Verklagsreglur vegna vinnslu persónuupplýsinga
1. Persónuverndarstefna stéttarfélagins
Öll meðferð persónuupplýsinga hjá Verkalýðsfélagi Grindavíkur kt 540775-0529 skal uppfylla ýtrustu kröfur persónuverndarlöggjafar hverju sinni. Í því sambandi er lykilatriði að starfsfólk stéttarfélagsins fái fræðslu um persónuvernd og meðferð persónuupplýsinga, bæði grundvallaratriði réttarsviðsins og hvaða sérreglur kunna að eiga við um starfssvið starfsmannsins. Þá skulu upplýsingar um vinnslu persónuupplýsinga á vegum stéttarfélagsins vera aðgengilegar félagsmönnum stéttarfélagsins.
2. Almennar reglur
2.1. Sanngirni og gagnsæi
Öll vinnsla hjá stéttarfélaginu skal fara fram á sanngjarnan og gagnsæjan hátt. Skal stéttarfélagið leggja sig fram við það að byggja vinnslu persónuupplýsinga í sem flestum tilvikum á samþykki hins skráða.
2.2. Lögmætir hagsmunir og meðalhóf
Stéttarfélagið hefur margbreytta lögmæta hagsmuni af vinnslu persónuupplýsinga um félagsmenn. Í grundvallaratriðum má þó segja að þeir hagsmunir snúist að standa vörð um hagsmuni félagsmanna eða veita félagsmönnum tiltekna þjónustu skv. reglum félagsins. Við vinnslu allra persónuupplýsinga, skulu lögmætir hagsmunir vinnslu auk meðalhófs ávallt höfð í fyrirrúmi.
2.3. Söfnun persónuupplýsinga
Við söfnun persónuupplýsinga skal ávallt gæta að meginreglum persónuverndarlaga. Sér í lagi skal gæta meðalhófs við söfnun upplýsinga og að áreiðanleika þeirra. Komi í ljós að tilteknar upplýsingar séu á engan hátt nauðsynlegar vegna tiltekins máls, skal þeim eytt við fyrsta tækifæri.
2.4. Upplýsingar sem veittar eru skráðum einstaklingum og almenningi
Allar upplýsingar um skráðan einstakling,
sem stéttarfélagið hefur að geyma, skal veita hinum skráða einstaklingi eins
fljótt og unnt er. Skal hinn skráði auðkenna sig með tryggum hætti áður en
upplýsingarnar eru veittar.
Ekki skal veita almenningi upplýsingar um einstaka félagsmenn eða einstök mál
þeirra, sem eru í vinnslu hjá stéttarfélaginu. Víkja má frá þessari meginreglu
standi til þess veigamikil rök og skýr vinnsluheimild skv. persónuverndarlögum.
Skal í þeim tilvikum taka tillit til eðli upplýsinganna og þýðingu veitingu
þeirra fyrir hinn skráða einstakling. Þar að auki skal leita
heimildar/ráðgjafar persónuverndarfulltrúa.
2.5. Réttindi hins skráða
Skv. persónuverndarlögum hefur hinn skráði tiltekin réttindi hjá stéttarfélaginu sem ábyrgðar- og vinnsluaðila og eru þau upplistuð í þessu ákvæði. Vilji skráður einstaklingur neyta réttar síns hjá stéttarfélaginu skal leggja fram beiðni þess efnis með skriflegum hætti við skrifstofu félagsins.
2.5.1. Upplýsinga- og aðgangsréttur
Hinn skráði á rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig, sbr. 2. mgr. 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga
2.5.2. Réttur til leiðréttingar, eyðingar og takmörkunar vinnslu
Hinn skráði á rétt á að fá rangar, villandi eða ófullkomnar persónuupplýsingar um sig leiðréttar, þeim eytt og til að takmarka vinnslu, sbr. 1. mgr. 20. gr. laga um persónuvernd og vinnslu persónuupplýsinga Stéttarfélagið skal tilkynna sérhverjum viðtakanda, sem fengið hefur persónuupplýsingar í hendur, um hvers kyns leiðréttingu eða eyðingu persónuupplýsinga eða takmörkun á vinnslu sem á sér stað. Þá skal stéttarfélagið tilkynna hinum skráða um þessa viðtakendur fari hann fram á það.
2.5.3. Flutningsréttur
Hinn skráði á rétt á að fá persónuupplýsingar um sig, sem hann hefur sjálfur látið ábyrgðaraðila í té, á skipulegu, algengu, tölvulesanlegu sniði og jafnframt á að senda þessar upplýsingar til annars ábyrgðaraðila, sbr. 2. mgr. 20. gr. laga um persónuvernd og vinnslu persónuupplýsinga
2.5.4. Andmælaréttur
Hinum skráða er heimilt að andmæla vinnslu persónuupplýsinga byggist hún á 5. eða 6. tölul. 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga, þ.m.t. er vinnsla sem byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna sem stéttarfélagið gætir og vega þyngra heldur en hagsmunir eða grundvallarréttindi og frelsi hins skráða.
2.6. Notkun gerviauðkenna og annarra tæknilegra og skipulagslegra öryggisráðstafana
Sé auðkenning á persónu ekki nauðsynleg á grundvelli hlutlægra ástæðna vegna tilgangs vinnslu persónuupplýsinga skal ávallt leitast eftir því að nota gerviauðkenni eða grípa til annarra tæknilegra og skipulagslegra öryggisráðstafana til þess að tryggja öryggi persónuupplýsinga og draga úr áhættu hins skráða.
2.7. Ábyrgð ábyrgðaraðila og innbyggð og sjálfgefin persónuvernd
Stéttarfélagið skal ávallt sjá til þess að
vinnsla persónuupplýsinga hjá því sé í samræmi við persónuverndarlöggjöf hverju
sinni. Stéttarfélagið skal gera viðeigandi tæknilegar og skipulagslegar
ráðstafanir til að tryggja og sýna fram á að vinnslan fari fram í samræmi
við persónuverndarlöggjöf, með hliðsjón af eðli, umfangi, samhengi og tilgangi
vinnslunnar og áhættu fyrir réttindi og frelsi hinna skráðu í samræmi við 23.
gr. laga um persónuvernd og vinnslu persónuupplýsinga
Með hliðsjón af þeim þáttum og nýjustu tækni og kostnaði skal stéttarfélagið
gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, sem hannaðar eru til
að framfylgja meginreglum um persónuvernd með skilvirkum hætti og fella
nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur
persónuverndarlöggjafar, þegar ákveðnar eru aðferðir við vinnslu og þegar
vinnsla fer fram. Skal að öðru leyti mið tekið af 1. mgr. 24. gr. persónuverndarlaga
laga um persónuvernd og vinnslu persónuupplýsinga.
Þá skal stéttarfélagið gera viðeigandi tæknilegar og skipulagslegar
ráðstafanir til að tryggja að sjálfgefið sé að einungis þær
persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslu.
Gildir það um hversu miklum persónuupplýsingum er safnað, að hvaða marki
unnið er með þær, hversu lengi þær eru varðveittar og aðgang að þeim. Einkum
skal tryggja með slíkum ráðstöfunum að það sé sjálfgefið að
persónuupplýsingar verði ekki gerðar aðgengilegar ótakmörkuðum fjölda
fólks án íhlutunar viðkomandi einstaklings. Að öðru leyti skal tekið mið af
2. mgr. 24. gr. laga um persónuvernd og vinnslu persónuupplýsinga
Loks skal stéttarfélagið ganga úr skugga um að allir samningar við vinnsluaðila
tryggi að vinnsla sem fer fram af þeirra hálfu fyrir hönd stéttarfélagsins
uppfylli allar kröfur persónuverndarlöggjafar hverju sinni.
2.8. Öryggisbrot
Eigi sér stað öryggisbrot skal það tilkynnt Persónuvernd við fyrsta tækifæri og ekki seinna en 72 klst. frá því að stéttarfélagið verður við það vart. Innan sömu tímamarka skal félagsmönnum og öðrum skráðum einstaklingum tilkynnt um öryggisbrotið á tryggan og áreiðanlegan hátt.
2.9. Eyðing
Meginreglan er sú að persónuupplýsingum skuli í síðasta lagi eytt við lok almanaksárs þess, sem er sjö árum frá öflun þeirra upplýsinga. Iðgjaldasaga félagsmanns, þ.m.t. upplýsingar um greiðslur úr sjúkrasjóðum félagins, greiðslur úr sjóðum félagsins auk upplýsinga um aðstoð félagsins í kjaramálum eru aftur á móti undantekningar. Öllum upplýsingum sem aflað er í sambandi við kjaramál, t.d. launaseðlum og tímaskriftum, er þó eytt í samræmi við meginregluna.
3. Samráð við Persónuvernd
Umfram það sem fram kemur í persónuverndarlögum, skal persónuverndarfulltrúi f.h. stéttarfélagsins skal ávallt leita eftir samráði við Persónuvernd, eða annað viðeigandi eftirlitsvald á svið persónuverndar, komi upp álitaefni á sviði persónuverndar hjá stéttarfélaginu sem ekki er unnt að leysa innan þess.