1. ALMENNT

Klettabær ehf. (hér eftir Klettabær) starfar að öllu leyti í samræmi við lög um persónuvernd og meðferð persónuupplýsinga nr. 90/2018 (hér eftir lög um persónuvernd), sem tóku gildi 15. júlí 2018, sbr. reglugerð Evrópuþingsins og ráðsins (ESB) nr. 2016/679 sem kom til framkvæmda 25.
maí 2018 á Evrópska efnahagssvæðinu.

Markmið persónuverndarstefnu Klettabæjar er að leggja ríka áherslu á persónuvernd með því að tryggja sanngjarna, lögmæta og gagnsæja vinnslu allra persónuupplýsinga sem unnið er með í starfsemi félagsins. Traust er lykilatriði í starfsemi Klettabæjar og er því lögð mikil áhersla á það í rekstri félagsins að tryggja trúnað, áreiðanleika og örugga meðferð persónuupplýsinga.

Persónuverndarstefnan tekur til persónuupplýsinga hvort sem þeim er safnað og þær varðveittar á pappír, með rafrænum hætti eða með öðrum hætti. Þá tekur stefnan til hvers konar vinnslu á persónuupplýsingum sem fram fer á vegum Klettabæjar.

Persónuupplýsingar eru skilgreindar sem sérhverjar upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings.

2. PERSÓNUVERNDARFULLTRÚI

Hjá Klettabæ starfar persónuverndarfulltrúi sem hefur sérþekkingu á sviði persónuverndar. Persónuverndarfulltrúi félagsins er Silja Katrín Agnarsdóttir lögfræðingur (silja@jsl.is).

Hlutverk persónuverndarfulltrúa er m.a. að fylgjast með því að farið sé að gildandi löggjöf um persónuvernd og að þessari persónuverndarstefnu sé fylgt í hvívetna. Einnig sér persónuverndarfulltrúi um þjálfun og fræðslu til starfsfólks. Persónuverndarfulltrúi veitir enn fremur ráðgjöf varðandi mat á áhrifum á persónuvernd og fylgist með framkvæmd þess.

3. VINNSLA PERSÓNUUPPLÝSINGA

Öll móttaka, söfnun, varðveisla og vinnsla persónuupplýsinga sem fram fer á vegum Klettabæjar byggist á lögmætum og nauðsynlegum tilgangi. Þá leggur Klettabær sig fram við að gæta að meginreglum laga um persónuvernd, þ.e. lögmætisreglunni, tilgangsreglunni, meðalhófsreglunni, áreiðanleikareglunni og varðveislureglunni. Þannig er t.a.m. leitast við safna aðeins þeim persónuupplýsingum sem nauðsynlegar eru til að ná fram því markmiði sem að er stefnt með vinnslu þeirra. Einnig er leitast við að halda persónuupplýsingum nákvæmum og áreiðanlegum og uppfæra þær eftir þörfum.

Eftirfarandi eru dæmi um upplýsingar sem Klettabær vinnur um einstaklinga í tengslum við starfsemi félagsins:

Þjónustuþegar: Við upphaf vistunar hjá Klettabæ miðlar viðkomandi bæjarfélag persónuupplýsingum til Klettabæjar á grundvelli gildandi vinnslusamnings milli aðila. Þær persónuupplýsingar eru t.a.m. nafn, kennitala, nöfn nánustu aðstandenda og heilsufarsupplýsingar.

Þá kann Klettabæ enn fremur að vera nauðsynlegt að afla eða móttaka persónuupplýsingar um þjónustuþega á meðan á vistunartíma stendur. Öflun upplýsinga er einungis framkvæmd til að ná því markmiði að veita sem besta þjónustu og koma til móts við einstaklingsmiðaðar þarfir hvers og
eins.

Starfsmenn: Undir persónuupplýsingar um starfsmenn falla t.a.m. upplýsingar um nafn, kennitölu, heimilisfang, símanúmer og netfang. Persónuupplýsingar sem unnar eru um starfsmenn félagsins miða m.a. að því markmiði að ráða hæft starfsfólk til starfa, halda utan um verkefni, viðveru og afköst starfsmanna í tengslum við vinnu þeirra hjá félaginu. Auk þess kann félagið að vinna persónuupplýsingar um starfsmenn í tengslum við aðgangsstýringu að persónugreinanlegum upplýsingum um þjónustuþega félagsins.

4. SKRÁ YFIR VINNSLU

Klettabær heldur skrá yfir vinnslu persónuupplýsinga. Í vinnsluskrá Klettabæjar kemur m.a. fram nafn ábyrgðaraðila, tilgangur vinnslunnar, lýsing á flokkum persónuupplýsinga og varðveislutími.

5. GAGNAÖRYGGI, AÐGANGSSTJÓRNUN, TRÚNAÐAR- OG ÞAGNARSKYLDA

Klettabær leggur ríka áherslu á að þjónustuþegar og starfsmenn félagsins upplifi sig örugga í starfsemi og daglegum rekstri félagsins. Til að tryggja það markmið nýtir Klettabær í starfsemi sinni innra eftirlitskerfi sem á að tryggja að ávallt skulu gerðar viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga.

Upplýsingar um einstaka þjónustuþega félagsins eru eingöngu aðgengilegar, og aðeins eftir þörfum, því starfsfólki sem vinnur með viðkomandi þjónustuþega.

Allir starfsmenn sem starfa hjá félaginu eru með hreint sakarvottorð og eru bundnir þagnarskyldu um allt sem þeir kunna að verða áskynja um í störfum sínum hjá félaginu. Félagið leggur mikla áherslu á að upplýsa starfsfólk sitt með reglubundnum hætti um þær verklagsreglur sem gilda í rekstri félagsins og varða persónuvernd og öryggi upplýsinga.

Þá er gætt fyllsta trúnaðar og farið að öllum reglum um vernd persónuupplýsinga þegar nýjar starfsumsóknir eru mótteknar af félaginu.

Klettabær hefur virkt eftirlit með störfum starfsmanna sinna og áskilur félagið sér rétt til þess að tilkynna brot á þagnarskyldu sem félagið kann að verða áskynja um til viðeigandi yfirvalda.

Eftirlit Klettabæjar er m.a. fólgið í því að allur aðgangur starfsmanna að rafrænum persónuupplýsingum um þjónustuþega félagsins er skráður í gagnagrunn svo hægt sé að fylgjast með því hverjir hafa skoðað eða fært inn upplýsingar um tiltekna þjónustuþega félagsins.

6. VARÐVEISLA OG EYÐING PERSÓNUUPPLÝSINGA

Klettabær leitast við að tryggja að vinnsla félagsins á persónuupplýsingum, þ.m.t. vistun og önnur varðveisla sem og eyðing, sé í samræmi við ákvæði laga um persónuvernd. Þegar þjónustuþegi hættir í úrræði hjá Klettabæ er afrit af nauðsynlegum persónuupplýsingum um viðkomandi sendar til viðeigandi bæjarfélags. Að meginstefnu til er öllum persónuupplýsingum eytt í kjölfarið nema lög standi til annars.

Ef möguleiki er á að persónuupplýsinga kunni að vera þörf síðar til að uppfylla lagaskyldur, t.d. gagnvart skattyfirvöldum, eða til að höfða eða verjast réttarkröfu, mun Klettabær, þrátt fyrir framangreint, taka afrit af hlutaðeigandi persónuupplýsingum og varðveita þær á öruggu formi eins
lengi og nauðsyn ber til.

7. MIÐLUN PERSÓNUUPPLÝSINGA TIL ÞRIÐJU AÐILA

Klettabær mun ekki afhenda persónuupplýsingar um þjónustuþega félagsins til þriðju aðila nema miðlun upplýsinganna sé nauðsynleg fyrir þjónustuþegann og þá aðeins í þeim tilgangi að tryggja öryggi/réttindi þjónustuþega. Dæmi um slíkt gæti verið að þjónustuþegi þurfi innlögn á sjúkrahús.

Klettabær áskilur sér þó rétt til þess að afhenda persónuupplýsingar um þjónustuþega og starfsmenn félagsins ef félaginu ber skylda til þess samkvæmt lögum.

8. RÉTTINDI ÞJÓNUSTUÞEGA OG STARFSMANNA

Þjónustuþegar og starfsmenn félagsins eiga rétt á að fá staðfest hvort og þá hvaða persónuupplýsingar unnið er með á vegum félagsins og ef svo er aðgangi að þeim upplýsingum auk upplýsinga um það hvernig vinnslu þeirra og öryggi er háttað. Þá kann einnig að vera til staðar réttur til þess að fá afrit af þeim upplýsingum sem félagið býr yfir.

Þjónustuþegar og starfsmenn félagsins eiga einnig rétt á því að persónuupplýsingar um sig séu leiðréttar og/eða uppfærðar og að persónuupplýsingum um sig sé eytt, ef ekki er lengur nauðsynleg, lögmæt eða málefnaleg ástæða til að varðveita þær miðað við vinnsluna.

Framangreind réttindi þjónustuþega og starfsmanna eru þó ekki fortakslaus. Þannig kunna lög að skylda félagið til að hafna ósk um eyðingu eða aðgang að gögnum. Þá getur félagið hafnað beiðni viðkomandi s.s. vegna réttinda annarra aðila til friðhelgi einkalífs eða á grundvelli hugverkaréttar,
telji félagið þau réttindi vega þyngra.

Ef upp koma aðstæður þar sem að félagið getur ekki orðið við beiðni viðkomandi mun félagið leitast við að útskýra ástæður þess að beiðni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.

Beiðni um framangreint skal beina til persónuverndarfulltrúa félagsins sem sér um að koma beiðninni áfram til félagsins. Beiðni um upplýsingar verður tekin til greina og upplýsingar afhentar (þegar slíkt á við) eins fljótt og auðið er, þó með takmörkunum vegna réttinda og frelsis annarra
einstaklinga.

9. TILKYNNING UM ÖRYGGISBROT

Ef upp kemur öryggisbrot er varðar persónuupplýsingar mun Klettabær tilkynna slíkt um leið og kostur er til Persónuverndar. Einnig mun Klettabær tilkynna viðkomandi skráðum einstaklingi án ótilhlýðilegrar tafar, hafi slíkt í för með sér áhættu fyrir þann einstakling er um ræðir. Með öryggisbroti í framangreindum skilningi er átt við brot á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

Tilkynna skal um öll frávik vegna persónuverndar án tafar til persónuverndarfulltrúa félagsins eða til starfsmanns Klettabæjar sem kemur þá upplýsingunum áfram til persónuverndarfulltrúa.

10. ÁBYRGÐ

Klettabær ber ábyrgð á vinnslu persónuupplýsinga og meðferð þeirra upplýsinga í starfsemi sinni.

11. FYRIRSPURNIR, ATHUGASEMDIR OG ÁBENDINGAR

Fyrirspurnum, athugasemdum og ábendingum um persónuverndarstefnu þessa eða vinnslu Klettabæjar á persónuupplýsingum að öðru leyti skal beina til persónuverndarfulltrúa félagsins með tölvupósti á netfangið: silja@jsl.is.

12. SAMVINNA VIÐ PERSÓNUVERND

Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og hefur sérhver skráður einstaklingur eða fulltrúi hans rétt til að leggja fram kvörtun hjá stofnuninni ef hann telur að vinnsla persónuupplýsinga í félaginu brjóti í bága við lög. Félagið skal, að fenginni beiðni Persónuverndar,
hafa samvinnu við stofnunina við framkvæmd verkefna hennar.

13. BREYTINGAR

Öryggis- og persónuverndarstefna Klettabæjar er endurskoðuð reglulega til að tryggja að ýtrustu kröfum sé ávallt fylgt í starfsemi félagsins við vinnslu persónuupplýsinga og kann því að taka breytingum. Breytingar öðlast gildi við birtingu á heimasíðu Klettabæjar: klettabaer.is.

Fyrst samþykkt: 15. júlí 2018

Síðast breytt: 28. ágúst 2019

Klettabær ehf.

Klettabær mini logo