Persónuverndarstefna, verklagsreglur og leiðbeiningar til félagsmanna.

Persónuverndarstefna og lýsing á vinnslu persónuupplýsinga Stéttarfélags Samstöðu

1. Ábyrgðaraðili og persónuverndarfulltrúi
Ábyrgðaraðili að vinnslustarfsemi er Stéttarfélagið Samstaða, kt 631097-2279. Persónuverndarfulltrúi stéttarfélagsins er: Halldór Oddson, frá ASÍ .
Sími: 5355618, Gms: 8994445, E-mail: halldoro@asi.is  

2. Tilgangur vinnslu persónuupplýsinga
Tilgangur vinnslu stéttarfélagsins er margbreyttur en í grundvallaratriðum er hann þríþættur: 

2.1. Veita tiltekna þjónustu skv. lögum og reglum félagsins
Í fyrsta lagi er tilgangur vinnslu stéttarfélagsins að veita félagsmönnum stéttarfélagsins tiltekna þjónustu. Sú þjónusta er m.a. skilgreind í lögum félagsins. Hluti af þessari þjónustu á sér stað á vegum sjúkrasjóðs, orlofssjóðs eða fræðslusjóðs félagsins. Er þá félagsmaðurinn beðinn um tilteknar upplýsingar til þess að unnt sé að afgreiða mál hans, t.a.m. kvittanir vegna styrks til náms, upplýsingar um greiðslu veikindadaga hjá atvinnurekanda o.fl. Þá eru upplýsingar úr félagsskrá um greiðslu iðgjalda til félagsins nýttar til þess að staðreyna réttinn og eftir atvikum fjárhæð réttinda í samræmi við reglur sjóða félagsins. Þar að auki er þjónusta veitt vegna kjaramála sem koma á borð félagsins. Slík kjaramál styðjast að meginstefnu við upplýsingar sem félagsmaðurinn er beðinn um að afhenda kjaramálafulltrúa svo unnt sé að fara í mál fyrir hann, t.d. launaseðla, bankayfirlit, staðgreiðsluyfirlit Ríkisskattstjóra, tímaskrift o.fl. Í þessum tilfellum byggist vinnsla persónuupplýsinga fyrst og fremst á samþykki félagsmannsins, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga um persónuvernd og vinnslu persónuupplýsinga og þar að auki eftir atvikum á 2. og 4. tölul. 1. mgr. 11. gr. sömu laga ef upplýsingarnar teljast viðkvæmar í skilningi laganna.

2.2. Mótun kröfugerðar fyrir hönd félagsmanna
Í öðru lagi er tilgangur vinnslu stéttarfélagsins mótun kröfugerðar f.h. félagsmanna. Í hana eru  notaðar launaupplýsingar félagsmanna, sem fengnar eru í gegnum upphæð iðgjalda til félagsins. Byggist sú vinnsla persónuupplýsinga á 6. tölul. 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga enda lykilupplýsingar við mótun kröfugerðar félagsins f.h. félagsmanna og í samræmi við tilgang félagsins.  

2.3. Fullnusta lagaskyldu
Í þriðja lagi felst tilgangur vinnslu stéttarfélagsins í fullnustu lagaskyldu. Sem dæmi þá er kveðið um í  b. liði 1. mgr. 7. gr. laga nr. 97/2002, um atvinnuréttindi útlendinga, skal umsögn hlutaðeigandi stéttarfélags eða landssambands launafólks liggja fyrir vegna afgreiðslu tímabundins atvinnuleyfis. Í þeim tilvikum sem stéttarfélagið er beðið um að veita umsögn er tekin afstaða til atvinnuleyfis tekin á grundvelli upplýsinga sem félaginu eru veittar og í ákveðnum tilvikum upplýsinga sem félagið aflar frá opinberum aðilum. Þá byggist vinnslan á 3. tölul. 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga og eftir atvikum 2. og 4. tölul. 1. mgr. 11. gr. laga um persónuvernd og vinnslu persónuupplýsinga ef upplýsingarnar teljast viðkvæmar í skilningi laganna. 

3. Hverjir eru skráðir einstaklingar hjá stéttarfélaginu? Hvaða upplýsingar hefur félagið aðgang að?
Skráðir einstaklingar hjá stéttarfélaginu eru félagsmenn þess auk þeirra einstaklinga, sem sótt hafa um atvinnuleyfi og félagið beðið um umsögn um þann einstakling. Til viðbótar hefur félagið aðgang að upplýsingum úr Þjóðskrá um einstaklinga og fyrirtæki.

3.1. Iðgjaldasaga
Stéttarfélagið hefur í fyrsta lagi aðgang að iðgjaldasögu félagsmanns og þar með upplýsingar um launakjör hans hjá atvinnurekanda, eða hvort annar, t.a.m. Fæðingarorlofssjóður eða Greiðslustofa atvinnuleysisbóta, hafi greitt af félagsmanni til stéttarfélagsins.

3.2. Aðstoð vegna kjaramáls
Í öðru lagi eru til staðar upplýsingar um hvort félagsmaður hafi leitað fulltingis félagsins vegna kjaramáls, þ.m.t. vegna vangoldinna launa og uppsagna. Í þeim málum er iðulega beðið um launaseðla, bankayfirlit, staðgreiðsluyfirlit Ríkisskattstjóra, tímaskrift og fleiri upplýsingar eftir atvikum. Félagsmaðurinn sækir viðkomandi upplýsingar sjálfur og afhendir stéttarfélaginu.

3.3. Umsókn um styrk í sjóði félagsins
Þá eru í þriðja lagi til staðar upplýsingar um hvort félagsmaður hafi sótt um styrk eða styrki í sjóði félagsins, hvaða styrk er um að ræða og upphæð styrksins. Þar að auki, hafi félagsmaður keypt afsláttarmiða eða nýtt annarra hlunnindi hjá félaginu, er það einnig skráð. Jafnframt er skráð ef félagsmaður er settur á bannlista vegna slæmrar umgengni um orlofshús stéttarfélagsins.

3.4. Umsókn um sjúkradagpeninga og meðfylgjandi gögn
Í fjórða lagi eru upplýsingar um hvort að félagsmaður hafi sótt um sjúkradagpeninga í sjúkrasjóð félagsins vegna veikinda eða annarra aðstæðna, upphæð styrksins auk allra gagna sem slíkri umsókn fylgja, t.d. læknisvottorð, sjúkradagpeningavottorð og vottorð atvinnurekanda um veikindadaga starfsmanns. 

3.5. Upplýsingar úr Þjóðskrá
Í fimmta lagi hefur stéttarfélagið upplýsingar úr Þjóðskrá um félagsmenn. Þar með taldar eru lögheimili, hjúskaparstaða og hver maki félagsmannsins er ef á við, þjóðerni og kennitala.

4. Eyðing persónuupplýsinga
Meginreglan er sú að persónuupplýsingum sé í síðasta lagi eytt við lok almanaksárs þess, sem er sjö ára frá öflun þeirra upplýsinga. Iðgjaldasaga félagsmanns, þ.m.t. upplýsingar um greiðslur úr sjúkrasjóðum félagins, auk upplýsinga um aðstoð félagsins í kjaramálum eru aftur á móti undantekningar. Öllum upplýsingum sem aflað er í sambandi við kjaramál, t.d. launaseðlum og tímaskriftum, er þó eytt í samræmi við meginregluna. 

5. Vinnsluaðilar stéttarfélagsins
Nánari skilgreining á sambandi stéttarfélagsins við vinnsluaðila, hverjir vinnsluaðilarnir eru, hvaða vinnsla fer fram og með hvaða upplýsingar. 
Icelink ehf, kt. 450312-0290, er hugbúnaðarfyrirtæki og hýsing, sem rekur félagakerfi stéttarfélagsins, Bóti.
Icelink ehf, kt. 450312-0290 sér um hýsingu heimasíðu félagsins.

6. Tæknilegar og skipulagslegar öryggisráðstafanir 
Félagakerfi stéttarfélagins er aðgangsstýrt til þess að tryggja ýtrustu persónuvernd skráðra einstaklinga. Einungis þeir starfsmenn, sem þurfa nauðsynlega aðgang að tilteknum upplýsingum um skráðan einstakling vegna vinnu starfsmannsins f.h. stéttarfélagsins, hafa aðgang að viðkomandi upplýsingum. 

Verklagsreglur Stéttarfélagsins Samstöðu, vegna vinnslu persónuupplýsinga

1. Persónuverndarstefna stéttarfélagins
Öll meðferð persónuupplýsinga hjá Stéttarfélagsins Samstöðu, kt 631097-2279, skal uppfylla ýtrustu kröfur persónuverndarlöggjafar hverju sinni. Í því sambandi er lykilatriði að starfsfólk stéttarfélagsins fái fræðslu um persónuvernd og meðferð persónuupplýsinga, bæði grundvallaratriði réttarsviðsins og hvaða sérreglur kunna að eiga við um starfssvið starfsmannsins. Þá skulu upplýsingar um vinnslu persónuupplýsinga á vegum stéttarfélagsins vera aðgengilegar félagsmönnum stéttarfélagsins.

2. Almennar reglur

2.1. Sanngirni og gagnsæi
Öll vinnsla hjá stéttarfélaginu skal fara fram á sanngjarnan og gagnsæjan hátt. Skal stéttarfélagið leggja sig fram við það að byggja vinnslu persónuupplýsinga í sem flestum tilvikum á samþykki hins skráða.

2.2. Lögmætir hagsmunir og meðalhóf
Stéttarfélagið hefur margbreytta lögmæta hagsmuni af vinnslu persónuupplýsinga um félagsmenn. Í grundvallaratriðum má þó segja að þeir hagsmunir snúist að standa vörð um hagsmuni félagsmanna eða veita félagsmönnum tiltekna þjónustu skv. reglum félagsins. Við vinnslu allra persónuupplýsinga, skulu lögmætir hagsmunir vinnslu auk meðalhófs ávallt höfð í fyrirrúmi. 

2.3. Söfnun persónuupplýsinga
Við söfnun persónuupplýsinga skal ávallt gæta að meginreglum persónuverndarlaga. Sér í lagi skal gæta meðalhófs við söfnun upplýsinga og að áreiðanleika þeirra. Komi í ljós að tilteknar upplýsingar séu á engan hátt nauðsynlegar vegna tiltekins máls, skal þeim eytt við fyrsta tækifæri. 

2.4. Upplýsingar sem veittar eru skráðum einstaklingum og almenningi
Allar upplýsingar um skráðan einstakling, sem stéttarfélagið hefur að geyma, skal veita hinum skráða einstaklingi eins fljótt og unnt er. Skal hinn skráði auðkenna sig með tryggum hætti áður en upplýsingarnar eru veittar.
Ekki skal veita almenningi upplýsingar um einstaka félagsmenn eða einstök mál þeirra, sem eru í vinnslu hjá stéttarfélaginu. Víkja má frá þessari meginreglu standi til þess veigamikil rök og skýr vinnsluheimild skv. persónuverndarlögum. Skal í þeim tilvikum taka tillit til eðli upplýsinganna og þýðingu veitingu þeirra fyrir hinn skráða einstakling. Þar að auki skal leita heimildar/ráðgjafar persónuverndarfulltrúa.
 
2.5. Réttindi hins skráða
Skv. persónuverndarlögum hefur hinn skráði tiltekin réttindi hjá stéttarfélaginu sem ábyrgðar- og vinnsluaðila og eru þau upplistuð í þessu ákvæði. Vilji skráður einstaklingur neyta réttar síns hjá stéttarfélaginu skal leggja fram beiðni þess efnis með skriflegum hætti við skrifstofu félagsins.

2.5.1. Upplýsinga- og aðgangsréttur
Hinn skráði á rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig, sbr. 2. mgr. 17. gr. persónuverndarlaga. 

2.5.2. Réttur til leiðréttingar, eyðingar og takmörkunar vinnslu
Hinn skráði á rétt á að fá rangar, villandi eða ófullkomnar persónuupplýsingar um sig leiðréttar, þeim eytt og til að takmarka vinnslu, sbr. 1. mgr. 20. gr. persónuverndarlaga. 
Stéttarfélagið skal tilkynna sérhverjum viðtakanda, sem fengið hefur persónuupplýsingar í hendur, um hvers kyns leiðréttingu eða eyðingu persónuupplýsinga eða takmörkun á vinnslu sem á sér stað. Þá skal stéttarfélagið tilkynna hinum skráða um þessa viðtakendur fari hann 
fram á það.

2.5.3. Flutningsréttur
Hinns skráði á rétt á að fá persónuupplýsingar um sig, sem hann hefur sjálfur látið ábyrgðaraðila í té, á skipulegu, algengu, tölvulesanlegu sniði og jafnframt á að senda þessar upplýsingar til annars ábyrgðaraðila, sbr. 2. mgr. 20. gr. persónuverndarlaga. 

2.5.4. Andmælaréttur
Hinum skráða er heimilt að andmæla vinnslu persónuupplýsinga byggist hún á 5. eða 6. tölul. 9. gr. persónuverndarlaga. Þ.m.t. er vinnsla sem byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna sem stéttarfélagið gætir og vega þyngra heldur en hagsmunir eða grundvallarréttindi og frelsi hins skráða. 

2.6. Notkun gerviauðkenna og annarra tæknilegra og skipulegslegra öryggisráðstafana
Sé auðkenning á persónu ekki nauðsynleg á grundvelli hlutlægra ástæðna vegna tilgangs vinnslu persónuupplýsinga skal ávallt leitast eftir því að nota gerviauðkenni eða grípa til annarra tæknilegra og skipulegslegra öryggisráðstafana til þess að tryggja öryggi persónuupplýsinga og draga úr áhættu hins skráða.

2.7. Ábyrgð ábyrgðaraðila og innbyggð og sjálfgefin persónuvernd
Stéttarfélagið skal ávallt sjá til þess að vinnsla persónuupplýsinga hjá því sé í samræmi við persónuverndarlöggjöf hverju sinni. Stéttarfélagið skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja og sýna fram á að vinnslan fari fram í samræmi við persónuverndarlöggjöf, með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi hinna skráðu í samræmi við 23. gr. persónuverndarlaga.
Með hliðsjón af þeim þáttum og nýjustu tækni og kostnaði skal stéttarfélagið gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, sem hannaðar eru til að framfylgja meginreglum um persónuvernd með skilvirkum hætti og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur persónuverndarlöggjafar, þegar ákveðnar eru aðferðir við vinnslu og þegar vinnsla fer fram. Skal að öðru leyti mið tekið af 1. mgr. 24. gr. persónuverndarlaga. 
Þá skal stéttarfélagið gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslu. Gildir það um hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og aðgang að þeim. Einkum skal tryggja með slíkum ráðstöfunum að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar ótakmörkuðum fjölda fólks án íhlutunar viðkomandi einstaklings. Að öðru leyti skal tekið mið af 2. mgr. 24. gr. persónuverndarlaga. 
Loks skal stéttarfélagið ganga úr skugga um að allir samningar við vinnsluaðila tryggi að vinnsla sem fer fram af þeirra hálfu fyrir hönd stéttarfélagsins uppfylli allar kröfur persónuverndarlöggjafar hverju sinni. 

2.8. Öryggisbrot
Eigi sér stað öryggisbrot skal það tilkynnt Persónuvernd við fyrsta tækifæri og ekki seinna en 72 klst. frá því að stéttarfélagið verður við það vart. Innan sömu tímamarka skal félagsmönnum og öðrum skráðum einstaklingum tilkynnt um öryggisbrotið á tryggan og áreiðanlegan hátt. 

2.9. Eyðing
Meginreglan er sú að persónuupplýsingum skuli í síðasta lagi eytt við lok almannaksárs þess, sem er sjö árum frá öflun þeirra upplýsinga. Iðgjaldasaga félagsmanns, þ.m.t. upplýsingar um greiðslur úr sjúkrasjóðum félagins, greiðslur úr sjóðum félagsins auk upplýsinga um aðstoð félagsins í kjaramálum eru aftur á móti undantekningar. Öllum upplýsingum sem aflað er í sambandi við kjaramál, t.d. launaseðlum og tímaskriftum, er þó eytt í samræmi við meginregluna. 

3. Samráð við Persónuvernd
Umfram það sem fram kemur í persónuverndarlögum, skal persónuverndarfulltrúi f.h. stéttarfélagsins skal ávallt leita eftir samráði við Persónuvernd, eða annað viðeigandi eftirlitsvald á svið persónuverndar, komi upp álitaefni á sviði persónuverndar hjá stéttarfélaginu sem ekki er unnt að leysa innan þess. 

Blönduós, 12.júlí 2018

Frekari upplýsingar:
* Lög um persónuvernd og vinnslu persónuupplýsingar nr. 90/2018
* Reglugerð Evrópuþingsins og ráðsins 2016/679 frá 27.apríl 2016

Nánari leiðbeiningar til félagsmanna 

Hvenær má ég óska eftir því að upplýsingar um mig  séu leiðréttar, þeim eytt eða vinnsla þeirra takmörkuð?
Undir vissum kringumstæðum átt þú, sem félagsmaður hjá stéttarfélagi, rétt á að fá tilteknum upplýsingum um þig leiðréttar, fá þeim eytt eða takmarka vinnlu þeirra. Byggjast þessi réttingi á 1. mgr. 20. gr. Persónuverndarlaga og 16. - 18. gr. reglugerð 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.

1. Leiðrétting
Hinn skráði á rétt á að fá óáreiðanlegar persónuupplýsingar er varða hann sjálfan leiðréttar af stéttarfélagi án ótilhlýðilegrar tafar. Að teknu tilliti til tilgangsins með vinnslunni skal hinn skráði eiga rétt á að láta fullgera ófullkomnar persónuupplýsingar.

2. Eyðing – Rétturinn til að gleymast
Hinn skráði á rétt á að stéttarfélagið eyði persónuupplýsingum um sig án ótilhlýðilegrar tafar ef ein eftirtalinna ástæðna á við:

a. Persónuupplýsingarnar eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra eða annarri vinnslu þeirra.

b. Hinn skráði dregur til baka samþykkið sem vinnslan byggist á og enginn annar lagagrundvöllur sbr. 9. gr. Persónuverndarlaga er til staðar fyrir vinnslunni.

c. Hinn skráði andmælir vinnslunni í samræmi við persónuverndarlög og ekki eru fyrir hendi lögmætar ástæður fyrir vinnslunni sem ganga framar.

d. Eyða þarf persónuupplýsingunum til að uppfylla lagaskyldu sem hvílir á stéttarfélaginu skv. lögum.

3. Takmörkun á vinnslu
Við eftirfarandi kringumstæður getur hinn skráði krafist þess að vinnsla persónuupplýsinga sé takmörkuð:

a. Þegar hinn skráði vefengir að persónuupplýsingar séu réttar, skal takmarka vinnslu þeirra þangað til ábyrgðaraðilinn hefur fengið tækifæri til að staðfesta að þær séu réttar.

b. Þegar vinnsla er ólögmæt og hinn skráði andmælir því að persónuupplýsingunum sé eytt og fer fram á takmarkaða notkun þeirra í staðinn.

c. Þegar stéttarfélagið þarf ekki lengur á persónuupplýsingunum að halda fyrir vinnsluna en hinn skráði þarfnast þeirra til þess að stofna, hafa uppi eða verja réttarkröfur,

d. Þegar hinn skráði andmælir vinnslu skal takmarka hana á meðan beðið er sannprófunar á því hvort hagsmunir stéttarfélagsins gangi framar lögmætum hagsmunum hins skráða.

Hvað er andmælaréttur og hvenær má ég andmæla vinnslu persónuupplýsinga um mig?

Andmælaréttur er réttur til þess að biðja ábyrgðaraðila, þ.e. stéttarfélagið, um að hætta vinnslu tiltekinna persónuupplýsinga. Skv. lögum á einstaklingur rétt á að biðja stéttarfélagið um að hætta vinnslu persónuupplýsinga um sig ef vinnslan byggist á 5. eða 6. tölul. 9. gr. Persónuverndarlaga
 
5. tölul 9. gr. Persónuverndarlaga heimilar vinnslu sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með. 
Þá kemur fram í 6. tölul. 9. gr. Persónuverndarlaga að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili, eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn.
Byggist vinnsla persónuupplýsinga þannig á öðrum grundvelli, t.d. á grundvelli þess að stéttarfélagið þurfi að vinna tilteknar persónuupplýsingar á vegna lagaskyldu, er því ekki skylt að taka tillit til andmæla félagsmanns.