Innri persónuverndarstefna

Innri persónuverndarstefna Premium

Almennt
Í starfsemi Premium ehf. er nauðsynlegt að safna og vinna með persónuupplýsingar um einstaklinga. Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja beint eða óbeint til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira.
Þær persónuupplýsingar sem Premium hefur undir höndum geta verið um starfsmenn þess, viðsemjendur, viðskiptavini og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.

Með þessari persónuverndarstefnu er kveðið á um hvernig Premium skuli safna, geyma og að öðru leyti meðhöndla persónuupplýsingar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (hér eftir „persónuverndarlög“). 

Þessari persónuverndarstefnu er einkum ætlað að tryggja að Premium:
  • vinni persónuupplýsingar í samræmi við persónuverndarlög og fylgi viðurkenndum starfsreglum til að tryggja öryggi þeirra,
  • standi vörð um þau réttindi sem einstaklingar njóta samkvæmt persónuverndarlögum,
  • meðhöndli persónuupplýsingar með gagnsæjum hætti og
  • lágmarki þá áhættu sem brot á persónuverndarlögum getur haft í för með sér.

Persónuverndarlög
Í persónuverndarlögum er kveðið á um hvernig fyrirtækjum sé heimilt að safna, geyma og meðhöndla persónuupplýsingar að öðru leyti. Þær reglur gilda óháð því á hvaða formi upplýsingar eru geymdar, svo sem hvort það er á rafrænu formi eða pappírsformi. 

Óheimilt er að safna og vinna með persónuupplýsingar nema heimild standi til þess samkvæmt persónuverndarlögum. Þá verður slík söfnun og vinnsla einnig að fara fram með sanngjörnum hætti. Auk þess má einungis geyma persónuupplýsingar á öruggum stað og óheimilt er að veita óviðkomandi aðila aðgang að þeim. 

Sparnaður mun grípa til nauðsynlegra ráðstafana til að tryggja að ávallt sé heimild í persónuverndarlögum til þess að vinna með persónuupplýsingar. Auk þess mun fyrirtækið grípa til nauðsynlegra ráðstafana til að tryggja að ávallt sé farið eftir þeim sex meginreglum sem löggjöfin kveður á um. Þær meginreglur sem átt er við eru í stuttu máli eftirfarandi:
  1. ​Persónuupplýsingar séu unnar með sanngjörnum og lögmætum hætti.
  2. Persónuupplýsingum sé einungis safnað í skýrum og lögmætum tilgangi.
  3. Ekki sé safnað og unnið meira með persónuupplýsingar en nauðsynlegt er.
  4. Persónuupplýsingar séu nákvæmar og uppfærðar þegar þörf krefur.
  5. Persónuupplýsingar séu ekki geymdar lengur en þörf er á.
  6. Gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.​

Við meðhöndlun á viðkvæmum persónuupplýsingum eða upplýsingum viðkvæms eðlis skal Sparnaður tryggja að vinnslan sé ávallt í samræmi við þær kröfur sem gerðar eru í persónuverndarlögum og að aðeins þeir starfsmenn sem þurfa þess, starfs síns vegna, hafi aðgang að slíkum upplýsingum.
  • Upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífskoðun og aðild að stéttarfélagi.
  • Heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings.
  • Upplýsingar um kynlíf manna og kynhneigð.
  • Erfðafræðilegar upplýsingar, þ.e. persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heilbrigði einstaklingsins og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi.
  • Lífkennaupplýsingar, það er persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferðisfræðilegum eiginleikum einstaklings og gera það mögulegt að hægt sé að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem gögn um fingraför. 

Áhættur og ábyrgðir
Lágmörkun áhættu
Lágmarka verður þá áhættu sem felst í því að meðhöndla persónuupplýsingar og koma þarf í veg fyrir:
  • að brotið verði gegn þeirri trúnaðarskyldu sem hvílir á fyrirtækinu, til dæmis að persónuupplýsingum verði ekki miðlað til óviðkomandi aðila,
  • að einstaklingar hafi ekki val um hvort unnið verði með persónuupplýsingar um þá,
  • að orðspor Sparnaðar verði fyrir skaða, en gjarnan má hafa í huga þær afleiðingar sem fyrirtækið yrði fyrir ef brotið er gegn persónuverndarlögum og
  • að þeir einstaklingar sem upplýsingarnar eru um verði ekki fyrir tjóni. Hér má hafa í huga þær afleiðingar sem þeir kynnu að verða fyrir ef persónuupplýsingar þeirra kæmust í hendur óviðkomandi aðila. 

Ábyrgðir og hlutverk
Allir stjórnendur og starfsmenn Premium bera ábyrgð á því hvernig persónuupplýsingar eru meðhöndlaðar. Stjórn Premium ehf. ber ábyrgð á því að fyrirtækið framfylgi persónuverndarlögum.

Hlutverk tölvuumsjónarmanns er:
  • að tryggja að öll kerfi, þjónusta og búnaður fullnægi þeim öryggiskröfum sem gerðar eru samkvæmt persónuverndarlögum,
  • að framkvæma reglulega úttektir sem eiga að tryggja að hug- og vélbúnaður virki með öruggum hætti og
  • að meta þá þjónustu sem fyrirtækið hyggst nýta sér frá utanaðkomandi þriðja aðila, til dæmis þar sem til stendur að geyma gögn. 
Hlutverk persónuverndarfulltrúa er:
  • að stjórnendur Premium fái reglulega fræðslu um þær skyldur sem á þeim hvíla samkvæmt persónuverndarlögum,
  • að fara reglulega yfir ferla og stefnur sem tengjast meðferð persónuupplýsinga,
  • að veita fræðslu og þjálfa starfsmenn sem meðhöndla persónuupplýsingar,
  • að taka á móti og svara spurningum frá þeim einstaklingum sem upplýsingarnar varða,
  • að taka á móti beiðnum frá skráðum einstaklingum, svo sem vegna réttar þeirra til aðgangs að gögnum, til að mótmæla vinnslu eða til að gleymast,
  • að yfirfara og samþykkja alla samninga við utanaðkomandi þriðja aðila sem ætlað er að vinna persónuupplýsingar fyrir hönd Premium,
  • að vega og meta hvort tilkynna þurfi öryggisbrest til viðeigandi aðila og
  • að annast samskipti við Persónuvernd.
Almennar verklagsreglur um meðferð persónuupplýsinga
Eftirfarandi verklagsreglur um meðferð persónuupplýsinga gilda hjá Premium:
  • Einungis þeir starfsmenn sem þurfa þess starfs síns vegna skulu hafa aðgang að persónuupplýsingum.
  • Starfsmönnum er óheimilt að deila persónuupplýsingum sín á milli óformlega.
  • Starfsmenn skulu ávallt gæta fyllsta öryggis þegar þeir meðhöndla persónuupplýsingar og fylgja þeim leiðbeiningum sem hér koma fram.
  • Þegar unnið er með persónuupplýsingar skulu starfsmenn ávallt gæta þess að tölvuskjáir séu læstir þegar farið er frá borðum.
  • Starfsmenn skulu aldrei deila persónuupplýsingum með óviðkomandi aðila og gildir þar einu hvort um sé að ræða annan starfsmann fyrirtækisins eða utanaðkomandi aðila.
  • Eyða skal persónuupplýsingum með fullnægjandi hætti eða gera þær ópersónugreinanlegar ef ekki er þörf fyrir þær lengur.
  • Persónuupplýsingar skal aldrei senda út fyrir Evrópska efnahagssvæðið nema fyrir því sé sérstök lagaheimild.
  • Starfsmenn skulu ráðfæra sig við persónuverndarfulltrúa ef þeir eru í vafa um hvernig skuli meðhöndla persónuupplýsingar. 

Verklagsreglur um meðferð pappírsgagna
Geymsla persónuupplýsinga á pappír
  • Persónuupplýsingar sem geymdar eru á pappír skulu vera á öruggum stað þar sem óviðkomandi aðili getur ekki nálgast þær.
  • Persónuupplýsingar sem geymdar eru á pappír skulu vera í læstum skjalaskáp eða í læstri skjalageymslu.
  • Starfsmönnum ber að tryggja að pappírsgögn, þar sem persónuupplýsingar má finna, séu ekki skilin eftir þar sem óviðkomandi aðilar geta séð þær.
  • Pappírsgögnum skal eytt með fullnægjandi hætti þegar þeirra er ekki lengur þörf. 

Meðferð persónuupplýsinga á pappír sem senda á frá fyrirtækinu
Ekki skal senda viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis með almennum bréfpósti heldur skal senda slíkar upplýsingar í ábyrgðapósti.​

Meðhöndlun pappírsgagna utan vinnustaðar Premium
Starfsmenn eiga eftir fremsta megni og eftir því sem framkvæmanlegt er að meðhöndla pappírsgögn sem innihalda persónuupplýsingar innan fyrirtækisins. Þegar starfsmenn taka pappírsgögn sem innihalda persónuupplýsingar út fyrir starfsstöð Premium þarf að fylgja eftirfarandi verklagsreglum:
  • Óheimilt er að taka viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis út fyrir fyrirtækið nema fyllsta öryggis sé gætt.
  • Starfsmaður skal gæta að umhverfi sínu þegar hann vinnur með gögnin og þegar vinnu hefur verið lokið skal hann tryggja að óviðkomandi aðili komist ekki í gögnin.
  • Starfsmanni er óheimilt að geyma pappírsgögn utan vinnustaðar, svo sem á heimili starfsmanns. 

Verklagsreglur varðandi meðferð rafrænna gagna
  • Persónuupplýsingar sem geymdar eru með rafrænum hætti skulu njóta verndar gegn óleyfilegum aðgangi og þess skal gætt að þeim verði ekki eytt fyrir mistök.
  • Persónuupplýsingar skal vernda með illrekjanlegum lykilorðum og þeim má aldrei deila með öðrum. Lykilorð þarf að vera að lágmarki 12 stafir að lengd og innihalda hástaf, lágstaf, tölustaf og tákn. Ekki skal nota lykilorð sem vitnar í persónuupplýsingar. Skipta skal um lykilorð á 12 mánaða fresti.
  • Ef persónuupplýsingar eru geymdar á ákveðnu formi, til dæmis á geisladiski eða USB lykli, þá skal geyma þau á læstum stað þegar ekki er verið að nota þau.
  • Persónuupplýsingar skal einungis geyma á tilgreindum drifum og netþjónum. Einungis skal notast við tölvuskýjaþjónustu sem uppfyllir þau skilyrði sem persónuverndarlög kveða á um.
  • Netþjónar sem innihalda persónuupplýsingar skulu staðsettir á öruggum stað og fjarri almennu skrifstofurými.
  • Taka skal afrit af gögnum með reglubundnum hætti og jafnframt skal kanna reglulega hvort afritun tekst.
  • Vernda skal alla netþjóna og tölvur sem innihalda persónuupplýsingar með viðeigandi öryggisbúnaði og eldveggjum.
  • Starfsmenn skulu ekki vista afrit af persónuupplýsingum á tölvu, síma eða annan búnað í einkaeigu.
  • Gera skal skýran greinarmun á almennum persónuupplýsingum og persónuupplýsingum sem eru viðkvæmar eða viðkvæms eðlis. Ef mögulegt er skal ekki geyma upplýsingarnar á sama stað, svo sem í sömu möppu. 

Meðhöndlun rafrænna gagna utan vinnustaðar
Starfsmenn eiga eftir fremsta megni og eftir því sem framkvæmanlegt er að meðhöndla rafræn gögn sem innihalda persónuupplýsingar innan veggja fyrirtækisins. Þegar starfsmenn vinna rafræn gögn utan vinnustaðar þarf að fylgja eftirfarandi verklagsreglum:
  • Óheimilt er að vinna með rafræn gögn utan fyrirtækisins nema fyllsta öryggis sé gætt.
  • Starfsmaður skal gæta að umhverfi sínu þegar hann vinnur með gögnin og þegar vinnu hefur verið lokið skal hann tryggja að óviðkomandi aðili komist ekki í gögnin.
  • Starfsmanni er óheimilt að geyma rafræn gögn utan fyrirtækisins svo sem á tölvu í einkaeigu. 

Verklagsreglur um tölvupóstnotkun
Notkun á tölvupósti
Þegar senda á tölvupóst með persónuupplýsingum er það aðeins heimilt ef öryggi upplýsinganna er tryggt og eftirfarandi verklagsreglum er fylgt:
  • Ekki skal senda persónuuppplýsingar með tölvupósti nema unnt sé að tryggja fullnægjandi öryggi þeirra.
  • Ef senda á viðkvæmar persónuupplýsingar eða persónuupplýsingar viðkvæms eðlis með tölvupósti skal grípa til viðeigandi öryggisráðstafana. Með viðeigandi öryggisráðstöfunum er t.d. átt við að læsa skjali með lykilorði áður en það er sent.
  • Þegar skjali hefur verið læst með lykilorði skal ekki senda lykilorðið í sama tölvupósti. Ef mögulegt er skal hringja í viðtakanda til að gefa upp lykilorðið. Sé sá möguleiki ekki fyrir hendi skal senda aðskilinn tölvupóst þar sem ekkert viðfangsefni er tiltekið og ekkert innihald í tölvupóstinum að undanskildu lykilorðinu.
  • Áður en tölvupóstur er sendur skal ávallt tryggja að viðtakandi sé réttur, að innihald tölvupóstsins sé rétt og ef við á, að viðhengi sem á að fylgja tölvupóstinum sé hið rétta. 

Notkun á tölvupósti í tækjum í einkaeigu starfsmanns
Þegar starfsmaður notar tölvu, síma eða annan búnað í einkaeigu til að opna tölvupóst fyrirtækisins er það aðeins heimilt ef eftirfarandi verklagsreglum er fylgt:
  • Einungis skal vinna í gegnum örugga nettengingu. Til að mynda telst WIFI á opinberum stöðum svo sem flugvöllum, hótelum og kaffihúsum ekki örugg nettenging og er því óheimilt að opna eða senda tölvupóst ef starfsmaður er tengdur slíkri tengingu.
  • Tölva, sími og annar búnaður í einkaeigu starfsmanns skal innihalda örugga læsingu.
  • Starfsmanni er með öllu óheimilt að hlaða niður viðhengi í tæki í einkaeigu.​

Viðbrögð við öryggisbresti
Samkvæmt persónuverndarlögum telst það vera öryggisbrestur þegar óviðkomandi aðili fær aðgang að persónuupplýsingum, þær glatast eða er breytt í leyfisleysi. Eftirfarandi reglur skulu gilda um öryggisbresti og viðbrögð við þeim:
  • Ef upp kemur öryggisbrestur eða grunur um öryggisbrest ber að láta stjórn Premium vita án tafar. Ef stjórn er vant við látinn skal hafa samband við persónuverndarfulltrúa fyrirtækisins án tafar með því að senda tölvupóst á personuvernd@premium.is
  • Stjórn Premium í samráði við persónuverndarfulltrúa fyrirtækisins skal taka ákvörðun um hvort tilkynna þurfi um öryggisbrestinn til Persónuverndar, hina skráðu og eftir atvikum til ábyrgðaraðila í þeim tilvikum þar sem Sparnaður gegnir stöðu vinnsluaðila. Tilkynningu ber að senda til Persónuverndar án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72 klst. eftir að öryggisbresturinn uppgötvaðist.
  • Halda skal skrá um frávik í upplýsingaöryggi, til dæmis ef starfsfólk fylgir ekki verklagsreglum um geymslu á persónuupplýsingum.
  • Tilkynna skal persónuverndarfulltrúa um hvert það frávik sem verður í upplýsingaöryggi, til dæmis ef óviðkomandi aðili kemst yfir persónuupplýsingar.
  • Öryggisbrest ber að rannsaka og grípa skal til skynsamlegra ráðstafana til að tryggja að sambærilegt atvik endurtaki sig ekki. 

Nákvæmni persónuupplýsinga
Persónuverndarlög gera kröfu um að fyrirtæki grípi til viðeigandi ráðstafana sem eiga að tryggja að persónuupplýsingar séu nákvæmar og réttar. Hversu mikilla ráðstafana þarf að grípa til veltur á því hve mikil áhrif ónákvæmar upplýsingar geta haft á þann einstakling sem upplýsingarnar eru um.

Allir starfsmenn Premium skulu grípa til hæfilegra og skynsamlegra ráðstafana til að tryggja að persónuupplýsingar séu nákvæmar og réttar. Eftirfarandi verklagsreglum skal fylgja:
  • Persónuupplýsingar skal geyma á eins fáum stöðum og mögulegt er.
  • Nýta skal hvert tækifæri til að tryggja að upplýsingar séu réttar, svo sem kalla eftir staðfestingu frá viðskiptavini um að tengiliðaupplýsingar hans séu réttar.
  • Einstaklingar skulu eftir fremsta megni eiga greiðan aðgang að því að uppfæra upplýsingar um sig.
  • Persónuupplýsingar skulu uppfærðar um leið og í ljós kemur að þær séu ekki réttar. Sem dæmi skal fjarlægja gamalt netfang starfsmanns úr gagnagrunnum um leið og það uppgötvast. 

Aðgangur einstaklinga
Allir einstaklingar sem Premium á upplýsingar um eiga rétt á eftirfarandi:
Að vera upplýstir um það hvernig fyrirtækið mætir skyldum sínum samkvæmt persónuverndarlögum.
Að fá vitneskju um hvaða upplýsingar það eru sem fyrirtækið á um þá.
Að vera upplýstir um af hverju fyrirtækið hefur þær undir höndum.
Að krefja fyrirtækið um aðgang að sínum persónuupplýsingum. 

Þegar beiðni um aðgang berst Premium skal áframsenda beiðnina á persónuverndarfulltrúa fyrirtækisins á netfangið personuvernd@premium.is. Persónuverndarfulltrúi ber ábyrgð á því að safna saman persónuupplýsingum beiðanda og afhenda þær. Persónuverndarfulltrúi tekur ákvörðun um hvaða upplýsingar skuli afhenda. Réttur einstaklings til aðgangs að persónuupplýsingum um sig gilda ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þar á meðal einstaklingsins sjálfs sem óskar eftir gögnunum, vega þyngra. Ef aðgangsbeiðnin er sett fram rafrænt skulu upplýsingarnar látnar í té með rafrænu sniði, nema einstaklingurinn fari fram á annað. Ef verulegur vafi leikur á því hver sá einstaklingur er, sem leggur fram beiðni um aðgang að persónuupplýsingum, er hægt að fara fram á að veittar séu nauðsynlegar viðbótarupplýsingar (persónuskilríki) til þess að staðfesta deili á honum. Aðgangsbeiðni skal vera einstaklingi að kostnaðarlausu og skal svarað án ótilhlýðilegrar tafar og eigi síðar en innan mánaðar frá því að beiðnin barst fyrirtækinu. 

Rétturinn til að gleymast (eyðing upplýsinga að beiðni einstaklinga)
Einstaklingar hafa rétt til þess að fá upplýsingum um sig eytt ef:
  • Persónuupplýsingarnar eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra eða annarri vinnslu þeirra.
  • Ef vinnsla persónuupplýsinga er byggð á samþykki einstaklingsins og hann dregur samþykki sitt til baka, og ekki er annar lagagrundvöllur fyrir vinnslunni.
  • Einstaklingurinn andmælir vinnslunni og ekki eru fyrir hendi lögmætar ástæður fyrir henni sem ganga framar.
  • Vinnsla persónuupplýsinganna var ólögmæt.
  • Eyða þarf persónuupplýsingunum til að uppfylla lagaskyldu.
  • Persónuupplýsingunum var safnað saman í tengslum við það þegar barni var boðin þjónusta í upplýsingasamfélaginu. 

Þegar beiðni einstaklings um að nýta rétt sinn til að gleymast berst Premium skal áframsenda beiðnina á persónuverndarfulltrúa fyrirtækisins á netfangið personuvernd@premium.is. persónuverndarfulltrúi tekur ákvörðun um hvort eyða eigi upplýsingum og ber ábyrgð á að því sé framfylgt. Hann ber einnig ábyrgð á því að svara fyrirspurn beiðanda. Ef verulegur vafi leikur á því hver sá einstaklingur er, sem leggur fram beiðni um eyðingu persónuupplýsinga, er hægt að fara fram á að veittar séu nauðsynlegar viðbótarupplýsingar (persónuskilríki) til þess að staðfesta deili á honum.​

Upplýsingagjöf til einstaklinga
  • Markmið Premium er að einstaklingar séu meðvitaðir um að fyrirtækið vinni persónuupplýsingar um þá og að þeir skilji:
  • af hverju fyrirtækið safnar persónuupplýsingum um þá;
  • hvernig fyrirtækið notar upplýsingar um þá og
  • hvernig þeir geti leitað réttar síns. 

Premium hefur sent frá sér persónuverndaryfirlýsingu um hvernig fyrirtækið vinnur með persónuupplýsingar um einstaklinga. Þeir aðilar og aðrir geta nálgast það skjal á heimasíðu fyrirtækisins https://premium.is/
Leit