Skip to content

Persónuverndarstefna

Skilmálar

Útg. 2.0. – 9. mars 2020

Í Persónuverndarstefnu þessari er greint frá því hvernig Sensa ehf., kt. 480202-2520, Ármúla 31, 108 Reykjavík (hér eftir „Sensa“), meðhöndlar persónuupplýsingar viðskiptavina sinna hverju sinni. Með „viðskiptavini“ er hér átt við fyrirtæki eða stofnun sem á í viðskiptum við Sensa á grundvelli þjónustusamnings, einstaklinga sem gætu verið í forsvari slíkra aðila og eftir atvikum aðra sem leita til Sensa eða Sensa á í samskiptum við.

Nánar tiltekið er fjallað um í Persónuverndarstefnu þessari hvernig Sensa vinnur með persónuupplýsingar viðskiptavina og eftir atvikum annarra, á grundvelli hvaða heimildar, og hvernig Sensa leggur sig fram við að tryggja öryggi þeirra.

Forgangsatriði hjá Sensa er að fylgja lögum og reglum, til að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga. Sensa tryggir vernd persónupplýsinga m.a. með því að fylgja samþykktu verklagi um upplýsingastjórnun og miðlægri aðgagnsstýringu. Einnig er Sensa vottað samkvæmt staðlinum ISO 27001:2013 um stjórnkerfi upplýsingaöryggis.
Hlutverk Sensa í vinnslu persónuupplýsinga fer eftir því verkefni sem er sinnt hverju sinni. Sensa kemur að meginstefnu fram sem s.k. vinnsluaðili fyrir hönd viðskiptavina sinna. Í þeim tilvikum þar sem Sensa er að endurselja þjónustu og/eða leyfi frá þriðju aðilum til viðskiptavina kunna slíkir þriðju aðilar jafnframt að koma fram sem vinnsluaðilar í skilningi persónuverndarlaga gagnvart viðskiptavini, án þess að Sensa hafi þar nokkra milligöngu. Kann það t.a.m. að eiga við í þeim tilvikum þar sem viðskiptavinur fær leyfi til notkunar á hugbúnaði þriðju aðila sem jafnframt hýsir persónuupplýsingar viðskiptavinar. Í enn öðrum tilvikum kann Sensa að koma fram sem s.k. ábyrgðaraðili. Persónuverndarstefna þessi gildir um Sensa sem ábyrgðaraðili annars vegar og vinnsluaðili hins vegar, en vinnslunni má skipta upp með eftirfarandi hætti:
  • Sem þjónustuaðili viðskiptavinar
Vinnsla persónuupplýsinga hjá Sensa fer að meginstefnu fram á vegum viðskiptavina fyrirtækisins sem hafa gert þjónustusamninga við Sensa um kaup á þjónustu tengdri upplýsingatækni. Starfar Sensa í slíkum tilvikum sem vinnsluaðili á vegum viðskiptavina sinna sem teljast ábyrgðaraðilar vinnslu í skilningi persónuverndarlaga, en ábyrgðaraðili ber megin ábyrgð á vinnslu persónuupplýsinga. Ábyrgðaraðili vinnslu ber ábyrgð á því að gera vinnslusamning við þjónustuaðila sína sem meðhöndla persónuupplýsingar á þeirra vegum, sem og að tryggja lögmæta meðhöndlun slíkra gagna og verða við beiðnum hinna skráðu. Þegar viðskiptavinur undirritar slíkan vinnslusamning við Sensa meðhöndlar fyrirtækið einungis persónuupplýsingar fyrir hönd viðskiptavinarins í samræmi við fyrirmæli þess samnings, nema lög eða fyrirmæli eftirlitsaðila tilgreini annað. Sensa ber aftur á móti sjálfstæða ábyrgð á því að tryggja öryggi persónuupplýsinga sem fyrirtækið kann að meðhöndla á vegum viðskiptavina sinna sem vinnsluaðili, sbr. einnig umfjöllun neðar.
  • Samskipti við viðskiptavini
Sensa kemur fram sem ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fyrirtækið hefur með höndum vegna samskipta við viðskiptavini sína í tengslum við fyrirliggjandi eða fyrirhuguð viðskipti. Í þeim tilvikum notast Sensa einkum við tengiliðaupplýsingar sem viðskiptavinurinn hefur sjálfur veitt Sensa eða sem eru gerðar opinberar með öðrum hætti, t.d. á vefsíðum viðskiptavina eða í símaskrá, einkum nafn, símanúmer og netfang. Slík vinnsla fer einkum fram í þeim tilgangi að sannreyna viðskipti sem viðskiptavinur óskar eftir, halda utan um og tryggja örugg samskipti viðskiptavinar við Sensa, koma á framfæri skilaboðum til viðskiptavinar tengdri þeirri þjónustu sem hann kaupir frá Sensa, og eftir atvikum til að gjaldfæra fyrir þjónustu. Vinnslan byggir þannig á samningi Sensa við viðskiptavin, eða beiðni þess síðarnefnda um að gera samning. Samskipti Sensa við tengiliði viðskiptavina gætu einnig farið fram í markaðslegum tilgangi, þar sem Sensa kynnir fyrir viðskiptavinum sínum eða öðrum sem kunna hafa skráð sig á póstlista Sensa þjónustu sínar, í samræmi við heimildir fjarskiptalaga. Móttakendur slíkra pósta hafa ávallt tök á að afþakka slík samskipti með því að setja sig í samband við Sensa eða smella á „Afskrá af póstlista“ í mótteknum tölvupósti frá Sensa.  Sú vinnsla sem fer fram í markaðslegum tilgangi byggir á lögmætum hagsmunum Sensa.
  • Þjónustuaðilar Sensa
Þegar Sensa kaupir þjónustu frá birgja eða þjónustuaðila sem krefst þess að viðkomandi þarf að hafa aðgang að eða vinna með persónuupplýsingar hjá Sensa gætir Sensa þess að sá aðili, s.k. vinnsluaðili,  geti tryggt öryggi þeirra upplýsinga sem unnið er með og að undirritaður sé vinnslusamningur við viðkomandi aðila. Sé um að ræða tilvik þar sem þjónustuaðili Sensa gæti þurft að hafa aðgang að persónuupplýsingum sem Sensa vinnur með á vegum síns viðskiptavinar (ábyrgðaraðila) á grundvelli vinnslusamnings gætir Sensa þess að afla skriflegrar heimildar frá viðskiptavini fyrir notkun slíks undirvinnsluaðila áður en hann tekur til starfa. Slíkum undirvinnsluaðila skal gert skylt að gangast undir sömu kröfur og Sensa hefur gert á grundvelli vinnslusamnings við ábyrgðaraðila upplýsinganna.
  • Rafræn vöktun
Í og við skrifstofuhúsnæði Sensa, sem og vélarsali þess, er viðhöfð rafræn vöktun með eftirlitsmyndavélum í öryggis- og eignavörsluskyni. Hvorki mynd- né hljóðefni er afhent þriðja aðila nema til lögreglu ef grunur vaknar um refsiverða háttsemi og þörf reynist að rannsaka málið á grundvelli framangreindra gagna. Sensa kemur fram sem ábyrgðaraðili í tengslum við þá vinnslu er tengist rafrænni vöktun og byggist vinnslan á lögmætum hagsmunum Sensa.
  • Til að uppfylla skilyrði laga, reglugerða, stjórnvaldsfyrirmæla eða dómsúrskurða
Sensa gætir þess að uppfylla skilyrði laga í hvívetna þegar kemur að meðhöndlun persónuupplýsinga, þar á meðal í þeim tilvikum sem fyrirtækinu er skylt að vinna með eða varðveita persónuupplýsingar. Í slíkum tilvikum er þess gætt að einungis sé unnið með þær upplýsingar sem teljast nauðsynlegar til að uppfylla slíkar skyldur, t.d. samkvæmt bókhaldslögum. Sensa gæti einnig verið skylt að vinna með eða afhenda persónuupplýsingar til eftirlitsyfirvalda í þeim tilvikum sem lög, stjórnvaldsfyrirmæli eða dómsúrskurður kveður á um slíka vinnslu. Hér gæti einkum átt við afhendingu gagna til eftirlitsaðila á grundvelli lögmætrar beiðni, svo sem til lögreglu, netöryggissveitar CERT-ÍS, Ríkisskattstjóra eða Fjármálaeftirlitsins. Í þeim tilvikum sem Sensa telur að beiðni skuli beinast að ábyrgðaraðila vinnslu persónuupplýsinga gætir fyrirtækið þess að vera í samskiptum við ábyrgðaraðila um móttekna beiðni og afgreiðslu hennar, nema lög, stjórnvaldsfyrirmæli eða dómsúrskurður kveði á um annað. Þá kunna viðskiptavinir í ákveðnum tilvikum að skuldbinda Sensa til að fara eftir fyrirmælum í lögum, þó lögin sem slík taki ekki beint til Sensa. Slíkt er ávallt samningsatriði milli aðila og skal kveðið á um með skýrum hætti í þjónustu- og eða vinnslusamningi við Sensa.
  • Önnur vinnsla
Sensa gæti unnið með frekari persónuupplýsingar um einstaklinga í öðrum tilgangi en að framan greinir ef viðkomandi einstaklingur samþykkir það sérstaklega. Til að mynda á það við um vinnslu upplýsinga úr vefkökum þeirra einstaklinga sem heimsækja vefsíðu Sensa, www.sensa.is. Nánar er kveðið á um notkun Sensa á vefkökum í sérstakri stefnu þar um. Einstaklingar geta afturkallað slíkt samþykki hvenær sem er, en slík afturköllun hefur ekki áhrif á þá vinnslu persónuupplýsinga sem átti sér stað fram að afturkölluninni. Þá kann Sensa að vinna með tengiliðaupplýsingar birgja eða þjónustuaðila og byggir sú vinnsla á samningi Sensa við þá aðila sem viðkomandi tengiliðir koma fram fyrir. Þar að auki kann Sensa að vinna með afmarkaðar tengiliðaupplýsingar, einkum upplýsingar um nafn, þeirra einstaklinga sem eiga erindi í starfsstöðvar félagsins, s.s. fundargesta. Er unnið með slíkar upplýsingar á grundvelli lögmætra hagsmuna félagsins, þ. á m. í öryggisskyni þannig að Sensa hafi upplýsingar um hverjir eru í húsinu komi upp öryggisatvik.

Öryggi upplýsinga er ávallt forgangsatriði í starfsemi Sensa.

Til að tryggja öryggi persónuupplýsinga hjá fyrirtækinu hefur Sensa sett sér öryggisstefnu, framkvæmt áhættumöt sem sæta reglubundinni endurskoðun og innleitt fjölmargar öryggisráðstafanir til að draga úr hvers konar áhættu sem upplýsingum gæti stafað ógn af. Slíkar öryggisráðstafanir eru bæði af skipulagslegum og tæknilegum toga til að vernda persónuupplýsingar gegn því að þær glatist, breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Meðal helstu ráðstafana sem Sensa beitir má nefna eftirfarandi:

  • Vottun Sensa samkvæmt staðlinum ISO/IEC 27001:2013 um stjórnunarkerfi upplýsingaöryggis, til að tryggja m.a. trúnað, réttleika, heilleika og tiltækileika gagna,
  • undirritun þagnarskyldu starfsmanna og verktaka,
  • gerð verklagsreglna og ferla varðandi öryggi persónuupplýsinga og meðhöndlun öryggisbresta,
  • aðgangsstýringar að upplýsingakerfum og húsnæði,
  • eftirlit og öryggisvarsla með húsnæði og vélasölum,
  • gerð vinnslusamninga við birgja eða aðra þjónustuaðila sem starfa á vegum Sensa, og
  • fræðslu til starfsmanna um lögmæta og örugga meðferð persónuupplýsinga.

Sensa gætir þess með innra eftirliti að unnið sé í samræmi við framangreindar öryggisráðstafanir og til að tryggja að þær séu fullnægjandi og áreiðanlegar.

Í tilviki öryggisbrests fylgir Sensa verklagsreglum fyrirtækisins og eftir atvikum öðrum fyrirmælum sem viðskiptavinur kann að hafa veitt fyrirtækinu. Í flestum tilvikum vinnur Sensa með persónuupplýsingar sem vinnsluaðili á vegum viðskiptavina sinna. Varði öryggisbresturinn upplýsingar viðskiptavinar ber Sensa ábyrgð á að tilkynna um öryggisbrestinn beint til síns viðskiptavinar, nema sérstaklega hafi verið samið um annað. Það fellur því í hlut viðskiptavinarins í slíkum tilvikum að meta hvort tilkynna skuli öryggisbrestinn til Persónuverndar og eftir atvikum hinna skráðu.

Í þeim tilvikum sem Sensa vinnur með persónuupplýsingar sem sjálfstæður ábyrgðaraðili gætir fyrirtækið þess að fylgja lögum og verklagsreglum og ferlum fyrirtækisins varðandi tilkynningarskyldu til Persónuverndar og eftir atvikum til hinna skráðu.

Sensa vinnur að meginstefnu til með persónuupplýsingar sem vinnsluaðili á vegum viðskiptavina sinna. Af þeim sökum er það á ábyrgð viðskiptavinar að gæta þess að eyða gögnum þegar ekki er lengur málefnaleg ástæða fyrir varðveislu þeirra. Nánar skal kveðið á um fyrirkomulag varðveislu gagna í vinnslusamningi milli Sensa og viðskiptavinar. Meginreglan er þó sú að engum upplýsingum er eytt af hálfu Sensa nema viðskiptavinur óski þess sérstaklega með skriflegum hætti.

Þegar Sensa meðhöndlar persónuupplýsingar sem ábyrgðaraðili er einungis unnið með þær á meðan það telst nauðsynlegt og málefnalegt til að ná því markmiði sem að er stefnt með vinnslunni hverju sinni, eins og lýst hefur verið ofar, eða ef lögmætir hagsmunir Sensa krefjast þess, t.d. til að setja fram eða verja kröfu. Að öllu jöfnu eru upplýsingar varðveittar meðan á samningssambandi stendur en afmarkaðar lágmarksupplýsingar um viðskiptasögu viðskiptavina eru varðveittar ótímabundið í þágu lögmætra hagsmuna Sensa. Þá geta sérstök tímamörk verið tilgreind í lögum fyrir varðveislu gagna sem Sensa ber að fylgja, t.d. varðandi varðveislu upplýsinga sem teljast til bókhaldsgagna í sjö ár. Efni sem safnað er hjá Sensa í þágu rafrænnar vöktunar eytt að 45 dögum til að 12 mánuðum liðnum, nema lög heimili eða kveði á um annað.

Á grundvelli persónuverndarlaga hafa einstaklingar rétt til:

  • aðgangs að persónuupplýsingum um sig, þ. á m. hvort og hvaða flokka persónuupplýsinga unnið er með, í hvaða tilgangi og hve lengi upplýsingarnar eru varðveittar,
  • að fá upplýsingar um sig afhentar á algengu tölvulesanlegu sniði eða eftir atvikum fluttar til annars þjónustuaðila,
  • að krefjast leiðréttingar óáreiðanlegra persónuupplýsinga um sig og/eða eyðingu þeirra,
  • að andmæla eða takmarka vinnslu persónuupplýsinga um sig, og
  • að afturkalla veitt samþykki fyrir vinnslu persónuupplýsinga um sig.

Mikilvægt er þó að árétta að framangreind réttindi eru háð einhverjum takmörkunum, t.d. ef upplýsingar gætu varðað persónuupplýsingar annars einstaklings. Beiðnir einstaklinga þurfa því að vera metnar sérstaklega hverju sinni, m.t.t. umfangs beiðninnar, persónuupplýsinganna sem um ræðir og tilganginum með vinnslu þeirra hjá ábyrgðaraðila.

Beiðnum einstaklinga er varða réttindi þeirra samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga skal ávallt beint til ábyrgðaraðila vinnslunnar.

Skyldi Sensa berast beiðni frá einstaklingi sem varðar vinnslu sem fer fram hjá Sensa á grundvelli vinnslusamnings þar sem Sensa er vinnsluaðili fyrir hönd viðskiptavinar, n.t.t. ábyrgðaraðila vinnslunnar, mun Sensa leiðbeina viðkomandi einstaklingi um að snúa sér til ábyrgðaraðila vinnslunnar varðandi afgreiðslu beiðninnar.

Þegar beiðni beinist að Sensa skal henni komið á framfæri til öryggisstjóra Sensa (personuvernd@sensa.is), sjá einnig umfjöllun neðar um samskiptaleiðir við Sensa. Brugðist er við mótteknum erindum með skriflegum hætti innan 30 daga frá móttöku beiðni. Sé um óhóflega eða tilefnislausa beiðni að ræða áskilur Sensa sér rétt til að gjaldfæra hóflegt gjald fyrir afgreiðslu beiðninnar. Mun Sensa tilkynna viðkomandi þar að lútandi sérstaklega áður en hafist er handa við afgreiðslu beiðnar.

Fyrirspurnum um persónuverndartengd álitaefni skal beint til öryggisstjóra Sensa, personuverndarfulltrui@sensa.is.

Sensa hefur einnig skipað persónuverndarfulltrúa sem hefur m.a. því hlutverki að gegna að hafa eftirlit með því að Sensa fari að lögum og reglum um persónuvernd í starfsemi sinni og vera tengiliður Persónuverndar og viðskiptavina sinna varðandi mál sem tengjast vinnslu persónuupplýsinga hjá fyrirtækinu. Persónuverndarfulltrúi Sensa er bundinn þagnarskyldu um framkvæmd verkefna sinna. Netfang persónuverndarfulltrúa er personuverndarfulltrui@sensa.is.

Í þeim tilvikum sem viðskiptavinur telur að ágreiningur sé uppi milli hans og Sensa varðandi meðferð persónuupplýsinga um sig hefur hann rétt á að senda kvörtun þess efnis til Persónuverndar,  Rauðarárstíg 10, 105 Reykjavík. Sjá nánar á vef stofnunarinnar, www.personuvernd.is.

Persónuverndarstefnan verður endurskoðuð reglulega og ef sérstök þörf krefur. Dagsetningin efst gefur til kynna hvenær stefnan var síðast uppfærð. Allar breytingar á stefnunni verða birtar á þessu vefsvæði og taka þær gildi við birtingu á vef Sensa.

Sensa gæti einnig sent viðskiptavinum tölvupóst til að tilkynna um breytingar á persónuverndarstefnu fyrirtækisins eða aðrar breytingar sem gætu varðað viðkomandi viðskiptavin sérstaklega.

Viltu ráðgjöf?

Hikaðu ekki við að senda okkur línu eða taka upp símann, s. 425 1500

Sensa hafðu samband og fáðu ráðgjöf

Sensa ehf. notar vefkökur (e.cookies) m.a. til að bæta vefinn og aðlaga betur að þörfum notenda. Nánari upplýsingar hérna.