Skip to main content

Persónuverndarstefna Stafræna hæfnisklasans

 

Stafræni hæfnisklasinn (hér eftir vísað til sem „klasinn“) leggur ríka áherslu á þá ábyrgð sem fylgir öruggri meðferð persónuupplýsinga. Hér í þessari persónuverndarstefnu geta einstaklingar leitað sér upplýsinga um slíka meðferð, hvers konar persónuupplýsingum er safnað, hvernig þær eru nýttar og hverjir hafa aðgang að þeim. Tilgangur stefnunnar er að vekja fullvissu um að áreiðanleika og trúnaðar sé gætt í þeim efnum sem varða persónuvernd. Tekið skal fram að í eftirfarandi texta er vísað til hlutaðeigandi einstaklinga í fyrstu persónu, þar sem við á.

 

Klasinn ábyrgist sanngjarna og gagnsæja vinnslu persónuupplýsinga og að fylgja öllum lögum er það varðar til hins ítrasta. Upplýsingasöfnun fer einungis fram í ákveðnum tilgangi á lögmætan hátt og ekki er gengið lengra en þörf og eðli söfnunar og úrvinnslu krefur. Nauðsynlegt er að gæta afmörkunar við vinnslu upplýsinga sem tekur viðeigandi mið af þeim tilgangi sem á við að hverju sinni.

 

Ítarlegri upplýsingar um vinnslu persónuupplýsinga á vegum klasans má finna í viðaukum þessarar persónuverndarstefnu.

 

  1. Ábyrgð og lagaskylda

Klasinn byggir stefnu þessa á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“) og hefur að markmiði að fylgja að öllu leyti gildandi persónuverndarlöggjöf. Klasinn gengst við ábyrgð þeirra persónuupplýsinga sem falla undir hans umsjá, ef annað hefur ekki verið tekið fram.

 

  1. Persónuupplýsingar

Hvers kyns gögn er varða persónugreindan eða persónugreinanlegan einstakling teljast til persónuupplýsinga samkvæmt þeim skilningi sem lagður er til grundvallar í stefnu þessari. Með því er átt við upplýsingar sem hægt er að rekja til ákveðins einstaklings, á beinan eða óbeinan hátt. Ef gögn eru hins vegar ekki persónugreinanleg teljast þau ekki til persónuupplýsinga.

 

  1. Öryggi persónuupplýsinga

Tæknilegar og skipulegar ráðstafanir eru gerðar á vegum klasans með tilliti til eðli persónuupplýsinga til þess að tryggja vernd þeirra. Öryggisráðstafanir fela meðal annars í sér aðgangsstýringar að kerfum þar sem upplýsingar eru geymdar. Með slíkum aðgerðum er leitast við að koma í veg fyrir að persónuupplýsingar um þig glatist eða verði fyrir slysni fyrir breytingum, en einnig til að vernda þær frá óleyfilegu aðgengi sem gæti haft í för með sér afritun þeirra, notkun eða miðlun.

 

  1. Varðveisla persónuupplýsinga

Ábyrgð klasans felst í því að persónuupplýsingar um þig séu aðeins varðveittar á meðan þörf krefur með tilliti til eðlis og tilgangs vinnslu þeirra, nema heimild eða skylda samkvæmt lögum geti til um annað.

 

Lög um opinber skjalasöfn heimila ekki förgun eða ónýtingu þeirra skjala sem falla undir gildissvið þeirra hjá þeim aðilum sem teljast skilaskyldir, líkt og klasinn er, nema með leyfi þjóðskjalavarðar. Þar af leiðandi eru þær persónuupplýsingar sem klasinn vinnur um þig geymdar þar til að þrjátíu árum liðnum þegar þær eru afhentar Þjóðskjalasafni. Þetta á ekki við þar sem annað er tekið fram í þeim viðaukum sem koma hér á eftir.

 

Svo dæmi sé tekið þá falla t.a.m. upplýsingar sem safnast með rafrænni vöktun ekki undir gildissvið slíkra laga og er varðveisla þeirra almennt ekki lengri en 60-90 dagar, eins og fram kemur nánar í viðauka er varðar rafræna vöktun.

 

  1. Réttindi þín varðandi vinnslu persónuupplýsinga

Réttur þinn felst í aðgengi að þeim upplýsingum sem klasinn vinnur um þig auk þess sem í ákveðnum tilfellum átt þú rétt á afriti af slíkum gögnum ásamt upplýsingum um vinnsluna.

 

Þá getur þú í einstaka tilvikum átt rétt á því að láta eyða persónuupplýsingum um þig eða takmarka vinnslu þeirra. Ef þú telur persónuupplýsingar þínar rangar eða óáreiðanlegar átt þú einnig rétt á því að fá þær leiðréttar og því er mikilvægt að allar breytingar sem kunna að verða á þeim persónuupplýsingum sem klasinn hefur undir höndum séu tilkynntar á hverjum tíma.

 

Þær upplýsingar sem þú hefur afhent klasanum á tölvutæku formi getur þú átt rétt á að fá afrit af, eða beðið um að þær séu sendar beint á þriðja aðila.

Auk þess hefur þú rétt til þess að andmæla vinnslu á persónuupplýsingum þínum, sem unnin er á grundvelli lögmætra hagsmuna klasans.

 

Réttindi þín til ofangreindra atriða eru ekki algild þar sem lög og reglugerðir geta heimilað eða skyldað klasann til þess að hafna beiðni þinni til nýtingar á fyrrnefndum réttindum.

 

  1. Erindi til Persónuverndar

Starfsmenn klasans taka á móti fyrirspurnum er varða persónuverndarstefnu okkar, úrvinnslu persónuupplýsinga eða nýtingu á þeim réttindum sem tekin eru fram hér í 5. gr. stefnunnar. Leitast er við að leiðbeina þér sem best varðandi réttindi þín, eins og þau koma fyrir í persónuverndarstefnu þessari.

 

Ef upp kemur ósætti vegna vinnslu klasans á persónuupplýsingum er hægt að senda erindi til Persónuverndar (www.personuvernd.is).

 

  1. Samskiptaupplýsingar

Við beinum fyrirspurnum er varða persónuvernd til Evu Karenar Þórðardóttur framkvæmdarstjóra klasans en hægt er að hafa samband við hana í gegnum netfangið eva@stafraent.is eða í síma 869 2180.

 

Samskiptaupplýsingar klasans eru:

Stafræni hæfnisklasinn

Borgartúni 35

105 Reykjavík

 

  1. Endurskoðun

Klasinn áskilur sér rétt til þess að breyta persónuverndarstefnu þessari í samræmi við breytingar á lögum eða reglugerðum er varða persónuvernd eða vegna breytinga klasans á vinnslu persónuupplýsinga. Í slíkum tilvikum verður uppfærð útgáfa af stefnunni birt á vefsíðu klasans auk þess sem kynning fer fram eftir atvikum til einstaklinga á annan sannanlegan hátt.

 

Eftir að uppfærð útgáfa hefur verið birt taka í gildi allar þær breytingar sem við eiga.

 

Persónuverndarstefna þessi var samþykkt af stjórn Stafræna hæfnisklasans í október 2022 og tók samtímis gildi.

 

Viðauki 1 – Fyrirtæki og þátttakendur

Viðauki þessi er hluti af persónuverndarstefnu Stafræna hæfnisklasans. Viðaukinn varðar vinnslu klasans á persónuupplýsingum þeirra fyrirtækja og einstaklinga; sem eiga í samstarfi klasann; sækja um; eða taka þátt; í verkefnum, rannsóknum, námskeiðum og öðru á vegum klasans; eða nýta þau greiningartól sem klasinn býður upp á. Vinnsla persónuupplýsinga þinna fer eftir því hvers konar tengsl þú átt við okkur.

 

Persónuupplýsingar umsækjenda

Klasinn vinnur með þær samskiptaupplýsingar sem óskað er eftir þegar sótt er um þátttöku í námskeiðum, rannsóknum eða öðru á vegum klasans, eða nýtingu á greiningartólum okkar. Þær geta innihaldið eftirfarandi:

  • Nafn einstaklings eða fyrirtækis
  • Starfsheiti einstaklings
  • Kennitala einstaklings eða fyrirtækis
  • Heimilisfang einstaklings eða fyrirtækis
  • Símanúmer einstaklings eða fyrirtækis
  • Netfang einstaklings eða fyrirtækis

 

Sé umsókn ekki fullkláruð áskilur klasinn sér rétt til þess að eyða þeim upplýsingum sem fram koma.

 

Persónuupplýsingar þátttakenda

Klasinn vinnur með persónuupplýsingar um þig sem notanda vöru okkar eða þjónustu.

 

Klasinn safnar og varðveitir ýmsar samskiptaupplýsingar um þátttakendur sem fer eftir eðli og tilgangi þátttöku. Þær geta innihaldið eftirfarandi:

  • Nafn einstaklings eða fyrirtækis
  • Starfsheiti einstaklings eða tegund fyrirtækis
  • Kennitala einstaklings eða fyrirtækis
  • Heimilisfang einstaklings eða fyrirtækis
  • Símanúmer einstaklings eða fyrirtækis
  • Netfang einstaklings eða fyrirtækis

 

Einnig er unnið með aðrar persónuupplýsingar þátttakenda og geta þær innihaldið eftirfarandi:

  • Notendanafn/netfang og lykilorð að aðgangi á vegum klasans
  • Vinnuveitanda einstaklinga
  • Fyrri reynslu á stafrænu sviði
  • Þátttökuferil hjá klasanum
  • Ástundun
  • Niðurstöður og árangur þátttöku
  • Samskipti við okkur, s.s. skrifleg samskipti við starfsmenn, minnispunkta úr ráðgefandi viðtölum, upplýsingar um sérúrræði og heilsufar ef svo á við, vandamál sem upp koma.
  • Greiðsluupplýsingar vegna þátttökugjalda
  • Viðurkenningarskjöl
  • Upplýsingar sem safnast með rafrænni vöktun

 

Klasinn áskilur sér einnig rétt til að nýta samskiptaupplýsingar og upplýsingar um notkun á þjónustu í markaðslegum tilgangi, til þess að miðla upplýsingum um þjónustu okkar, ef þú ert eða hefur verið þátttakandi hjá okkur eða hefur gefið leyfi fyrir slíkum fyrirspurnum. Vegna afturköllunar slíks samþykkis vinsamlegast hafið samband við okkur hjá klasanum.

 

Persónuupplýsingar samstarfsaðila

Klasinn safnar og varðveitir ýmsar samskiptaupplýsingar um samstarfsaðila sem fer eftir eðli og tilgangi samstarfsins. Þær geta innihaldið eftirfarandi:

  • Nafn einstaklings eða fyrirtækis
  • Starfsheiti einstaklings eða tegund fyrirtækis
  • Kennitala einstaklings eða fyrirtækis
  • Heimilisfang einstaklings eða fyrirtækis
  • Símanúmer einstaklings eða fyrirtækis
  • Netfang einstaklings eða fyrirtækis
  • Umboð einstaklings fyrir hönd fyrirtækis

 

Klasinn áskilur sér einnig rétt til að nýta samskiptaupplýsingar og upplýsingar um samstarf í markaðslegum tilgangi, til þess að miðla upplýsingum um þjónustu okkar, ef þú eða fyrirtækið sem þú ert fulltrúi fyrir eruð í viðvarandi samstarfi við okkur eða hafið gefið leyfið fyrir slíkum samskiptum. Vegna afturköllunar slíks samþykkis vinsamlegast hafið samband við okkur hjá klasanum.

 

Grundvöllur fyrir vinnslu persónuupplýsinga þátttakenda og samstarfsaðila

Söfnun persónuupplýsinga um fyrirtæki og þátttakendur fer fyrst og fremst fram á þeim forsendum að geta sinnt skyldum klasans gagnvart þeim, en einnig á þeim grundvelli er varðar skyldur og heimildir klasans er varða lög eða lögmæta hagsmuni klasans.

 

Lögmætir hagsmunir klasans geta falist í vinnslu persónuupplýsinga vegna öryggis- og eignavörslu. Þetta getur falist í vinnslu á rafrænni vöktun þar sem unnið er með upplýsingar úr öryggismyndavélum en getur einnig varðað mikilvægt utanumhald vegna ýmissa vandamála sem gætu komið upp.

 

Lagaskylda klasans gagnvart persónuupplýsingum felst m.a. í vinnslu og varðveislu gagna eftir því sem lög gera ráð fyrir.

 

Miðlun til þriðju aðila

Persónuupplýsingum þátttakenda og samstarfsaðila klasans kann að vera miðlað til þriðju aðila vegna aðkeyptrar þjónustu, svo sem vegna úthýsingu reikninga eða innheimtu gjalda. Þá getur persónuupplýsingum verið miðlað til utanaðkomandi vinnsluaðila vegna þjónustu þeirra við klasann, t.d. vegna upplýsingatækniþjónustu.

 

Slík þjónusta þriðju aðila getur farið fram utan Íslands en þeir aðilar sem taka við persónuupplýsingum klasans munu ekki vera staðsettir utan Evrópska efnahagssvæðisins nema viðeigandi persónuverndarlöggjöf veiti heimild til slíks.

 

Nefna má að ýmis greiningartól klasans eru þjónustuð af þriðju aðilum sem geta tekið við persónuupplýsingum, með þeim fyrirvara um að hægt sé að nálgast persónuverndarstefnu þeirra.

 

Tekið skal fram að persónuupplýsingar kunna að vera afhentar þriðja aðila vegna t.d. eftirlits stjórnvalda með starfsemi klasans, en þó aðeins að því marki sem lög og reglugerðir gera ráð fyrir.  Þá geta lögmætir hagsmunir klasans falist í því að gögnum sé miðlað til ráðuneytis eða t.d. Hagstofu Íslands.

 

Löglegar aðgerðir stjórnvalda geta einnig orðið til miðlunar persónuupplýsinga þinna til þriðju aðila, vegna t.d. stefnu eða dómsúrskurðar, eða vegna neyðarástands til þess að tryggja öryggi þátttakenda, starfsmanna klasans eða þriðju aðila.

 

Viðauki 2 – Umsækjendur um störf

Viðauki þessi er hluti af persónuverndarstefnu Stafræna hæfniklasans. Viðaukinn varðar vinnslu klasans á persónuupplýsingum þeirra sem sækja um starf hjá klasanum.

 

Persónuupplýsingar umsækjenda um starf

Ýmsum persónuupplýsingum umsækjenda um störf hjá klasanum er safnað og þær varðveittar en eðli þess starfs sem sótt er um ræður að hluta til þeirri vinnslu og söfnun sem á sér stað.

 

Þær persónuupplýsingar sem klasinn safnar um umsækjendur um störf geta innihaldið eftirfarandi:

  • Samskiptaupplýsingar, líkt og nafn, kennitala, heimilisfang, símanúmer og netfang
  • Umsókn um starf
  • Ferilskrá og þær upplýsingar sem þar koma fram, s.s. menntun, þjálfun og starfsreynsla
  • Ástæða umsóknar
  • Meðmæli eða upplýsingar frá ráðningarskrifstofum ef svo á við
  • Upplýsingar um ýmiss konar hæfni umsækjenda
  • Upplýsingar sem koma fram í starfsviðtölum

 

Þar að auki áskilur klasinn sér rétt til þess að safna og vinna aðrar upplýsingar sem fram koma í umsóknarferlinu, t.a.m. er varða áhugamál og fjölskylduhagi. Klasinn safnar einnig samskiptaupplýsingum meðmælenda.

 

Í samræmi við lög og atvinnuréttindi útlendinga gæti klasinn þurft að sækja um atvinnuleyfi fyrir tilvonandi starfskraft og í slíkum tilfellum er einnig unnið með eftirfarandi persónuupplýsingar:

  • Fæðingarland- og staður
  • Koma til Íslands
  • Hjúskaparstaða
  • Tryggingarfélag
  • Upplýsingar úr sakavottorði

 

Þær upplýsingar sem klasinn safnar um þig koma að jafnaði beint frá þér en einnig eru þær sóttar til meðmælenda eða ráðningarskrifstofa, ef svo á við. Ef persónuupplýsingum er safnað frá þriðju aðilum gerum við okkur far um að koma því á framfæri við þig.

 

Komi til þess að klasinn hyggist bjóða þér starf gætum við óskað t.d. eftir prófskírteinum sem tengjast forsendum hæfni þinnar til starfsins, áður en gengið er frá ráðningu.

 

Grundvöllur fyrir vinnslu persónuupplýsinga umsækjenda um störf

Söfnun persónuupplýsinga umsækjenda um störf hjá klasanum fer fyrst og fremst fram á þeim forsendum að geta lagt mat á hæfni þeirra til að sinna því starfi sem sótt er um.

 

Vinnsla persónuupplýsinga þinna fer fram á grundvelli þeirrar beiðni um að gera starfssamning við klasann og eru þar með unnar í tengslum við umsókn þína. Hins vegar eru samskiptaupplýsingar meðmælenda til þess ætlaðar að leita upplýsinga um feril þinn og því unnar á grundvelli lögmætra hagsmuna klasans.

 

Skilyrði laga um útlendinga og um atvinnuréttindi þeirra er grundvöllur þeirra persónuupplýsinga sem unnið er með í þeim tilvikum þar sem klasinn þarf að sækja um atvinnuleyfi umsækjanda. Ef til þess kemur að vinna þarf nánar með tilteknar upplýsingar í tengslum við slíka umsókn mun klasinn afla samþykkis þíns áður en vinnslan hefst. Slíkt samþykki er ávallt hægt að afturkalla en það mun ekki gilda um vinnslu þeirra upplýsinga sem þegar hefur verið aflað.

 

Tekið skal fram að ef umsækjandi neitar að gefa upp umbeðnar upplýsingar eða neitar að gefa leyfi fyrir öflun þeirra getur það haft áhrif á ákvörðun um ráðningu.

 

Upplýsingar og miðlun til þriðju aðila

Aðgangur að persónuupplýsingum umsækjenda um störf hjá klasanum takmarkast við stjórnendur og yfirmenn klasans.

 

Persónuupplýsingum umsækjenda um störf kann að vera miðlað til stjórnarmeðlima klasans eða þeirrar ráðningarskrifstofu sem sinnir umsýslu vegna ráðningar. Samkvæmt lögum um atvinnuréttindi útlendinga þarf klasinn að miðla persónuupplýsingum til Vinnumálastofnunar, Útlendingastofnunar og stéttarfélags vegna umsagnar, ef sækja þarf um atvinnuleyfi umsækjanda.

 

Klasinn áskilur sér rétt til að nýta sér þriðja aðila sem vinnsluaðila upplýsingatækniþjónustu þar sem hýsing persónuupplýsinga kann að eiga við auk þess sem slíkar upplýsingar gætu orðið aðgengilegar vegna þessa.

 

Persónuupplýsingum mun ekki vera miðlað utan Evrópska efnahagssvæðisins nema í þeim tilvikum þar sem slíkt á við og er heimilt á grundvelli viðeigandi persónuverndarlöggjafar, og takmarkast miðlun upplýsinga við samþykki umsækjanda eða vegna staðlaðra samningsákvæða.

 

Varðveisla persónuupplýsinga

Líkt og kemur fram í 4. gr. er klasinn skilaskyldur aðili á grundvelli laga um opinber skjalasöfn sem heimila hvorki förgun né ónýtingu þeirra skjala sem falla undir gildissvið þeirra, nema með leyfi þjóðskjalavarðar. Þar af leiðandi eru persónuupplýsingar umsækjenda um störf almennt afhentar Þjóðskjalasafni að loknum 30 árum, svo lengi sem annað er ekki tekið fram.

 

Viðauki 3 – Starfsmenn

Viðauki þessi er hluti af persónuverndarstefnu Stafræna hæfniklasans. Viðaukinn varðar vinnslu klasans á persónuupplýsingum starfsmanna, núverandi og fyrrverandi, auk verktaka hans. Þegar minnst er á „starfsmenn“ í þessum viðauka er átt við starfsmenn klasans og verktaka.

 

Persónuupplýsingar starfsmanna

Ýmsum persónuupplýsingum um starfsmenn klasans er safnað og þær varðveittar en eðli starfs þeirra ræður að hluta til þeirri vinnslu og söfnun sem á sér stað.

 

Þær persónuupplýsingar sem klasinn safnar um starfsmenn geta innihaldið eftirfarandi:

  • Samskiptaupplýsingar, líkt og nafn, kennitala, heimilisfang, símanúmer og netfang
  • Umsókn um starf
  • Ferilskrá og þær upplýsingar sem þar koma fram, s.s. menntun, þjálfun og starfsreynsla
  • Ástæða umsóknar
  • Meðmæli eða upplýsingar frá ráðningarskrifstofum ef svo á við
  • Upplýsingar um ýmiss konar hæfni umsækjenda
  • Upplýsingar sem koma fram í starfsviðtölum
  • Frammistaða og starfsþróun hjá klasanum
  • Fræðsla sem starfsmenn sækja
  • Ráðningarsamningar
  • Laun og hlunnindi og aðrar upplýsingar því tengdu, s.s. bankareikningar, kaup, styrkir, dagpeningar og fleira
  • Stéttarfélagsaðild og lífeyrissjóður
  • Vinnutengd slys
  • Nánasti aðstandandi
  • Skráningar/þátttaka í viðburðum á vegum klasans
  • Áminningar til starfsmanns
  • Tímaskráning og viðvera
  • Orlof og veikindadagar
  • Ljósmynd og afmælisdagur
  • Ferðabókanir
  • Starfslok, uppsagnarbréf, síðasti dagur í starfi og uppgjör
  • Notendanafn/netfang og lykilorð að aðgangi á vegum klasans
  • Upplýsingar sem safnast með rafrænni vöktun, s.s. í eftirlitsmyndavélum, tölvupóstum og notkun aðgangskorta á aðgangsstýrðum rýmum

 

Þar að auki áskilur klasinn sér rétt til þess að safna og vinna aðrar upplýsingar sem starfsmenn láta af hendi. Klasinn framkvæmir einnig vinnustaðagreiningar í þeim tilgangi að mæla starfsánægju en slíkar mælingar eru þó ekki rekjanlegar til einstakra starfsmanna.

 

Þær upplýsingar sem klasinn safnar um þig koma að jafnaði beint frá þér en einnig eru þær sóttar til þriðja aðila, ef svo á við, t.d. vegna vinnuslyss eða frammistöðumats. Ef persónuupplýsingum er safnað frá þriðju aðilum gerum við okkur far um að koma því á framfæri við þig.

 

Grundvöllur fyrir vinnslu persónuupplýsinga starfsmanna

Söfnun persónuupplýsinga um starfsmenn fer fyrst og fremst fram á þeim forsendum að geta sinnt skyldum klasans samkvæmt gerðum ráðningarsamningum, vegna heimilda/skyldna gagnvart lögum eða á grundvelli lögmætra hagsmuna klasans.

 

Til þess að geta uppfyllt skyldur samkvæmt ráðningarsamningum fer vinnsla upplýsinga einkum fram er varðar:

  • Samskiptaupplýsingar, líkt og nafn, kennitala, heimilisfang, símanúmer og netfang
  • Menntun, þjálfun og starfsreynsla
  • Frammistaða og starfsþróun hjá klasanum, s.s. frammistöðumat
  • Ráðningarsamningar
  • Laun og hlunnindi og aðrar upplýsingar því tengdar, s.s. bankareikningar, kaup, styrkir, dagpeningar og fleira
  • Tímaskráning, viðvera og áunnið orlof
  • Ferðabókanir

 

Vinnsla persónuupplýsinga starfsmanns fer fram á grundvelli ráðningarsamnings við klasann og eru þar með til þess gerðar að klasinn geti sinnt skyldum sínum gagnvart honum, og öfugt, en einnig vegna greiðslu launa og mats á hæfni. Tekið skal fram að ef starfsmaður neitar að gefa upp umbeðnar upplýsingar eða neitar að gefa leyfi fyrir öflun þeirra getur það haft áhrif á ráðningarsamning hans.

 

Lögmætir hagsmunir klasans geta falist í vinnslu persónuupplýsinga vegna öryggis- og eignavörslu. Þetta getur falið í sér í vinnslu á rafrænni vöktun þar sem unnið er með upplýsingar úr öryggismyndavélum en getur einnig varðað mikilvægt utanumhald vegna ýmissa vandamála sem gætu komið upp. Þá geta starfsmenn verið beðnir um að taka þátt í myndatökum í þeim tilgangi að birta ljósmyndir af starfsmönnum á vefsíðu klasans.

 

Lögmætir hagsmunir klasans felast einnig í vinnslu á upplýsingum er varða áminningar í starfi og eins upplýsingar um fræðslu og starfsþróun starfsmanna sem ætlað er til að greina og kortleggja færni og hæfni starfsmanna. Þá eru það einnig lögmætir hagsmunir klasans að halda utan um skráningar starfsmanna á viðburði til þess að liðka fyrir skipulagningu þeirra og að sama skapi getur vinnsla persónuupplýsinga starfsmanna falist í sameiginlegum hagsmunum, t.a.m. skráning nánasta aðstandanda ef upp kæmi neyðartilfelli.

 

Lögmætir hagsmunir klasans geta einnig falið í sér miðlun upplýsinga starfsmanna, t.d. samskiptaupplýsingar líkt og nafn, netfang, símanúmer eða ljósmynd. Í ákveðnum tilfellum getur klasinn beðið um samþykki á miðlun upplýsinga en starfsmanni er ávallt heimilt að afturkalla slíkt samþykki á vinnslu og söfnun persónuupplýsinga.

 

Lagaskylda klasans getur falið í sér vinnslu persónuupplýsinga, t.d. vegna vinnulöggjafar og skattalöggjafar. Þá getur lagaskylda einnig varðað vinnslu á upplýsingum um lífeyrissjóð, stéttarfélag og veikindadaga eða önnur gögn, t.d. vegna vinnutengds slyss. Þá eru ýmsar upplýsingar er varða mögulegar áminningar í starfi og starfsöryggi skráðar, s.s. vegna aðgerða gegn einelti, kynferðislegu- eða kynbundnu áreiti og ofbeldi á vinnustað.

 

Einnig skal tekið fram að sem skilaskyldur aðili á grundvelli laga um opinber skjalasöfn varðar varðveisla klasans á persónuupplýsingum lagaskyldu.

 

Upplýsingar og miðlun til þriðju aðila

Persónuupplýsingum starfsmanna kann að vera miðlað til þriðju aðila á grundvelli ráðningarsambands þeirra við klasann, t.d. vegna launagreiðslna eða ferðabókana. Þá getur starfsmaður lagt fram beiðni um að upplýsingum sé miðlað til þriðja aðila vegna samvinnu við önnur fyrirtæki eða samtök.

 

Vinna starfsmanns eða rekstur klasans getur einnig leitt af sér að persónuupplýsingum er miðlað til þriðju aðila sem veita klasanum þjónustu, s.s. upplýsingatækniþjónustu.

 

Slíkir aðilar gætu verið staðsettir utan Íslands en klasinn áréttar þó að miðlun persónuupplýsinga fer ekki fram utan Evrópska efnahagssvæðisins nema viðeigandi persónuverndarlöggjöf veiti heimild til slíks.

 

Í ákveðnum tilvikum geta persónuupplýsingar verið afhentar þriðju aðilum á grundvelli laga og reglna, t.d. ef vinnutengt slys á sér stað og upplýsingum er miðlað til Vinnueftirlitsins, eða til stéttarfélaga, lífeyrissjóða eða tryggingarfélaga. Í þágu tölfræðivinnu gæti upplýsingum einnig verið miðlað til Hagstofu Íslands.

 

Löglegar aðgerðir stjórnvalda geta einnig orðið til miðlunar persónuupplýsinga þinna til þriðju aðila, vegna t.d. stefnu eða dómsúrskurðar, eða vegna neyðarástands til þess að tryggja öryggi þátttakenda, starfsmanna klasans eða þriðju aðila.

 

Viðauki 4 – Rafræn vöktun

Viðauki þessi er hluti af persónuverndarstefnu Stafræna hæfnisklasans. Viðaukinn varðar vinnslu klasans á persónuupplýsingum vegna rafrænnar vöktunar, þá sérstaklega vegna myndavélareftirlits í húsnæði klasans.

 

Eftirfarandi rafræn vöktun fer fram á vegum klasans:

  • Vöktun eftirlitsmyndavéla í húsnæði klasans
  • Aðgangsstýringar í húsnæði klasans
  • Eftirlit með tölvupósti á netföngum á vegum klasans

 

Lögmætir hagsmunir klasans liggja til grundvallar rafrænnar vöktunar og er ætlað að tryggja öryggis- og eignavörslu hans, auk öryggis net- og tölvuþjóna. Klasinn ábyrgist að slík vöktun gangi ekki lengra en nauðsyn krefur.

 

Eftirlit með tölvupósti

Þeir tölvupóstar sem sendir eru eða berast á netföng starfsmanna klasans fara í gegnum síu til að koma í veg fyrir vírusa.

 

Tölvupóstar starfsmanna eru almennt þeirra einkaeign en klasinn áskilur sér rétt til skoðunar ef rík ástæða liggur fyrir. Slíkri vöktun skal aðeins beitt í undantekningartilvikum, t.a.m. ef:

  • Talið er að netfangið sé notað í ólögmætum eða refsiverðum tilgangi
  • Grunur liggur fyrir um misnotkun eða brot í starfi
  • Grunur liggur fyrir um að þriðji aðili hafi ólögmætan aðgang að netfanginu
  • Öryggisrof eða tæknilegir örðugleikar kalla eftir viðbrögðum
  • Vegna viðhalds eða eftirlits á póstkerfinu sjálfu

 

Þá má einnig minnast á að ef nauðsynlegt þykir að sækja ákveðin gögn sem liggur á að nálgast áskilur klasinn sér rétt til að sækja þau í pósthólf starfsmanns. Ef rökstuddur grunur liggur fyrir um alvarleg brot starfsmanns gagnvart vinnureglum eða skyldum hans getur skoðun tölvupósta reynst nauðsynleg. Þetta á þó einungis við um netföng á vegum klasans.

 

Farið er eftir viðeigandi lögum og reglum er varða persónuvernd og rafræna vöktum ef nauðsynlegt þykir að hefja skoðun tölvupósts starfsmanns.

 

Gera skal starfsmanni grein fyrir skoðun tölvupósts og honum gefið færi á því að vera viðstaddur. Slíkt ákveði fellur þó úr gildi ef brýnt þykir að öðlast aðgang að netfanginu, t.d. vegna bilunar í tölvukerfi, og skulu þá einkalífshagsmunir starfsmanns metnir til móts við lögmæta hagsmuni klasans og aðeins skal gripið til skoðunar ef hagsmunir starfsmanns eru taldir vega minna. Ef starfsmaður á ekki kost á því að vera viðstaddur skoðun skal honum gert fært að tilnefna annan í sinn stað.

 

Við starfslok skal starfsmanni gefið færi á að yfirfara og afrita einkatölvupóst á netfangi á vegum klasans og að fyrirmælum yfirmanns skal loka tölvupósthólfi starfsmannsins eftir slíka yfirferð og því eytt. Ef nauðsynlegt þykir að hefja skoðun á pósthólfi fyrrum starfsmanns skulu sömu reglur gilda og um aðra starfsmenn og rétt þeirra til þess að vera viðstaddir.

 

Eftirlit með notkun búnaðar

Klasinn áskilur sér rétt til að safna og vinna með upplýsingar um notkun starfsmanna á búnaði klasans, m.a. í þeim tilgangi að athuga hvort óeðlileg notkun eigi sér stað.

 

Klasinn áskilur sér einnig rétt til að safna og vinna með upplýsingar um netnotkun, tengingar og gagnamagn starfsmanna, skoðun fer þó aðeins fram ef rökstuddur grunur liggur fyrir um að viðkomandi hafi gerst brotlegur á einhvern hátt. Gera skal grein fyrir slíkri skoðun og skal starfsmaður hafa rétt á því að vera viðstaddur hana, nema brýnir hagsmunir mæli gegn því að hans sé beðið, t.d. vegna bilunar í tölvukerfi, og skulu þá einkalífshagsmunir starfsmanns metnir til móts við lögmæta hagsmuni klasans og aðeins skal gripið til skoðunar ef hagsmunir starfsmanns eru taldir vega minna. Ef starfsmaður á ekki kost á því að vera viðstaddur skoðun skal honum gert fært að tilnefna annan í sinn stað.

 

Almennt eru upplýsingar um netnotkun starfsmanna ekki varðveittar lengur en í 90 daga á netþjóni, nema í þeim tilvikum ef upplýsingar eru varðveittar lengur á öryggisafritum.

 

Myndavélaeftirlit

Í þágu eigna- og öryggisvörslu klasans, starfsmanna hans og þátttakenda er rafrænni vöktun sinnt með myndavélaeftirliti  í húsnæði klasans. Myndefni er ekki varðveitt lengur en málefnaleg ástæða gefur tækifæri til og ef heimild laga liggur ekki fyrir lengri varðveislu er myndefni eytt að 60 dögum liðnum. Ef varðveisla myndefnis fellur ekki undir slíkar tímatakmarkanir, og hún telst nauðsynleg, getur það stafað af laganauðsyn vegna t.d.. dómsmáls.

 

Aðgangsstýringar í húsnæði

Ákveðin svæði húsnæðis klasans eða húsnæðið sjálft getur verið aðgangsstýrt og fá starfsmenn þá úthlutað aðgangskorti sem safnar upplýsingum um notkun. Slíkar upplýsingar eru ekki varðveittar lengur en í 60 daga, nema í þeim tilfellum ef upplýsingar eru varðveittar lengur á öryggisafritum.

 

Miðlun til þriðja aðila

Þær persónuupplýsingar sem aflað er með rafrænni vöktun eru ekki afhentar þriðja aðila, nema lögreglu ef t.d. slys hefur átt sér stað eða grunur er um ætlaðan refsiverðan verknað, ef reglur eða ákvarðanir Persónuverndar heimila slíka afhendingu eða ef samþykki þitt liggur fyrir slíkri afhendingu.