Persónuverndarstefna
Útg. 3.0. – 3. júlí 2024
Í persónuverndarstefnu þessari er greint frá því hvernig Sensa ehf., kt. 480202-2520, Lynghálsi 4, 108 Reykjavík (hér eftir „Sensa“), vinnur með persónuupplýsingar viðskiptavina sinna, einstaklinga sem eru í forsvari fyrir viðskiptavini, birgja og samstarfsaðila, einstaklinga sem heimsækja starfsstöð Sensa og/eða vefsíðu, umsækjenda um störf og einstaklinga sem leita til Sensa eða Sensa á að öðru leyti í samskiptum við.
Í stefnu þessari er vísað til allra þessara aðila sameiginlega sem „þín“ eða „skráðir aðilar“.
Nánar tiltekið er fjallað um það í persónuverndarstefnu þessari hvernig Sensa vinnur með persónuupplýsingar þínar, á grundvelli hvaða heimildar, og hvernig Sensa leggur sig fram við að tryggja öryggi persónuupplýsinga. Stefnan byggir á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir „persónuverndarlög“).
Hlutverk Sensa við vinnslu persónuupplýsinga fer eftir því verkefni sem er sinnt hverju sinni. Sensa gegnir þannig annars vegar hlutverki vinnsluaðila og hins vegar hlutverki ábyrgðaraðila, í skilningi persónuverndarlaga, en mismunandi skyldur hvíla á félaginu eftir því í hvaða hlutverki félagið gegnir.
Þegar nauðsynlegt er fyrir Sensa að vinna með persónuupplýsingar í tengslum við þá þjónustu sem Sensa veitir viðskiptavinum sínum kemur félagið fram sem vinnsluaðili. Um slíka vinnslu gilda vinnslusamningsskilmálar Sensa og eins og nánar er kveðið á um í þeim vinnur Sensa aðeins með persónuupplýsingar undir slíkum kringumstæðum á grundvelli fyrirmæla viðskiptavina sinna.
Í þeim tilvikum þar sem Sensa er að endurselja þjónustu og/eða leyfi frá þriðju aðilum til viðskiptavina kunna slíkir þriðju aðilar jafnframt að koma fram sem vinnsluaðilar í skilningi persónuverndarlaga gagnvart viðskiptavini, án þess að Sensa hafi þar nokkra milligöngu. Kann það t.a.m. að eiga við í þeim tilvikum þar sem viðskiptavinur fær leyfi til notkunar á hugbúnaði þriðju aðila sem jafnframt hýsir persónuupplýsingar viðskiptavinar.
Í öðrum tilvikum kemur Sensa fram sem ábyrgðaraðili vinnslu og er það sú vinnsla sem kveðið er á um í persónuverndarstefnu þessari.
Viðskiptavinir og forsvarsmenn þeirra
Í þeim tilgangi að geta átt í samskiptum við viðskiptavini, í tengslum við fyrirliggjandi eða fyrirhuguð viðskipti, er félaginu nauðsynlegt að vinna með persónuupplýsingar. Í þeim tilvikum vinnur Sensa einkum með tengiliðaupplýsingar sem viðskiptavinurinn hefur sjálfur veitt Sensa eða sem eru gerðar opinberar með öðrum hætti, t.d. á vefsíðum viðskiptavina eða í símaskrá, einkum nafn, símanúmer og netfang. Þá kann Sensa að vinna með upplýsingar um stöðu viðkomandi og afrit af samskiptasögu, eftir því sem við á.
Slík vinnsla fer einkum fram í þeim tilgangi að sannreyna viðskipti sem viðskiptavinur óskar eftir, halda utan um og tryggja örugg samskipti viðskiptavinar við Sensa, koma á framfæri skilaboðum til viðskiptavinar tengdri þeirri þjónustu sem hann kaupir frá Sensa, og eftir atvikum til að gjaldfæra fyrir þjónustu. Vinnslan byggir þannig á samningi Sensa við viðskiptavin, eða beiðni þess síðarnefnda um að gera samning, og sú vinnsla sem á sér stað um forsvarsmenn viðskiptavina byggir á lögmætum hagsmunum Sensa.
Samskipti Sensa við tengiliði viðskiptavina kunna einnig að fara fram í markaðslegum tilgangi, þar sem Sensa kynnir fyrir viðskiptavinum sínum eða öðrum sem kunna hafa skráð sig á póstlista Sensa þjónustu sínar, í samræmi við heimildir persónuverndar- og fjarskiptalaga. Móttakendur slíkra pósta hafa ávallt tök á að afþakka slík samskipti með því að setja sig í samband við Sensa eða smella á „Afskrá af póstlista“ í mótteknum tölvupósti frá Sensa. Sú vinnsla sem fer fram í markaðslegum tilgangi byggir á lögmætum hagsmunum Sensa.
Forsvarsmenn birgja og samstarfsaðila
Í þeim tilgangi að geta átt í samskiptum við birgja og samstarfsaðila er félaginu nauðsynlegt að vinna með tengiliðaupplýsingar forsvarsmanna slíkra aðila. Unnið er með upplýsingar um nafn, símanúmer, netfang og stöðu sem og afrit af samskiptasögu eftir því sem við á. Sú vinnsla fer fram á grundvelli lögmætra hagsmuna Sensa.
Rafræn vöktun
Í og við skrifstofuhúsnæði Sensa, sem og vélarsali þess, er viðhöfð rafræn vöktun með eftirlitsmyndavélum í öryggis- og eignavörsluskyni. Hvorki mynd- né hljóðefni er afhent þriðja aðila nema heimild standi til þess í lögum, s.s. til lögreglu ef grunur vaknar um refsiverða háttsemi og þörf reynist að rannsaka málið á grundvelli framangreindra gagna. Vinnsla Sensa er tengist rafrænni vöktun og byggir á lögmætum hagsmunum Sensa.
Umsækjendur um störf
Sæki einstaklingur um starf hjá Sensa er félaginu nauðsynlegt að vinna með persónuupplýsingar viðkomandi í þeim tilgangi að meta hvort ganga skuli frá ráðningarsamningi. Þær upplýsingar sem unnið er með eru tengiliðaupplýsingar, þ.e. upplýsingar um nafn, kennitölu, netfang og símanúmer, upplýsingar um menntun og starfsreynslu sem og þær aðrar persónuupplýsingar sem umsækjendur kjósa að afhenda Sensa. Þá kann Sensa að vinna með upplýsingar um meðmælendur og opinberar upplýsingar, s.s. upplýsingar sem nálgast má á samfélagsmiðlum um viðkomandi. Vinnsla Sensa á upplýsingum um umsækjendur byggir á beiðni umsækjanda að gera samning við Sensa.
Í tengslum við einstaka störf er jafnframt unnið með sakavottorð umsækjanda og byggir slík vinnsla á lögmætum hagsmunum Sensa.
Vefsíða Sensa og önnur vinnsla
Vefsíða Sensa, www.sensa.is, notast við vefkökur og í tengslum við slíka notkun er unnið með persónuupplýsingar, s.s. IP tölu. Nánar er kveðið á um notkun Sensa á vefkökum í sérstakri stefnu þar um. Að hluta til byggir vinnslan á samþykki einstaklinga sem heimsækja vefsíðuna og geta einstaklingar afturkallað slíkt samþykki hvenær sem er.
Í þeim tilvikum er einstaklingur heimsækir starfsstöð Sensa, s.s. í þeim tilgangi að koma á fund, vinnur Sensa með afmarkaðar tengiliðaupplýsingar viðkomandi, einkum upplýsingar um nafn. Er unnið með slíkar upplýsingar á grundvelli lögmætra hagsmuna félagsins, þ. á m. í öryggisskyni þannig að Sensa hafi upplýsingar um hverjir eru í húsinu komi upp öryggisatvik.
Öryggi upplýsinga er ávallt forgangsatriði í starfsemi Sensa. Sensa tryggir vernd persónuupplýsinga m.a. með því að fylgja samþykktu verklagi um upplýsingastjórnun og miðlægri aðgangsstýringu. Einnig er Sensa vottað samkvæmt staðlinum ISO 27001:2013 um stjórnkerfi upplýsingaöryggis.
Til að tryggja öryggi persónuupplýsinga hjá fyrirtækinu hefur Sensa sett sér öryggisstefnu, framkvæmt áhættumöt sem sæta reglubundinni endurskoðun og innleitt fjölmargar öryggisráðstafanir til að draga úr hvers konar áhættu sem upplýsingum gæti stafað ógn af. Slíkar öryggisráðstafanir eru bæði af skipulagslegum og tæknilegum toga til að vernda persónuupplýsingar gegn því að þær glatist, breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.
Meðal helstu ráðstafana sem Sensa beitir má nefna eftirfarandi:
- vottun Sensa samkvæmt staðlinum ISO/IEC 27001:2013 um stjórnunarkerfi upplýsingaöryggis, til að tryggja m.a. trúnað, réttleika, heilleika og tiltækileika gagna,
- undirritun þagnarskyldu starfsfólks og verktaka,
- gerð verklagsreglna og ferla varðandi öryggi persónuupplýsinga og meðhöndlun öryggisbresta,
- aðgangsstýringar að upplýsingakerfum og húsnæði,
- eftirlit og öryggisvarsla með húsnæði og vélasölum,
- gerð vinnslusamninga við birgja eða aðra þjónustuaðila sem starfa á vegum Sensa, og
- fræðslu til starfsfólks um lögmæta og örugga meðferð persónuupplýsinga.
Sensa gætir þess með innra eftirliti að unnið sé í samræmi við framangreindar öryggisráðstafanir og til að tryggja að þær séu fullnægjandi og áreiðanlegar.
Sensa varðveitir einungis persónuupplýsingar svo lengi sem það telst nauðsynlegt og málefnalegt til að ná því markmiði sem að er stefnt með vinnslunni hverju sinni, eins og lýst hefur verið ofar, eða ef lögmætir hagsmunir Sensa krefjast þess, t.d. til að setja fram eða verja kröfu.
Að öllu jöfnu eru upplýsingar varðveittar meðan á samningssambandi stendur en afmarkaðar lágmarksupplýsingar um viðskiptasögu viðskiptavina eru varðveittar ótímabundið í þágu lögmætra hagsmuna Sensa. Þá geta sérstök tímamörk verið tilgreind í lögum fyrir varðveislu gagna sem Sensa ber að fylgja, t.d. varðandi varðveislu upplýsinga sem teljast til bókhaldsgagna í sjö ár.
Efni sem safnað er hjá Sensa í þágu rafrænnar vöktunar er eytt að 30 dögum liðnum, nema lög heimili eða kveði á um annað og er upplýsingum um umsækjendur almennt eytt að sex mánuðum liðnum nema umsækjandi hafi sérstaklega samþykkt lengri varðveislutíma.
Sensa kann að nýta utanaðkomandi þjónustuveitendur í starfsemi sinni. Reynist þörf á að vinna með persónuupplýsingar í tengslum við slíka þjónustu kunna viðkomandi aðilar að koma fram sem vinnsluaðilar Sensa. Í þeim tilvikum tryggir Sensa að gengið sé frá fullnægjandi samningi við slíka aðila og að öryggi þeirra persónuupplýsinga sem þeim er falið að vinna með sé tryggt.
Sensa gæti einnig verið skylt að vinna með eða afhenda persónuupplýsingar til eftirlitsyfirvalda í þeim tilvikum sem lög, stjórnvaldsfyrirmæli eða dómsúrskurður kveður á um slíka vinnslu. Hér gæti einkum átt við afhendingu gagna til eftirlitsaðila á grundvelli lögmætrar beiðni, svo sem til lögreglu, netöryggissveitar CERT-ÍS, Ríkisskattstjóra eða Fjármálaeftirlitsins.
Á grundvelli persónuverndarlaga hafa einstaklingar rétt til:
- aðgangs að persónuupplýsingum um sig og upplýsingum um vinnsluna, þ. á m. hvort og hvaða flokka persónuupplýsinga unnið er með, í hvaða tilgangi og hve lengi upplýsingarnar eru varðveittar,
- að fá upplýsingar um sig afhentar á algengu tölvulesanlegu sniði eða eftir atvikum fluttar til annars þjónustuaðila,
- að krefjast leiðréttingar óáreiðanlegra persónuupplýsinga um sig og/eða eyðingu þeirra,
- að andmæla eða takmarka vinnslu persónuupplýsinga um sig, og
- að afturkalla veitt samþykki fyrir vinnslu persónuupplýsinga um sig.
Mikilvægt er þó að árétta að framangreind réttindi eru háð ákveðnum takmörkunum, t.d. ef upplýsingar gætu varðað persónuupplýsingar annars einstaklings. Beiðnir einstaklinga þurfa því að vera metnar sérstaklega hverju sinni, m.t.t. umfangs beiðninnar, persónuupplýsinganna sem um ræðir og tilganginum með vinnslu þeirra hjá Sensa.
Sensa bregst við mótteknum erindum með skriflegum hætti innan 30 daga frá móttöku beiðni. Sé um óhóflega eða tilefnislausa beiðni að ræða áskilur Sensa sér rétt til að gjaldfæra hóflegt gjald fyrir afgreiðslu beiðninnar. Mun Sensa tilkynna viðkomandi þar að lútandi sérstaklega áður en hafist er handa við afgreiðslu beiðnar.
Ef skráður einstaklingur vill nýta réttindi sín á grundvelli persónuverndarlaga skal beina slíkum erindum til öryggisstjóra Sensa. Það sama á við um hvers konar fyrirspurnir um persónuverndartengd álitaefni. Best er að senda erindi á netfangið personuverndarfulltrui@sensa.is.
Sensa hefur einnig skipað persónuverndarfulltrúa sem hefur m.a. því hlutverki að gegna að hafa eftirlit með því að Sensa fari að lögum og reglum um persónuvernd í starfsemi sinni og vera tengiliður Persónuverndar og skráðra einstaklinga varðandi mál sem tengjast vinnslu persónuupplýsinga hjá fyrirtækinu. Persónuverndarfulltrúi Sensa er bundinn þagnarskyldu um framkvæmd verkefna sinna. Netfang persónuverndarfulltrúa er personuverndarfulltrui@sensa.is.
Í þeim tilvikum sem skráður einstaklingur telur að ágreiningur sé uppi milli hans og Sensa varðandi meðferð persónuupplýsinga um sig hefur hann rétt á að senda kvörtun þess efnis til Persónuverndar, Rauðarárstíg 10, 105 Reykjavík. Sjá nánar á vef stofnunarinnar, www.personuvernd.is.
Sensa áskilur sér rétt til að endurskoða persónuverndarstefnu þessa reglulega og ef sérstök þörf krefur.
Dagsetningin efst gefur til kynna hvenær stefnan var síðast uppfærð. Allar breytingar á stefnunni verða birtar á þessu vefsvæði og taka þær gildi við birtingu á vef Sensa.
Sensa gæti einnig sent skráðum aðilum tölvupóst til að tilkynna um breytingar á persónuverndarstefnu fyrirtækisins eða aðrar breytingar sem gætu varðað viðkomandi einstakling sérstaklega.