falið í sér brot á trúnaði, leitt til þess að upplýsingar verði ekki aðgengilegar eða persónuupplýsingum er breytt.
Persónuverndarfulltrúi, í samstarfi við starfsmenn upplýsingatæknisviðs, hefur eftirlit með mögulegum öryggisbrestum meðal annars til að tryggja fylgni við
lög og reglur varðandi meðhöndlun frávika og frávikaskráningar. Komi upp öryggisbrestur við meðferð persónuupplýsinga virkjast skilgreindir innri verkferlar
sem m.a. tryggja að öryggisbrestir séu tilkynntir með viðeigandi hætti innan þeirra tímamarka sem lög og reglur krefjast.
-
Öryggisráðstafanir í þágu persónuverndar og fylgni við meginreglur
Ósar hefur innleitt tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja upplýsingaöryggi almennt og það að farið sé að meginreglum um vinnslu
persónuupplýsinga. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfseminni og hafa viðeigandi verkferla, aðferðir, þjálfun, öryggisþætti og aðra þætti verið innleiddir með það að markmiði að tryggja fylgni við meginreglur laga um persónuvernd.
Persónuupplýsingar sem Ósar safnar, vinnur og varðveitir eru varðar með ströngum reglum og ferlum bæði þegar kemur að mannshöndinni og rafrænu
umhverfi. Öllum slíkum öryggisráðstöfunum er fyrst og fremst ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn
óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Aðrar ráðstafanir miða að því að tryggja að sjálfgefið sé að persónuupplýsingar, sem safnað er og notaðar eins og nauðsyn krefur í sértækum tilgangi, séu ekki geymdar lengur en þurfa þykir og séu ekki gerðar aðgengilegar fyrir óviðkomandi aðila. -
Persónuverndarfulltrúi
Persónuverndarfulltrúi ber meginábyrgð á málefnum er varða persónuvernd og er tengiliður við persónuverndaryfirvöld. Fulltrúinn hefur eftirlit með reglufylgni, svo sem að innri stefnum og verkferlum, er varðar upplýsingaöryggi og meðhöndlum persónuupplýsinga, sé fylgt. Fulltrúinn hefur einnig mikilvægu hlutverki að gegna gagnvart starfsmönnum, s.s. við öryggisvakningu, upplýsingagjöf, fræðslu og þjálfun. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfseminni og það er á ábyrgð persónuverndarfulltrúa að sjá til þess að allir starfsmenn séu meðvitaðir um og þjálfaðir í öllum innri verklagsreglum er varða persónuvernd og meðferð persónuupplýsinga.
-
Virk öryggisvitund starfsmanna
Ósar stuðlar að virkri öryggisvitund starfsmanna og sér starfsmönnum fyrir fullnægjandi og viðeigandi fræðslu og þjálfun. Allir starfsmenn eru þátttakendur
í stefnum félagsins er varða persónuvernd og skuldbinda sig til að fylgja persónuverndaryfirlýsingu og þeim verklagsreglum sem eiga að tryggja framfylgd
hennar. Samningsbundin- og/eða lögbundin þagnarskylda hvílir á öllum starfsmönnum, og öðrum sem koma að vinnslu persónuupplýsinga fyrir hönd
félagsins, um allt það sem þeir fá vitneskju um við störf sín. Brot á trúnaðarskyldum eru litin alvarlegum augum og fara í skilgreindan farveg í samræmi við agastefnu félagsins. -
Skjölun
Ósar skjalfestir með nákvæmum hætti vinnslu persónuupplýsinga, að því marki sem slíkrar skráningar er krafist samkvæmt persónuverndarlögum. Þannig
skilgreinir félagið og skjalfestir grundvöll fyrir vinnslu hvers vinnsluþáttar persónuupplýsinga í starfseminni og heldur skrá yfir vinnslustarfsemina. -
Innbyggð persónuvernd og mat á áhrifum á persónuvernd
Reglulega fer fram mat á því með hvaða hætti unnt er að tryggja innbyggða persónuvernd í öllum forritum, kerfum og ferlum sem notuð eru og stuðst er við
í starfseminni. Slíkt mat fer fram með hliðsjón af ýmsum atriðum, s.s. nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslu sem og þeirrar áhættu sem vinnslan getur haft á réttindi og frelsi einstaklinga. Sé um að ræða áhættusama vinnslu í skilningi persónuverndarlaga fer til viðbótar fram reglulegt mat á áhrifum persónuverndar. -
Strangar kröfur gerðar til upplýsingakerfa
Til allra upplýsingakerfa sem notuð eru í starfsemi Ósar eru gerðar þær kröfur að þau styðji markmið félagsins um fylgni við lög og reglur um persónuvernd
og þess er ávallt gætt að persónuupplýsingar séu eingöngu aðgengilegar þeim starfsmönnum sem er aðgangurinn nauðsynlegur í störfum sínum. Aðgangi að
upplýsingum er stýrt með aðgangsstýringum. -
Öryggisbrestur við meðferð og vinnslu persónuupplýsinga
Allt er gert til þess að tryggja að ekki komi til öryggisbrests við vinnslu persónuupplýsinga í starfseminni. Öryggisbrestur er þegar brestur eða brot verður
á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, að persónuupplýsingar eru sendar óviðkomandi aðila, varðveittar eða unnar á annan hátt, eða þær glatast, breytast, er birtar eða aðgangur er veittur að þeim í leyfisleysi. Öryggisbrestur getur falið í sér brot á trúnaði, leitt til þess að upplýsingar verði ekki aðgengilegar eða persónuupplýsingum er breytt.
Persónuverndarfulltrúi, í samstarfi við starfsmenn upplýsingatæknisviðs, hefur eftirlit með mögulegum öryggisbrestum meðal annars til að tryggja fylgni við
lög og reglur varðandi meðhöndlun frávika og frávikaskráningar. Komi upp öryggisbrestur við meðferð persónuupplýsinga virkjast skilgreindir innri verkferlar
sem m.a. tryggja að öryggisbrestir séu tilkynntir með viðeigandi hætti innan þeirra tímamarka sem lög og reglur krefjast. -
Tilkynning um öryggisbrest
Ef upp kemur öryggisbrestur við vinnslu persónuupplýsinga sem líklegt er að hafi í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga er Persónuvernd og eftir atvikum einstaklingum gert viðvart, án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72.klst. eftir að hann verður öryggisbrestsins var, í samræmi við 27. laga um persónuvernd og vinnslupersónuupplýsinga.
Ef aðilar verða varir við öryggisbrest er varðar persónuvernd eru þeir vinsamlegast beðnir um að hafa samband með því að senda tölvupóst á netfangið:
personuvernd@osar.is án ótilhlýðilegrar tafar til að draga úr líkum á tjóni. Dæmi um öryggisbrot sem félagið vill fá upplýsingar um er t.d. ef einstaklingur fær sendan tölvupóst sem inniheldur persónuupplýsingar sem eru móttakandanum óviðkomandi og/eða inniheldur persónuupplýsingar um einhvern annan aðila.
-
Um vafrakökur
Ósar kann að safna tæknilegum upplýsingum um einstaklinga með sjálfvirkum hætti þegar einstaklingar heimsækja og nota vefsíður sem reknar eru af félaginu.
Slíkum upplýsingum er safnað með notkun á vafrakökum, atvikaskráningu og svipaðri tækni. Í sumum tilfellum kann notkun vafrakaka að vera tæknilega
nauðsynleg þannig notendur fái góða upplifun á vefsíðum. Að auki kann tímabundin varðveisla þeirra gagna sem safnast með notkun slíkra vafrakaka
einnig að teljast nauðsynleg af öryggisástæðum, þ.e. til að geta tryggt rekjanleika upplýsinganna komi til óheimils aðgangs að netþjónum félagsins. Vafrakökur safna ekki upplýsingum um nöfn notenda, tölvupóstföng, símanúmer eða kennitölur og tilgangur með notkun þeirra er ekki að auðkenna notendur. Hins vegar gæti komið til þess á ákveðnum tilvikum að vafrakaka safnar það miklu magni af öðrum tegundum upplýsinga sem gætu mögulega auðkennt notanda á einn eða annan hátt. Þegar það á við teljast upplýsingarnar til persónuupplýsinga í skilningi laga nr.90/2018 um persónuvernd og vinnslu persónuupplýsinga. Sjá nánar um vafrakökur hér. -
Um þráðlaust net
Þráðlaust net er læst með WPA lykli. Ósar skráir ekki sérstaklega netnotkun þeirra sem tengjast þráðlausu neti en hins vegar er öll netumferð skráð í öryggisbúnað félagsins. Öryggisbúnaðurinn skráir upplýsingar um tæki notandans, s.s. IP-tölu og tegund tækis. Ekki er leitað í skrár sem tilheyra öryggisbúnaðinum nema rökstuddur grunur sé uppi um brot á lögum, ef rökstuddur grunur er uppi um að alvarlegur öryggisbrestur hefur átt sér stað eða við bilanaleit.
Persónuverndarfulltrúi hefur eftirlit með því að farið sé að gildandi lögum og reglum um persónuvernd í starfsemi félagsins. Fyrirspurnum, athugasemdum og ábendingum sem varða vinnslu persónuupplýsinga er unnt að beina á netfangið: personuvernd@osar.is eða með því að senda bréfpóst til: Persónuverndarfulltrúi Ósar, Lynghálsi 13, 110 Reykjavík, Ísland.
Einstaklingar hafa rétt til að senda kvörtun til Persónuverndar hvenær sem er ef þeir eru andvígir eða ósáttir við það hvernig unnið er með persónuupplýsingar um þá eða ef þeir telja að slíkar upplýsingar séu ekki meðhöndlaðar á þann hátt sem lög um meðferð persónuupplýsinga kveða á um. Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið: postur@personuvernd.is eða með því að senda bréfpóst til: Persónuvernd, Rauðarárstígur 10, 105 Reykjavík, Ísland. Ósar óskar þó eftir því að einstaklingur hafi fyrst samband við persónuverndarfulltrúa félagsins þannig að félagið fái tækifæri til að leysa úr ágreiningi áður en kvörtun er send til Persónuverndar.
Eftirfarandi persónuverndaryfirlýsing var síðast endurskoðuð í júní 2021. Yfirlýsingin er yfirfarin reglulega, og ekki sjaldnar en árlega, til að sjá til þess að hún endurspegli þá vinnslu persónuupplýsinga sem á sér stað á hverjum tíma og til að tryggja rétta upplýsingagjöf um vinnslu og meðferð persónuupplýsinga í starfseminni. Efni yfirlýsingarinnar kann að taka breytingum í samræmi við breytingar á lögum og reglum um notkun og meðferð persónuupplýsinga. Breytingar á yfirlýsingunni öðlast gildi við birtingu uppfærðrar yfirlýsingar á vefsíðu félagsins.
Persónuverndaryfirlýsing var síðast endurskoðuð í desember 2021