Persónuvernd

Persónuvernd

Ásgarði (AIS ehf) er umhugað um persónuvernd í starfsemi sinni og leggur áherslu á lögmæta, sanngjarn og gagnsæja meðferð persónuupplýsinga. Fyrirtækið vinnur eftir lögum um persónuvernd og vinnslu persónuuplýsinga nr. 90/2019 Lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018

Persónuverndarfulltrúi Ásgarðs er Kristrún Lind Birgisdóttir. Persónuverndarfulltrúinn tekur við fyrirspurnum og ábendingum sem einstaklingar kunna að hafa varðandi persónuvernd hjá fyrirtækinu og þá starfsemi sem undir hana heyrir.

Persónuverndarstefna

Ásgarður hefur sett sér persónuverndarstefnu og var hún samþykkt 30. desember 2018. Í stefnunni má finna upplýsingar um stefnu fyrirtækisins varðandi persónuvernd og vinnslu persónuupplýsinga svo sem söfnun þeirra, varðveislu og öryggi. 

Ásgarður (AIS ehf, hér eftir nefnt fyrirtækið) hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem fyrirtækið og öll undirstarfsemi þess
vinna. Fyrirtkið hefur á þeim grundvelli sett sér svohljóðandi persónuverndarstefnu:

  1. Tilgangur og gildissvið
    Fyrirtkið leitast við að uppfylla í hvívetna þá persónuverndarlöggjöf sem er í gildi hverju sinni og er stefna þessi byggð á lögum nr. 90 frá 27. júní 2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“). Með stefnu þessari leggur fyrirtækið áherslu á mikilvægi þess að gætt sé að því að öll vinnsla persónuupplýsinga innan fyrirtkækisins fari fram í samræmi við ákvæði persónuverndarlaga. Stefnan gildir um sérhverja vinnslu persónuupplýsinga innan fyrirtækisins, en þegar vísað er til fyrirtækisins í stefnu þessari er einnig átt við stofnanir og starfsemi vegum þess. Persónuverndarstefna þessi lýsir vinnslu fyrirtækisins á persónuupplýsingum. Fyrirtækið mun auk þess leitast við að veita þeim einstaklingum og fyrirtækjum sem unnið er með persónuupplýsingar um
    nánari fræðslu um þá vinnslu sem fyrirtækið hefur með höndum hverju sinni, eftir því sem við á.
  1. Hvað er vinnsla persónuupplýsinga?
    Persónuupplýsingar í skilningi stefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar. Undir hugtakið vinnsla fellur öll notkun og meðferð persónuupplýsinga, s.s. söfnun, skráning, varðveisla og eyðing.
  2. Hvernig vinnur fyrirtækið persónuupplýsingar?
    Öll vinnsla fyrirtækisins á persónuupplýsingum fer fram í skýrum tilgangi og byggist á lögmætum grundvelli samkvæmt persónuverndarlögum. Gætt er að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg hinum upprunalega tilgangi vinnslunnar. Fyrirtækið leggur áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur, til að ná því markmiði sem stefnt er að með vinnslunni. Til þess að tryggja að unnið sé með persónuupplýsingar í samræmi við meginreglur persónuverndarlaga veitir fyrirtækið starfsfólki sínu þjálfun í því hvernig skuli umgangast slíkar upplýsingar þegar til slíkrar meðferðar kemur.
  3. Um hverja safnar fyrirtækið persónuupplýsingum?
    Helstu upplýsingar sem fyrirtækinu áskotnast eru nöfn viðskiptavina, skólastjórnenda og framkvæmdastjóra, nöfn kennara og tengiliða við skóla og stofnanir. Í einhverjum tilvikum tekur fyrirtækið við persónuupplýsingum nemenda eða umbjóðenda þegar unnin eru sérstök verkefni fyrir viðskiptavini. Dæmi um það eru samningar um náms og starfsráðgjöf, læsis og stærðfræðigreiningar – þá eru gerðar sérstakar vinnsluskrár um meðferð og hýsingu persónuuplýsinga.
  4. Hvaða persónuupplýsingum safnar fyrirtækið?
    Fyrirtækið safnar upplýsingum skv. 4. grein hér að ofan.
  5. Á hvaða grundvelli safnar fyrirtækið persónuupplýsingum?
    Fyrirtækið safnar persónuupplýsingum fyrst og fremst til að geta uppfyllt skyldur sínar við viðskiptavini sína. Þá safnar fyrirtkið einnig persónuupplýsingum vegna ráðgningarsambands sem fyrirtækið er í, t.d. við starfsfólk eða verktaka, eða til að koma slíku samningssambandi á. Þá byggir fyrirtækið suma vinnslu jafnframt á samþykki hinna skráðu, s.s. vegna myndbirtingar eða endurbirtinga á efni sem verður til í samvinnu fyrirtækisins við viðskiptavini.
  6. Varðveislutími
    Fyrirtækið varðveitir persónuupplýsingar eingöngu í þann tíma sem vinnsla persónuuuplýsinga varir og vinnslusamningar gera ráð fyrir. Upplýsingar um ráðningasamband og verktöku eru geymd í samræmi við reglur um varðveislu bókhalds.
  7. Hvernig er öryggi persónuupplýsinga tryggt?
    Fyrirtækið býr yfir persónuupplýsingum er tengjast starfsemi þess og verkefna, sem þeim ber að sinna, og kunna að innihalda viðkvæmar persónugreinanlegar upplýsingar sem ber að vernda sérstaklega. Hagsmunir skráðra aðila, sem tengjast málum er upplýsingarnar varða, gætu skaðast ef upplýsingarnar komast í hendur annarra en lögmætra viðtakenda, eru rangar eða eru ekki aðgengilegar þegar þeirra er þörf. Með þetta að leiðarljósi leitast fyrirtækið við að:
    • Grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar, með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.
    • Tryggja að kerfi og gögn sem kunna að eyðileggjast sé hægt að endurreisa með hjálp viðbragðsáætlunar og afrita sem geymd eru á öruggum stað. Stuðla að virkri öryggisvitund starfsmanna og kjörinna fulltrúa með viðeigandi fræðslu og þjálfun varðandi öryggi við vinnslu persónuupplýsinga.
    • Tryggja að eingöngu aðilar, sem til þess hafa heimild, hafi aðgang að upplýsingum hjá fyrirtækinu og búnaði tengdum þeim.
  8. Miðlun upplýsinga til þriðja aðila
    Fyrirtækið kann að miðla persónuupplýsingum til þriðja aðila af mismunandi ástæðum. Þannig geta þriðju aðilar sem veita fyrirtækinu upplýsingatækniþjónustu haft aðgang að persónuupplýsingum, en fyrirtækinu kann einnig að vera skylt samkvæmt lögum að afhenda þriðja aðila persónuupplýsingar. Fyrirtækið semur eingöngu við utanaðkomandi aðila sem tryggja öryggi persónuupplýsinga sem þeir vinna með fyrir hönd fyrirtækisins. Þá mun fyrirtækið ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar.
  9. Réttindi einstaklinga samkvæmt persónuverndarlögum
    Einstaklingar hafa rétt til að vita hvaða persónuupplýsingar fyrirtækið vinnur um þá og geta eftir atvikum óskað eftir afriti af upplýsingunum. Þá geta einstaklingar fengið rangar persónuupplýsingar um sig leiðréttar og í einstaka tilvikum persónuupplýsingum um sig eytt. Jafnframt geta einstaklingar í ákveðnum tilvikum mótmælt vinnslu persónuupplýsinga og óskað eftir því að vinnsla þeirra verði takmörkuð. Óski einstaklingur eftir að flytja upplýsingar um sig til annars aðila, t.d. til annars fyrirtækis, getur viðkomandi einnig átt rétt á að fá persónuupplýsingar sínar afhendar til sín á tölvutæku formi eða að þær verði fluttar beint til
    viðkomandi þriðja aðila. Í þeim tilvikum er vinnsla fyrirtækisins byggir á samþykki getur sá sem samþykkið veitti alltaf afturkallað það. Fyrirtækið virðir framangreind réttindi einstaklinga samkvæmt persónuverndarlögum. Leitast er við að bregðast við öllum beiðnum innan mánaðar frá viðtöku þeirra. Sé um að ræða umfangsmikla eða flókna beiðni mun fyrirtækið upplýsa um slíkar tafir og leitast við að svara í síðasta lagi innan þriggja mánaða frá viðtöku á beiðni.
  10. Ábyrgð á grundvelli persónuverndarlaga
    Ábyrgð á þeirri vinnslu persónuupplýsinga sem fer fram innan fyrirtækisins er mismunandi eftir því hvort fyrirtækið sjálft, einstök svið þess eða fyrirtæki á vegum þess ákveður tilgang og aðferð við vinnsluna.
  11. Fyrirspurnir og kvörtun til Persónuverndar
    Hafi einstaklingar spurningar um persónuverndarstefnu þessa eða hvernig fyrirtækið varðveitir eða vinnur persónuupplýsingar að öðru leyti, geta þeir ávallt haft samband við persónuverndarfulltrúa fyrirtækisins sem mun leitast við að svara fyrirspurnum og leiðbeina einstaklingum og fyrirtækjum um réttindi þeirra samkvæmt persónuverndarstefnu þessari og persónuverndarlögum. Ef einstaklingur er ósáttur við vinnslu fyrirtækisins á persónuupplýsingum hans getur hann
    jafnframt sent erindi til Persónuverndar (www.personuvernd.is).
  12. Samskiptaupplýsingar
    Persónuverndarfulltrúi fyrirtækisins hefur umsjón með eftirfylgni við persónuverndarstefnu þessari og framfylgni við persónuverndarlög, .
  13. Endurskoðun
    Fyrirtækið getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum og reglugerðum eða vegna breytinga á því hvernig fyrirtækið vinnur með persónuupplýsingar. Verði gerðar breytingar á stefnu þessari verður slíkt kynnt á heimasíðu fyrirtækisins www.ais.is. Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt.