Fara í efni

Persónuverndarstefna

Grímsnes- og Grafningshreppur, kt. 590698-2109, Stjórnsýsluhúsinu Borg, 805 Selfossi (einnig vísað til sem sveitarfélagsins) hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem sveitarfélagið og allar undirstofnanir þess vinna. Á þeim grundvelli hefur Grímsnes- og Grafningshreppur sett sér persónuverndarstefnu í samræmi ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

1. gr. Tilgangur og gildissvið
Grímsnes- og Grafningshreppur leitast í hvívetna við að uppfylla þær kröfur sem settar eru fram í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (einnig vísað til sem persónuverndarlaga) og þess skal gætt að öll vinnsla persónuupplýsinga sé í samræmi við ákvæði ofangreindra laga.
Með persónuverndarstefnu leggur Grímsnes- og Grafningshreppur áherslu á mikilvægi persónuverndar við alla vinnslu gagna er hafa að geyma persónuupplýsingar eins og þær eru skilgreindar í lögum nr. 90/2018. Vinnsla skal ávallt vera í samræmi við lög.
Persónuverndarstefnan tekur til allrar vinnslu persónuupplýsinga í skilningi persónuverndarlaga, í allri starfsemi á vegum Grímsnes- og Grafningshrepps og stofnana, þ.m.t. vinnslu og meðferðar allra starfsmanna, kjörinna fulltrúa og nefndarmanna á vegum sveitarfélagsins á persónuupplýsingum.
Persónuverndarstefnan lýsir vinnslu á persónuupplýsingum á vegum sveitarfélagsins. Sveitarfélagið mun leitast við að veita þeim einstaklingum sem unnið er með persónuupplýsingar um, nánari fræðslu um þá vinnslu eftir því sem við á.

2. gr. Persónuupplýsingar og vinnsla þeirra
Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar.
Undir hugtakið vinnsla fellur öll notkun og meðferð persónuupplýsinga, s.s. söfnun, skráning, flokkun, varðveisla, breyting, skoðun, aðgangstakmörkun og eyðing.

3. gr. Grundvöllur fyrir söfnun persónuupplýsinga
Grundvöllur sveitarfélagsins fyrir söfnun persónuupplýsinga er fyrst og fremst að geta uppfyllt þær skyldur sem hvíla á sveitarfélaginu á grundvelli laga um rekstur og þjónustu sveitarfélaga og stofnana þeirra. Þá safnar sveitarfélagið einnig persónuupplýsingum vegna samningssambands sem sveitarfélagið er í, t.d. við starfsfólk eða viðsemjendur eða til að koma slíku sambandi á. Vinnsla er í sumum tilfellum byggð á samþykki hinna skráðu, s.s. vegna myndbirtinga í skólum og leikskólum, á lögmætum hagsmunum sveitarfélagsins s.s. lögbundinnar þjónustu þess eða vegna eftirlits með eigum sveitarfélagsins eða í öryggisskyni. Þá getur söfnun einnig byggt á beitingu opinbers valds sem sveitarfélagið fer með.
Til að vinnsla á persónuupplýsingum teljist lögmæt þarf minnst eitt eftirfarandi atriða að eiga við, þ.e. að hinn skráði hafi gefið sveitarfélaginu samþykki fyrir vinnslu persónuupplýsinga, vinnslan sé nauðsynleg vegna samningssambands sveitarfélagsins við tiltekin aðila, vinnslan verndi brýna hagsmuni einstaklinga, vinnslan sé vegna lögmætra hagsmuna sveitarfélagsins eða að vinnsla persónuupplýsinga sé nauðsynleg vegna lögbundinna skyldna sem hvíla á sveitarfélaginu vegna starfsemi þess og reksturs.

4. gr. Söfnun persónuupplýsinga
Sú lögbundna þjónusta sem sveitarfélag veitir hefur óhjákvæmilega í för með sér söfnun á persónuupplýsingum um bæði einstaklinga og hópa og er vinnsla þessara upplýsinga oft á tíðum nauðsynlegt að tryggja að sveitarfélagið geti veitt þá þjónustu sem því ber samkvæmt lögum.
Grímsnes- og Grafningshreppur safnar og vinnur t.a.m. með persónuupplýsingar um: Íbúa og aðra skjólstæðinga sveitarfélagsins, börn í skóla- og leikskóla, starfsfólk sveitarfélagsins, einstaklinga sem eiga í samskiptum við sveitarfélagið, tengiliði birgja, ráðgjafa, verktaka, viðskiptamenn, stofnanir og aðra lögaðila sem sveitarfélagið er í samningssambandi við.

5. gr. Hvernig sveitarfélagið vinnur persónuupplýsingar
Öll vinnsla persónuupplýsinga fer fram í skýrum tilgangi og er byggð á grundvelli persónuverndarlaga. Ekki er unnið með persónuupplýsingar þannig að vinnsla þeirra sé ósamrýmanleg upprunalegum tilgangi vinnslunnar. Ekki er gengið lengra í vinnslu persónuupplýsinga en þörf krefur.
Unnið er með persónuupplýsingar í samræmi við meginreglur persónuverndarlaga og fær starfsfólk sveitarfélagsins og stofnana þess fræðslu um hvernig umgangast skal slíkar upplýsingar.

6. gr. Eðli persónuupplýsinga sem sveitarfélagið safnar
Grímsnes- og Grafningshreppur safnar og varðveitir ýmsar persónuupplýsingar um einstaklinga, en eingöngu upplýsingar sem eru nauðsynlegar vegna þeirrar vinnslu sem fer fram á vegum sveitarfélagsins. Ólíkum persónuupplýsingum er safnað um ólíka hópa einstaklinga og fer vinnsla þessara upplýsinga eftir eðli sambands á milli sveitarfélagsins og viðkomandi einstaklings. Umfangsmeiri upplýsingum er t.d. safnað um íbúa sveitarfélagsins, starfsmenn þess og nemendur í skólum heldur en aðra.
Undir tilteknum kringumstæðum getur sveitarfélagið þurft að safna viðkvæmum persónuupplýsingum s.s. um heilsufar, trúarbrögð, aðild að stéttarfélagi eða þjóðernislegan uppruna. Sérstök aðgát skal höfð við vinnslu slíkra upplýsinga.
Grímsnes- og Grafningshreppur aflar að mestu persónuupplýsingum beint frá þeim einstaklingi sem upplýsingarnar varða. Undir vissum kringumstæðum geta þessar upplýsingar þó komið frá þriðja aðila, t.d. Þjóðskrá, heilbrigðisstofnunum eða öðrum þriðja aðila. Í þeim tilfellum þar sem upplýsinga er aflað frá þriðja aðila mun sveitarfélagið leitast við eftir megni að upplýsa um slíkt eftir því sem við á.

7. gr. Varðveislutími
Grímsnes- og Grafningshreppur er afhendingarskyldur um skjöl sín á Héraðsskjalasafn Árnesinga samkvæmt lögum nr. 77/2014 um opinber skjalasöfn. Í samræmi við 24. gr. laga nr. 77/2014 er Grímsnes- og Grafningshreppi óheimilt að ónýta eða farga nokkru skjali sem fellur undir 1. eða 2. mgr. 14. gr. þeirra laga nema það sé gert á grundvelli samþykktar þjóðskjalavarðar. Skjöl Grímsnes- og Grafningshrepps og stofnana eru afhent á Héraðsskjalasafn Árnesinga í samræmi við samkomulag þar um en að jafnaði ekki sjaldnar en á fimm ára fresti.

8. gr. Miðlun persónuupplýsinga til þriðja aðila
Grímsnes- og Grafningshreppur kann að miðla persónuupplýsingum til þriðja aðila af mismunandi ástæðum. Sveitarfélagið miðlar persónuupplýsingum til þriðja aðila sem ráðnir eru af sveitarfélaginu til að vinna fyrir fram ákveðin verkefni, s.s. þjónustuveitendur á sviði upplýsingatækni og afritunar. Gerðir eru vinnslusamningar við þriðja aðila vegna þessarar vinnslu. Slíkur samningur kveður meðal annars á um skyldur þriðja aðila til að fylgja fyrirmælum sveitarfélagsins um vinnslu persónuupplýsinga og er þriðja aðila með öllu óheimilt að nýta persónuupplýsingar í öðrum tilgangi en kemur fram í vinnslusamningi. Sveitarfélagið gerir þær kröfur til þriðja aðila sem aðgang hefur að persónuupplýsingum að fyllsta trúnaðar sé gætt í hvívetna. Að öðrum kosti mun sveitarfélagið ekki miðla persónuupplýsingum til þriðja aðila. Í þessu sambandi vísast bæði til persónuverndarlaga, reglugerða og verklagsreglna sveitarfélagsins þar um.
Sveitarfélaginu kann að vera skylt að afhenda þriðja aðila persónuupplýsingar samkvæmt lögum.
Grímsnes- og Grafningshreppur mun ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema heimild til slíks sé á grundvelli laga nr. 90/2018.

9. gr. Öryggi persónuupplýsinga
Sveitarfélagið notar viðeigandi tækni- og öryggisráðstafanir til þess að persónuupplýsingar séu tryggðar í samræmi við lög nr. 90/2018. Þessar öryggisráðstafanir fela m.a. í sér aðgangstakmarkanir starfsmanna að upplýsingum í samræmi við starfsskyldur o.s.frv. Þessum ráðstöfunum er ætlað að koma í veg fyrir að persónuupplýsingar glatist eða breytist fyrir slysni, hindra óleyfilegan aðgang, afritun og miðlun þessara upplýsinga.
Þá kemur sveitarfélagið að skipulegri þjálfun og fræðslu starfsmanna um hvernig gæta skal að öryggi persónuupplýsinga.

10. gr. Ábyrgð á grundvelli persónuverndarlaga
Ábyrgð á vinnslu persónuupplýsinga sem fer fram innan sveitarfélagsins er mismunandi eftir því hvort vinnsla með persónuupplýsingar á sér stað á vegum eða í þágu sveitarstjórnarskrifstofu, grunn- eða leikskóla. Þannig er t.d. grunnskólinn ábyrgðaraðili þeirra persónuupplýsinga sem þar eru unnar.

11. gr. Réttindi einstaklinga samkvæmt persónuverndarlögum
Einstaklingur hefur rétt á því að vita hvaða persónuupplýsingar sveitarfélagið vinnur um hann og getur eftir atvikum óskað eftir afriti af upplýsingum. Þá getur einstaklingur fengið rangar persónuupplýsingar um sig leiðréttar. Eyðing persónuupplýsinga sem falla undir 1. eða 2. mgr. 14. gr. laga nr. 77/2014 um opinber skjalasöfn er aðeins heimil á grundvelli samþykktar þjóðskjalavarðar.
Einstaklingur getur í ákveðnum tilvikum mótmælt vinnslu persónuupplýsinga og óskað eftir því að vinnsla þeirra verði takmörkuð. Óski einstaklingur eftir því að persónuupplýsingar hans séu sendar til annars aðila, t.d. annars sveitarfélags, á sá hinn sami einnig rétt á því að fá þær persónuupplýsingar afhentar eða þeim komið til þriðja aðila með öðrum öruggum hætti.
Vinnsla sveitarfélagsins á persónuupplýsingum getur í sumum tilfellum byggt á samþykki einstaklings. Sá sem samþykkir/heimilar vinnslu getur ávallt afturkallað samþykki sitt. Sveitarfélagið virðir réttindi einstaklinga í samræmi við persónuverndarlög.
Leitast verður við að svara öllum beiðnum við fyrsta hentugleika sbr. 9. gr. stjórnsýslulaga nr. 37/1993 um málshraða. Sé beiðni umfangsmikil eða flókin og fyrirsjáanlegt að afgreiðsla máls muni tefjast skal skýra frá því og upplýsa um ástæður tafa.
Beiðni skal senda til viðeigandi stofnunar sveitarfélagsins sem og persónuverndarfulltrúa.

12. gr. Fyrirspurnir og kvörtun til Persónuverndar
Hafi einstaklingur spurningar um persónuverndarstefnu Grímsnes- og Grafningshreppur eða vinnslu persónuupplýsinga er hægt að hafa samband við persónuverndarfulltrúa Grímsnes- og Grafningshrepps sem mun leitast við að svara fyrirspurnum og leiðbeina einstaklingum um réttindi þeirra samkvæmt lögum. Telji einstaklingur vinnslu sveitarfélagsins á persónuupplýsingum ekki vera í samræmi við lög nr. 90/2018 eða reglugerðir þar um getur hann lagt fram kvörtun til Persónuverndar (https://www.personuvernd.is/) sem annast eftirlit.

13. gr. Persónuverndarfulltrúi
Persónuverndarfulltrúi Grímsnes- og Grafningshrepps hefur umsjón með persónuverndarstefnu sveitarfélagsins og framfylgni við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Persónuverndarfulltrúi sinnir jafnframt því hlutverki að leiðbeina starfsmönnum og kjörnum fulltrúum sveitarfélagsins um skyldur sínar samkvæmt lögum þessum auk þess að leysa úr álitaefnum á sviði persónuverndar.
Hægt er að hafa samband við sveitarfélagið eða senda tölvupóst sjá:
Grímsnes- og Grafningshreppur
Stjórnsýsluhúsinu Borg, 805 Selfossi.
gogg@gogg.is

Hægt er að hafa samband við persónuverndarfulltrúa eða senda tölvupóst, sjá:
Héraðsskjalasafn Árnesinga
Austurvegi 2, 800 Selfoss
thorsteinn@heradsskjalasafn.is

14. gr. Endurskoðun
Grímsnes- og Grafningshreppi er heimilt að breyta persónuverndarstefnu án fyrirvara, í samræmi við breytingar á lögum nr. 90/2018 og reglugerðum þar að lútandi.
Allar breytingar verða birtar á vef sveitarfélagsins og taka gildi frá birtingu þeirra.
Persónuverndarstefna Grímsnes- og Grafningshrepps var samþykkt af sveitarstjórn þann 01. 04 2020 og fellur þá eldri persónuverndarstefna frá 19. desember 2018 úr gildi. 

Endurskoðuð 18.ágúst 2023

Síðast uppfært 25. ágúst 2023
Getum við bætt efni síðunnar?