ALGEMEINN GAGNASKYLDUNARSTOFNUNAR LAGA (GDPR) STJÓRNUN
1. Stefnustefna
Daglega mun fyrirtækið okkar fá, nota og geyma persónuupplýsingar um viðskiptavini, birgja, viðtalshafa og samstarfsmenn. Mikilvægt er að þessar upplýsingar séu háttaðar löglega og á viðeigandi hátt í samræmi við kröfur [Gagnaverndarlaga 2018] og Almennar gagnaverndarlöggjöfina (saman kallaðar 'Gagnaverndarkröfur').
Við tökum vernd gagna okkar alvarlega, því við virðum traustið sem sett er í okkur til að nota persónuupplýsingarnar á réttan og ábyrgan hátt.
2. Um þessa stefnu
Þessi stefna, og önnur skjöl sem vísað er til í henni, setur fram grunninn sem þar sem við munum vinna með persónuupplýsingarnar sem við safnum eða vinnslum.
Þessi stefna myndar ekki hluta af starfssemnd einstaklings og getur verið breytt hvenær sem er.
Alex Smit er viðunandi fyrir gagnavernd (DPO) okkar og ábyrgur fyrir að tryggja að fyrirtækið sé í samræmi við Gagnaverndarkröfurnar og með þessari stefnu. Spurningar varðandi framkvæmd þessa stefnu eða önnur áhyggjur um að stefnan hafi ekki verið fylgd, ættu að vera varðar til DPO í fyrsta sæti, eða tilkynntar í samræmi við kvartanirstefnu fyrirtækisins (sjá starfsleiðbeiningar).
3. Hvað eru persónuupplýsingar?
Persónuupplýsingar þýða gögn (hvort sem þau eru geymd elektronískt eða á pappír) sem tengjast lifandi einstaklingi sem hægt er að auðkenna beint eða óbeint úr þessum gögnum (eða úr þessum gögnum og öðrum upplýsingum sem við eigum).
Vinnsla er hver tækni sem felur í sér notkun persónuupplýsinga. Hún felur í sér að afla, meta eða geyma gögnin, skipuleggja, breyta, sókna út, nota, afhenda, eyða eða eyða þeim. Vinnsla felur líka í sér að flytja persónuupplýsingar til þriðja aðila.
Viðkvæm persónuupplýsingar innihalda persónuupplýsingar um kynþátt eða þjóðerni, pólitískar skoðanir, trúar eða heimspekilegar hugmyndir, félagsskap við stéttarfélag, erfðaupplýsingar, líkamlegt eða geðheilsufar, kynhneigð eða kynferðisleika. Þau geta einnig innihaldið gögn um glæp eða sakarkosti. Viðkvæmar persónuupplýsingar má aðeins vinna með undir strangum skilyrðum, þar á meðal með samþykki einstaklingsins.
4. Gagnaverndarstefnur
Allir sem vinna með persónuupplýsingar, verða að tryggja að gögnin séu:
a. Unnið með réttlæti, löglega og á gegnsæjan hátt.
b. Safnað saman fyrir tiltekna, ljós og löglega tilgangi, og all vinnsla sem ber aðrar er unnin fyrir samhæfan tilgang.
c. Fullnægjandi, viðeigandi og takmarkað til þess sem nauðsynlegt er fyrir ætlaða tilgangi.
d. Nákvæm og, þar sem nauðsynlegt, viðhaldið uppfærslu.
e. Geymt í formi sem leyfir auðkenningu en þó ekki lengur en nauðsynlegt er fyrir ætlaða tilgangi.
f. Unnið í samræmi við réttindi einstaklingsins og á hátt sem tryggir réttvísi gagna, þar á meðal varnir gegn óheimilum eða ólöglegum vinnslu og gegn óvæntum tapum, eyðingu eða skaða, með notkun viðeigandi tæknilegra eða skipulagsfræðilegra aðgerða.
g. Ekki afhent til fólks eða skipulaga staðsett í löndum án nægilegrar verndar og án þess að hafa fyrst tilkynnt einstaklingnum.
5. Réttlæti og Lögleg Vinnsla
Gagnaverndarkröfurnar eru ekki ætlaðar til að koma í veg fyrir vinnslu persónuupplýsinga, heldur til að tryggja að hún sé framkvæmd réttlæti og án þess að skaða réttindi einstaklingsins.
Í samræmi við Gagnaverndarkröfurnar munum við einungis vinna með persónuupplýsingar þar sem það er nauðsynlegt fyrir löglegt tilgang. Löglegir tilgangar felast í (milli annars): hvort einstaklingurinn hafi veitt samþykki sitt, vinnsla sé nauðsynleg til að framkvæma samning við einstaklinginn, til að uppfylla lögbundna skyldu, eða til að vernda réttmætar hagsmuni fyrirtækisins. Þegar viðkvæm persónuupplýsingar eru verðaðar, þarf að uppfylla aukar skilyrði.
6. Vinnsla fyrir takmörkuð tilgangi
Á meðan við störfum okkar, getum við safnað og vinnslað persónuupplýsingar. Það getur innifalið gögn sem við fáum beint frá upplýsingaeiganda (til dæmis, með því að fylla út eyðublöð eða með því að taka samband við okkur með pósti, síma, tölvupóst eða á öðrum vegum) og gögn sem við fáum frá öðrum uppruna (þar á meðal staðsetningarupplýsingar, viðskiptafélaga, undirritara í tæknilegum, greiðslu og afhendingarþjónustu, greiðsluskuldaveitendum og öðrum). Við munum einungis vinna með persónuupplýsingar fyrir þær sértæku tilgangi sem fram koma í Viðauka 1 eða fyrir aðra tilgangi sem sérstaklega heimilt er í Gagnaverndarkröfur. Við munum tilkynna þessa tilgangi upplýsingaeiganda þegar við safnum upplýsingunum fyrst eða eins fljótt og mögulegt er þar á eftir. 7. Tilkynna Einstaklingum Ef við fáum persónuupplýsingar beint frá einstaklingi munum við tilkynna honum um:a. Tilgangur eða tilgangir þeirra sem við ætlum að vinna með þær persónuupplýsingar, auk lagaákvörðunarinnar fyrir vinnsluna.
b. Hvenær við byggjum á réttmætum hagsmunum fyrirtækisins til að vinna með persónuupplýsingar, þá séu þeir réttmætir hagsmunir sem eftirfarandi.
c. Tegundir þriðja aðila, ef einhverjir eru, sem við munum deila eða afhenda þær persónuupplýsingar.
d. Hvernig einstaklingar geta takmarkað notkun okkar og afhendingu á persónuupplýsingum sínum.
e. Upplýsingar um tímabil þar sem upplýsingarnar þeirra verða geymdar, eða viðmið notuð til að ákvarða það tímabil.
f. Réttur þeirra til að óska frá okkur sem stjórnanda um aðgang að og lagfæringu eða eyðingu persónuupplýsinga eða takmarkanir vinnslu.
g. Réttur þeirra til að mótmæla vinnslu og réttur þeirra til gögnafærslu.
h. Réttur þeirra til að afturkalla samþykki sitt hvenær sem er (ef samþykki var gefið) án þess að hljóta áhrif á lögmæti vinnslu áður en samþykki var afturkallað.
i. Réttur til að leggja fram kvörtun til upplýsingaverndarnefndina.
j. Aðrar heimildir þar sem persónuupplýsingar varðandi einstaklinginn stofnuðu og hvort þær komu frá almennilega aðgengilegum heimildum.
k. Hvort veita persónuupplýsingar sé kröfur laga eða samningsbundnar, eða kröfur sem nauðsynlegar eru til að ganga sig í samning, auk þess hvort einstaklingurinn sé skyldur til að veita persónuupplýsingar og hverjar hafnarafleiðingar eru við að veita ekki gögnin.
Við munum einnig tilkynna upplýsingaeigendum, sem persónuupplýsingar þeirra við vinnslum, að við erum stjórnandi gagna varðandi þær upplýsingar, okkar tengiliði og hver DPO er.
8. Fullnægjandi, Viðeigandi og Ekki-ofurvinnsla
Við munum einungis safna persónuupplýsingum í þeim mæli sem nauðsynlegt er fyrir sérstakan tilgang sem tilkynntur er upplýsingaeiganda.
9. Nákvæm Gögn
Við munum tryggja að persónuupplýsingar sem við geymum séu nákvæmar og viðhaldið uppfærðum. Við munum staðfesta nákvæmni allra persónuupplýsinga þegar þær eru safnaðar og á reglulegum millibilum síðar. Við munum taka öll skynsamleg skref til að eyða eða laga rangar eða úreltar upplýsingar.
10. Tímabundin Vinnsla
Vi munum ekki geyma persónuupplýsingar lengur en nauðsynlegt er fyrir tilgang eða tilganga sem þær voru safnaðar fyrir. Vi munum taka allar skynsamlegar aðgerðir til að eyða eða strika úr kerfum okkar öllum gögnum sem eru engin þörf á lengur.
11. Vinnsla í samræmi við Réttindi Einstaklinga
Við munum vinna með öll persónuupplýsingar í samræmi við réttindi aðila, sérstaklega rétt þeirra til:
a. Staðfestingu á hvort persónuupplýsingar sem varða einstaklinginn séu verið að vinna með.
b. Beini um aðgang að öllum gögnum sem stjórnandi gagna heldur um þá.
c. Beina um aðeinsunar, eyðingu eða takmörkun á vinnslu persónuupplýsinga þeirra.
d. Leggja fram kvörtun til eftirlitsaðila.
e. Andmæla vinnslu, þar á meðal fyrir bein markaðssetningu.
12. Gögnastjórn
Vi munum taka viðeigandi öryggisáætlanir gegn ólöglegri eða óheimiltri vinnslu persónuupplýsinga, og gegn handtöku, tjóni, breytingum, óheimiltri afhendingu eða aðgengi eða afhendingu á persónuupplýsingum sem fluttar, geymdar eða önnur vinnsla. Ef ólögleg flytja gögn verða til, verður þetta rannsakað af viðeigandi starfsmanni og fyrirtækisregnarferli á að viðeigandi.
Vi munum setja í verk aðgerðir og tækni til að viðhalda öryggi allra persónuupplýsinga frá ákvarðun um hætti vinnslu og að upptökum persónuupplýsingum til eyðingarstaðar. Persónuupplýsingar munu aðeins vera fluttar til gagnavinnsluaðila ef hann samþykkir að fylgja þeim aðgerðum og stefnum eða ef hann setur sjálfur í verk nægilegar aðgerðir.
Við munum viðhalda gagnaöryggi með því að vernda trúnað, heildstæði og tiltæknileika persónuupplýsinga, skilgreint sem neðan:
a. Trúnaður þýðir að einungis fólk sem hefur heimild til að nota gögnin geti fengið aðgang að þeim.
b. Heildstæði þýðir að persónuupplýsingar ættu að vera nákvæmar og hentugar fyrir tilganginn sem þær eru unnar fyrir.
c. Tiltæknileiki þýðir að heimilt notendur ættu að geta fengið aðgang að gögnunum ef þeir þurfa þau fyrir heimilda tilgangi. Persónuupplýsingar eiga því að vera geymdar á miðstýrða tölvukerfi fyrirtækisins okkar frekar en á einstökum tölvum.
Öryggisaðgerðir innifela:
a. Aðgöngumælingar. Allur innrænn gestur sem sést í aðgöngumældum svæðum ætti að tilkynna.
b. Öruggir læsilegir skrifborðar og skápar. Skrifborðar og skápar ættu að vera læstir ef þeir geyma trúnaðarupplýsingar af hverju tagi. (Persónuupplýsingar eru alltaf álitnar trúnaðarupplýsingar.)
c. Gögnaminískun.
d. Eyðsluaðferðir. Pappírsskjöl ættu að vera rifuð. Stafrænar gagnavinnslutæki ættu að vera eyðilögð ef þau eru ekki lengur nauðsynleg.
e. Búnaður. Starfsmenn verða að tryggja að einkaskjáir sýni ekki trúnaðarupplýsingar til ganganda og að þeir skrái sig út þegar þeir sækja tölvuna eftir sig.
13. Beiðnir um Aðgang að Gögnum
Einstaklingar verða að gera formlega beiðni um upplýsingar sem við geymum um þá. Starfsmenn sem fá beiðni ættu að vforwarda hana til DPO eða einhvers í Mannauðsstjórnun án tafar.
Þegar við fáum fyrirspurnir í síma, munum við einungis afhenda persónuupplýsingar sem við eigum á kerfunum okkar ef eftirfarandi skilyrðum er fullnægt:
a. Við munum staðfesta auðkenni þess sem hringir til að tryggja að upplýsingar séu afhentar einungis þeim sem eru heimilt að fá þær.
b. Við munum mæla með að þeir sem hringja leggi fyrir beiðni sína skriflega ef við erum ekki viss um auðkenni hringjanda og þar sem auðkenni þeirra getur ekki verið staðfest.
Þegar beiðni er gerð elektrónískt, verður gögn veitt elektrónískt hvar sem það er hægt.
Starfsmenn okkar munu vísa beiðni til yfirvöldum í sínum umsjámann fyrir aðstoð í erfiðum aðstæðum.
14. Breytingar á þessari stefnu
Við áskiljum okkur rétt til að breyta þessari stefnu hvenær sem er. Þar sem viðeigandi, munum við tilkynna breytingar með vafrakökuvegg á vefsíðu.