Persónuverndarstefna Garðabæjar

 Samþykkt á fundi bæjarráðs Garðabæjar 17. júlí 2018 og öðlaðist þegar gildi.

1. Tilgangur og gildissvið

Garðabær, kt: 570169-6109, Garðatorgi 7, 210 Garðabæ (einnig vísað til sem „sveitarfélagsins“) hefur vernd persónuupplýsinga að leiðarljósi í starfsemi sinni og einsetur sér í því skyni að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem sveitarfélagið vinnur með. Garðabær hefur á þeim grundvelli sett sér persónuverndarstefnu þessa sem lýsir vinnslu sveitarfélagsins á persónuupplýsingum og leggur áherslu á mikilvægi þess að vinnsla persónuupplýsinga sé lögmæt, sanngjörn og gagnsæ. Sveitarfélagið leitast við að uppfylla þá persónuverndarlöggjöf sem er í gildi hverju sinni og er stefna þessi byggð á gildandi persónuverndarlögum, þ.e. lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir nefnd persónuverndarlög). Þegar vísað er til „sveitarfélagsins“  í stefnu þessari er einnig átt við undirstofnanir og nefndir á vegum Garðabæjar.

2. Hvað eru persónupplýsingar?

Með persónuupplýsingum er átt við hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Einstaklingur telst persónugreinanlegur ef hægt er að persónugreina hann á beinan eða óbeinan hátt t.d. með tilvísun í nafn, kennitölu, netauðkenni eða einn eða fleiri þætti sem einkenna einstaklinginn. Séu gögn ópersónugreinanleg teljast þau ekki til persónuupplýsinga. Sveitarfélagið vinnur í tilteknum tilvikum með viðkvæmar persónuupplýsingar, t.d. við veitingu félagsþjónustu, í barnaverndarstarfi, skólastarfi eða vegna starfsmannamála. Með viðkvæmum persónuupplýsingum er átt við upplýsingar um heilsufar, aðild að stéttarfélagi, kynþátt, kynhneigð, trúarbrögð, o.fl. og ber við vinnslu þess háttar upplýsinga að gæta fyllstu varkárni.

3. Vinnsla persónuupplýsinga 

Í vinnslu persónuupplýsinga getur m.a. falist söfnun, skráning, varðveisla, miðlun eða eyðing á upplýsingum. Sveitarfélagið vinnur persónuupplýsingar sem talist geta nægilegar, viðeigandi og nauðsynlegar miðað við tilgang vinnslunnar hverju sinni.Til þess að vinnsla sveitarfélagsins á persónuupplýsingum teljist lögmæt þarf að minnsta kosti eitt eftirfarandi atriða að eiga við, þ.e. að hinn skráði einstaklingur hafi gefið sveitarfélaginu samþykki fyrir vinnslu persónuupplýsinga, vinnslan sé nauðsynleg vegna samningssambands sveitarfélagsins við tiltekinn aðila, til að vernda brýna hagsmuni einstaklinga, vegna lögmætra hagsmuna sveitarfélagsins eða vinnsla persónuupplýsinga sé nauðsynleg vegna þeirra lögbundnu skyldna sem hvíla á sveitarfélögum við starfsemi þeirra og rekstur.Sveitarfélagið vinnur m.a. með persónuupplýsingar um íbúa og þjónustuþega sveitarfélagsins, einstaklinga sem eiga í samskiptum við sveitarfélagið, starfsfólk sveitarfélagsins og þá einstaklinga eða tengiliði viðskiptamanna sem sveitarfélagið á í samningssambandi við vegna reksturs og starfsemi sveitarfélagsins. 

4. Miðlun persónuupplýsinga til þriðja aðila

Garðabær miðlar persónuupplýsingum af ýmsum ástæðum til þriðja aðila, svo sem vegna lagaskyldu sem getur hvílt á sveitarfélaginu eða vegna þess að upplýsingatæknifyrirtæki eða aðrir vinnsluaðilar þjónusta sveitarfélagið og öðlast af þeim sökum aðgang að persónuupplýsingum. Einnig getur einstaklingur samþykkt að persónuupplýsingum um hann sé miðlað frá sveitarfélaginu til þriðja aðila. Sveitarfélagið gerir kröfur til þriðja aðila sem hefur aðgang að persónuupplýsingum, um að fyllsta trúnaðar sé gætt. Jafnframt gerir sveitarfélagið þær kröfur að öryggi og vernd upplýsinganna séu tryggð í samræmi við reglur sveitarfélagsins og persónuverndarlög. Að öðrum kosti verður persónuupplýsingum ekki miðlað til þriðja aðila. 

5. Hvernig er öryggi persónuupplýsinga tryggt?

Sveitarfélagið grípur til þeirra ráðstafana sem þörf er á til að vernda persónuupplýsingar, þ.e. tæknilegra og skipulegra ráðstafana sem ætlað er að varna persónuupplýsingum frá glötun, eyðileggingu, tjóni fyrir slysni og óleyfilegri eða ólögmætri vinnslu. Sveitarfélagið fræðir starfsmenn sína um mikilvægi þess að öryggis og trúnaðar sé gætt við vinnslu persónuupplýsinga.

6. Réttindi einstaklinga 

Einstaklingur á rétt á því að vita hvort og þá hvaða persónuupplýsingar sveitarfélagið  vinnur um hann. Eftir atvikum getur einstaklingur óskað eftir því að sveitarfélagið afhendi honum afrit af upplýsingunum, að óáreiðanlegar upplýsingar um hann verði leiðréttar, að sveitarfélagið takmarki vinnslu persónuupplýsinga og einnig getur einstaklingur andmælt vinnslu persónuupplýsinga. Í einstaka tilvikum getur einstaklingur óskað eftir því að persónuupplýsingum um sig verði eytt. Einstaklingur getur jafnframt í ákveðnum tilvikum óskað eftir því að fá persónuuuplýsingar sínar sendar til annars ábyrgðaraðila, t.d. annars sveitarfélags. Í þeim tilvikum er vinnsla sveitarfélags á persónuupplýsingum byggir á samþykki einstaklings, getur einstaklingurinn hvenær sem er dregið til baka samþykki sitt fyrir vinnslu á persónuupplýsingum sínum. Sveitarfélagið reynir eftir fremsta megni að bregðast við beiðni einstaklings innan mánaðar frá viðtöku hennar. Sé beiðni flókin eða fjöldi beiðna er verulegur, mun sveitarfélagið upplýsa einstakling um tafir á  úrlausn beiðnar auk ástæðu fyrir töfum og bregðast við beiðninni innan þriggja mánaða frá viðtöku hennar. Beiðni skal beina til persónuverndarfulltrúa Garðabæjar.Telji einstaklingur vinnslu Garðabæjar á persónuupplýsingum  ekki vera í samræmi við lög eða reglugerðir, getur hann lagt fram kvörtun hjá Persónuvernd (http://www.personuvernd.is) sem annast eftirlit.

7. Varðveisla gagna

Garðabær er afhendingarskyldur aðili samkvæmt lögum nr. 77/2014 um opinber skjalasöfn.  Sveitarfélaginu er óheimilt að ónýta eða farga skjölum sem falla undir gildissvið laganna, nema að fengnu leyfi þjóðskjalavarðar. Sveitarfélaginu er jafnframt skylt að afhenda Þjóðskjalasafni Íslands afhendingarskyld skjöl er þau hafa náð 30 ára aldri. Í lögunum er skjal skilgreint sem hvers konar gögn, jafnt rituð sem í öðru formi, er hafa að geyma upplýsingar og hafa orðið til, borist eða verið viðhaldið við starfsemi á vegum stofnunar eða einstaklings. 

8. Persónuverndarfulltrúi

Eftirlit með fylgni við persónuverndarstefnu þessa og gildandi persónuverndarlög er í umsjón persónuverndarfulltrúa Garðabæjar. Persónuverndarfulltrúi sinnir jafnframt því hlutverki að fræða starfsmenn sveitarfélagsins um skyldur sínar samkvæmt persónuverndarlögum og leysa úr álitaefnum á sviði persónuverndar. Fyrirspurnum um persónuverndarstefnuna, vinnslu eða varðveislu sveitarfélagsins á persónuupplýsingum skal beina til persónuverndarfulltrúa Garðabæjar sem leitast við að svara og leiðbeina eftir því sem við á hverju sinni. Hægt er að hafa samband við persónuverndarfulltrúa sveitarfélagsins í síma: 525-8500 eða senda tölvupóst á netfangið personuvernd@gardabaer.is.

9. Ábyrgðaraðili

   Ábyrgðaraðili er sá sem ákvarðar tilgang og aðferð við vinnslu persónuupplýsinga hverju sinni. Því getur verið mismunandi hver ber ábyrgð á vinnslu persónuupplýsinga í hverju tilviki. Sveitarfélagið sjálft, einstök svið innan sveitarfélagsins eða undirstofnanir sveitarfélagsins geta borið ábyrgð eftir því sem við á.

10. Endurskoðun stefnu

Garðabæ er heimilt að breyta stefnu þessari án fyrirvara, í samræmi við breytingar á gildandi lögum og reglugerðum. Allar breytingar verða birtar á vef sveitarfélagsins og taka gildi frá birtingu þeirra.

11. Gildistaka stefnu

 Persónuverndarstefna Garðabæjar var samþykkt af bæjarráði Garðabæjar þann 17. júlí 2018 og öðlast þegar gildi.

Garðabær, 17. júlí 2018,
Guðjón Erling Friðriksson,
bæjarritari.