Persónuverndarstefna Mosfellsbæjar

í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018

  • 1. gr. Tilgangur og gildissvið

Mosfellsbær einsetur sér að tryggja áreiðanleika, trúnað og öryggi við vinnslu persónuupplýsinga.

 

Persónuverndarstefna Mosfellsbæjar lýsir vinnslu Mosfellsbæjar á persónuupplýsingum.

Mosfellsbær mun auk þess leitast við að veita þeim einstaklingum sem vinnsla persónuupplýsingar nær yfir nánari fræðslu um meðferð persónuupplýsinga.

Með stefnunni  leggur Mosfellsbær áherslu á mikilvægi persónuverndar við alla vinnslu á persónuupplýsingum eins og þær eru skilgreindar í lögum.

Stefnan gildir um sérhverja vinnslu persónuupplýsinga í skilningi l. 90/2018, í allri starfsemi á vegum Mosfellsbæjar, þ.m.t. stofnana og nefnda á vegum Mosfellsbæjar sem og í meðferð starfsmanna, kjörinna fulltrúa og nefndarmanna á persónuupplýsingum.

Persónuupplýsingar í skilningi persónuverndarstefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar. Um nánari skilgreiningu á því hvað teljist persónuupplýsingar og hvað teljist viðkvæmar persónuupplýsingar vísast til 2. og 3. tl. 3. gr. l. 90/2018.

Undir hugtakið vinnsla fellur öll notkun og meðferð persónuupplýsinga, s.s. söfnun, skráning, varðveisla og eyðing, sbr. 4. tl. 3. gr. l. 90/2018.

  • 2. gr. Tengiliður/persónuverndarfulltrúi

Persónuverndarfulltrúi Mosfellsbæjar er tengiliður vegna erinda sem varða persónuupplýsingar og meðferð þeirra, hvort sem um er að ræða fyrirspurnir, ósk um aðgang að slíkum upplýsingum, ósk um breytingar eða eyðingu gagna, sbr. 7. gr. persónuverndarstefnu þessarar.

Hægt er að hafa samband við persónuverndarfulltrúa Mosfellsbæjar með því að senda honum tölvupóst á netfangið personuvernd@mos.is eða hringja í síma 525 6700. Þá er hægt að senda póst merktan persónuverndarfulltrúa til Mosfellsbæjar, Þverholti 2, 270 Mosfellsbæ.

Leitast skal við að bregðast við öllum fyrirspurnum innan mánaðar frá viðtöku þeirra. Sé um að ræða umfangsmikla eða flókna beiðni mun Mosfellsbær upplýsa um að ekki verði brugðist við beiðni innan framangreindra tímamarka. Ætíð skal leitast við að svara innan þriggja mánaða frá viðtöku á beiðni.

Ef einstaklingur hefur athugasemdir við vinnslu Mosfellsbæjar á persónuupplýsingum hans getur hann jafnframt sent erindi til Persónuverndar (www.personuvernd.is).

  • 3. gr. Öryggismál

Mosfellsbær býr á hverjum tíma yfir persónuupplýsingum er tengjast starfsemi bæjarins og kunna að innihalda viðkvæmar persónuupplýsingar sem ber að vernda sérstaklega. Hagsmunir skráðra aðila, sem tengjast málum er upplýsingarnar varða, gætu skaðast ef upplýsingarnar komast í hendur annarra en lögmætra viðtakenda, eru rangar eða eru ekki aðgengilegar þegar þeirra er þörf.

Mosfellsbær einsetur sér að vernda persónuupplýsingar sem bærinn varðveitir og vinnur með gegn ógnunum, innan frá og utan, vísvitandi og óviljandi. Þannig verður leitast við að tryggja sem best gögn og upplýsingakerfi gegn óheimilum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu, tapi eða flutningi.

Mosfellsbær leitast við að tryggja að eingöngu aðilar, sem til þess hafa heimild, hafi aðgang að upplýsingum hjá sveitarfélagi og búnaði tengdum þeim.

Mosfellsbær leitast við að tryggja að upplýsingar sem skráðar eru hjá sveitarfélaginu séu réttar og nákvæmar á hverjum tíma. Rangar, villandi, ófullkomnar eða úreltar upplýsingar séu leiðréttar, þeim eytt eða við þær aukið þegar slíkt uppgötvast og haldið uppi reglubundnu eftirliti í þeim tilgangi.

Mosfellsbær leitast við að tryggja að upplýsingar skráðar hjá því séu aðgengilegar þeim sem hafa heimild og þurfa að nota þær þegar þeirra er þörf. Þá skulu einnig vera til staðar viðbragðsáætlun og afrit sem geymd eru á öruggum stað svo unnt sé að endurreisa með sem bestum hætti gögn og kerfi sem kunna að eyðileggjast.

  • 4. gr. Vinnsla persónuupplýsinga

Mosfellsbær skal eingöngu safna og varðveita upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi vinnslunnar hverju sinni. Þannig er ólíkum persónuupplýsingum safnað í ólíkum tilvikum og fer vinnsla og söfnun á persónuupplýsingum eftir eðli sambandsins sem er á milli Mosfellsbæjar og viðkomandi einstaklings.

Mosfellsbær aflar að mestu persónuupplýsinga beint frá þeim einstaklingi sem upplýsingarnar varða. Við tilteknar aðstæður geta upplýsingarnar þó komið frá þriðja aðila, t.d. Þjóðskrá, heilbrigðisstofnun eða öðrum þriðja aðila. Þegar upplýsinga er aflað frá þriðja aðila mun Mosfellsbær leitast við að upplýsa um slíkt, eftir því sem við á. 

Öll vinnsla Mosfellsbæjar á persónuupplýsingum skal fara fram í skýrum tilgangi og byggjast á lögmætum grundvelli samkvæmt l. 90/2018. Gæta skal að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg hinum upprunalega tilgangi vinnslunnar. Mosfellsbær leggur áherslu á að ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur, til að ná því markmiði sem stefnt er að með vinnslunni. 

Mosfellsbær safnar og vinnur t.a.m. persónuupplýsingar um: a) íbúa, aðra skjólstæðinga og notendur þjónustu Mosfellsbæjar og stofnanna Mosfellsbæjar b) starfsfólk Mosfellsbæjar c) einstaklinga sem eru í samskiptum við Mosfellsbæ d) viðskiptamenn og tengiliði þerra, þ.m.t. birgja, verktaka og ráðgjafa og e) stofnanir og aðra lögaðila sem Mosfellsbær er í samningssambandi við og tengiliði þeirra aðila.

Við ákveðnar kringumstæðr safnar sveitarfélagið viðkvæmum persónuupplýsingum, s.s. um heilsufar, trúarbrögð, aðild að stéttarfélagi og þjóðernislegan uppruna. Sérstök aðgát skal höfð við vinnslu slíkra upplýsinga.

  • 5. gr. Tilgangur vinnslu persónuupplýsinga

Mosfellsbær safnar persónuupplýsingum fyrst og fremst til að geta uppfyllt skyldur sínar á grundvelli laga sem gilda um rekstur og þjónustu sveitarfélaga.

Mosfellsbær safnar einnig persónuupplýsingum vegna samningssambands sem Mosfellsbær er í, t.d. við starfsfólk eða verktaka, eða til að koma slíku samningssambandi á.

Þar sem Mosfellsbær er opinber aðili getur vinnsla jafnframt verið nauðsynleg við beitingu opinbers valds.

Vinnsla getur byggt á samþykki hinna skráðu, t.d. vegna myndbirtinga í skólum, leikskólum, frístundamiðstöðvum eða á öðrum slíkum vettvangi.

Vinnsla getur jafnfram byggt á lögmætum hagsmunum, t.d. vegna eftirlits í öryggis- og eignavörsluskyni.

  • 6. gr. Heimildir til vinnslu og upplýst samþykki

Mosfellsbær skal tryggja að heimild sé fyrir vinnslu persónuupplýsinga. Slík heimild getur verið byggð á lögum, upplýstu samþykki, samningi, vegna brýnna hagsmuna eða annarra lögmætra hagsmuna.

Sé vinnsla persónuupplýsinga byggð á samþykki, skal gæta þess að afla upplýsts samþykkis hjá skráðum aðila, sem er gefið af fúsum og frjálsum vilja. Beiðni um samþykki skal sett fram á auðgreinanlegan hátt og á skiljanlegu og aðgengilegu formi og á skýru og einföldu máli.

Skráður einstaklingur á rétt á að draga samþykki sitt til baka hvenær sem er. Afturköllun samþykkis skal ekki hafa áhrif á lögmæti vinnslu á grundvelli samþykkis fram að afturkölluninni.

  •  7. gr. Miðlun persónuupplýsinga

Mosfellsbær kann að miðla persónuupplýsingum milli ólíkra stofnanna og/eða deilda og til þriðja aðila. Þriðju aðilar sem veita Mosfellsbæ upplýsingatækniþjónustu geta þannig haft aðgang að persónuupplýsingum, en Mosfellsbæ kann einnig að vera skylt samkvæmt lögum að afhenda þriðja aðila persónuupplýsingar.

Mosfellsbær semur eingöngu við utanaðkomandi aðila sem tryggja öryggi persónuupplýsinga sem þeir vinna með fyrir hönd sveitarfélagsins. Þá mun Mosfellsbær ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar.

  • 8. gr. Réttindi einstaklinga

Einstaklingar hafa rétt til að vita hvaða persónuupplýsingar Mosfellsbær vinnur um þá og geta eftir atvikum óskað eftir afriti af upplýsingunum. Þá geta einstaklingar fengið rangar persónuupplýsingar um sig leiðréttar og í einstaka tilvikum persónuupplýsingum um sig eytt. Jafnframt geta einstaklingar í ákveðnum tilvikum mótmælt vinnslu persónuupplýsinga og óskað eftir því að vinnsla þeirra verði takmörkuð. Einstaklingur getur einnig átt rétt á að fá persónuupplýsingar sínar (eða afrit þeirra) afhendar til sín á tölvutæku formi eða að þær (eða afrit þeirra) verði fluttar beint til þriðja aðila.

  • 9. gr. Skyldur starfsmanna, kjörinna fulltrúa og nefndarmanna

Mosfellsbær stuðlar að virkri öryggisvitund starfsmanna, kjörinna fulltrúa og nefndarmanna,  m.a. með fræðslu. Starfsemi Mosfellsbæjar og starfshættir starfsmanna, kjörinna fulltrúa og nefndarmanna skal vera til fyrirmyndar hvað varðar upplýsingaöryggi.

Starfsmenn, kjörnir fulltrúar og nefndarmenn sem hafa aðgang að persónuupplýsingum og þeir vinnsluaðilar, sem koma að rekstri upplýsingakerfa á vegum Mosfellsbæjar, skulu hafa aðgang að og þekkja til persónuverndarstefnu þessarar.

Um þagnarskyldu starfsmanna vísast til 2. mgr. 57. gr. sveitarstjórnarlaga nr. 138/2011. Um þagnarskyldu kjörinna fulltrúa og nefndarmanna vísast til 4. mgr. 28. gr. sveitarstjórnarlaga nr. 138/2011.

Viðurlög við persónuverndarbroti gagnvart starfsmönnum geta falist eftir atvikum í skriflegri áminningu eða brottrekstri, ef brot er stórfellt.

  • 10. gr. ábyrgðaraðili

Ábyrgð á þeirri vinnslu persónuupplýsinga sem fer fram innan Mosfellsbæjar er mismunandi eftir því á hvaða vettvangi og í hvaða tilgangi vinnslan fer fram. Þannig eru stofnanir t.a.m. ábyrgðaraðilar þeirra persónuupplýsinga sem þær vinna.

  • 11. gr. Varðveislutími

Mosfellsbær er afhendingarskyldur aðili á grundvelli laga nr. 77/2014 um opinber skjalasöfn. Mosfellsbæ er óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið laganna, nema með heimild þjóðskjalavarðar.

 

  • 12. gr. Fræðsla til almennings og skráðra aðila

Mosfellsbær hefur leiðbeiningar- og upplýsingaskyldu gagnvart almenningi og skráðum aðilum, hvað varðar vinnslu persónuupplýsinga. Mosfellsbær skal hafa upplýsingar um fræðslu til almennings og skráðra aðila á áberandi stað á heimasíðu sinni, á þjónustusíðum og í þjónustuveri.

 

  • 13. gr. Endurskoðun

Mosfellsbær kann að breyta persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum og reglugerðum eða vegna breytinga á því hvernig Mosfellsbær vinnur með persónuupplýsingar.

Persónuverndarstefna þessi skal reglulega endurskoðuð með það að markmiðið að tryggja sem besta fylgni við ákvæði l. 90/2018.  

Verði gerðar breytingar á persónuverndarstefnu þessari verður slíkt kynnt á heimasíðu Mosfellsbæjar.

  • 14. gr. gildistaka

Persónuverndarstefna þessi tekur gildi 19. júlí 2018.