Sleppa valmynd og fara beint í meginmál

Persónuverndarstefna

ÁTVR er ábyrgðaraðili að vinnslu persónuupplýsinga sem fram fer af hálfu stofnunarinnar. 

ÁTVR hefur það leiðarljós að framfylgja stefnu stjórnvalda um bætta lýðheilsu og samfélagslega ábyrgð í áfengis- og tóbaksmálum í sátt við samfélagið. ÁTVR starfar samkvæmt lögum og reglum sem finna má á heimasíðunni.

ÁTVR leggur áherslu á að tryggja að öll meðferð persónuupplýsinga sé í samræmi við ákvæði laga um persónuvernd og meðferð persónuupplýsinga. Markmið persónuverndarstefnunnar er að auðvelda einstaklingum að átta sig á hvaða upplýsingum ÁTVR safnar, hvers vegna og hvað er gert við þær.

Persónuverndarstefnan nær til persónuupplýsinga sem ÁTVR er ábyrgðaraðili fyrir vinnslu á, einkum þær er varða viðskiptavini og starfsfólk ÁTVR.

Stefnan er byggð á lögum nr. 90/2018  um persónuvernd og meðferð persónuupplýsinga.

Lýsing

Persónuupplýsingar í skilningi stefnunnar eru hvers kyns upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

Persónuverndarfulltrúi

ÁTVR hefur tilnefnt persónuverndarfulltrúa. Helstu hlutverk hans eru eftirfarandi:

  • Veita ráðgjöf um öll mál sem tengjast vernd persónuupplýsinga
  • Upplýsa starfsfólk um skyldur sínar skv. lögunum
  • Fylgjast með að farið sé að lögum um persónuvernd
  • Vera tengiliður við Persónuvernd

Fyrirspurnum, athugasemdum og ábendingum sem varða persónuupplýsingar og persónuvernd er unnt að beina á netfangið atvr(hjá)atvr.is  

Hvenær og hvernig vinnur ÁTVR með persónuupplýsingar?

ÁTVR skráir og varðveitir upplýsingar sem eru nauðsynlegar hverju sinni og fer það eftir málum og verkefnum sem unnið er með. Í flestum tilfellum fær ÁTVR persónuupplýsingar beint frá hinum skráða, s.s. nafn, heimilisfang, kennitölu, símanúmer, netfang og fleira.  

Umfangsmeiri upplýsingum er safnað saman um starfsfólk en aðra. Upplýsingarnar geta bæði verið á pappír eða rafrænar. Sérstök aðgát er höfð við söfnun og meðferð viðkvæmra persónuupplýsinga s.s. upplýsinga um heilsufar eða samskipti.

Lögð er rík áhersla á að öll vinnsla persónuupplýsinga sé í samræmi við meginreglur um vinnslu persónuupplýsinga.

Hjá ÁTVR verða til persónuupplýsingar

  • Ef send er fyrirspurn, ábending eða kvörtun, vegna starfseminnar, sem innihalda persónuupplýsingar
  • Þegar viðskiptavinur pantar vöru
  • Vegna umsóknar um starf
  • Umsækjandi um starf vísar á viðkomandi sem meðmælanda
  • Þegar átt er í samskiptum við fyrirtæki eða stofnun sem viðkomandi starfar fyrir, þar sem persónuupplýsingar hafa verið gefnar upp
  • Ef fengnar eru nauðsynlegar persónuupplýsingar frá öðrum stofnunum eða fyrirtækjum

Upplýsingar um starfsmenn og umsækjendur um störf

ÁTVR vinnur með persónuupplýsingar um starfsfólk sitt til að geta greitt því laun fyrir störf sín. Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun s.s. tengiliðaupplýsingar, launaflokkur, tímaskráningar, stéttarfélagsaðild, bankaupplýsingar, lífeyrissjóðsupplýsingar.

Þegar sótt er um starf er nauðsynlegt að vinna með persónuupplýsingar við mat umsókna, s.s.  tengiliðaupplýsingar, ferilskrá, upplýsingar um menntun, sakavottorð, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og  önnur samskipti við umsækjendur.

Hvernig eru persónuupplýsingar notaðar?

Persónuupplýsingar eru aðeins notaðar í þeim tilgangi sem þeirra var aflað í.

Almennt vinnur starfsfólk ÁTVR ekki með persónuupplýsingar, einungis þegar nauðsyn krefur vegna þeirra verkefna sem það hefur umboð til að sinna. Þess er gætt að vinnsla persónuupplýsinga sé ávallt í samræmi við ákvæði laga og reglugerða um persónuvernd.

Hversu lengi varðveitir ÁTVR persónuupplýsingar?

ÁTVR er skilaskyldur aðili samkvæmt lögum nr. 77/2014 um opinber skjalasöfn og er þar af leiðandi óheimilt að eyða skjölum og gögnum sem stofnuninni berast eða verða til hjá henni, nema að fengnu leyfi Þjóðskjalasafns Íslands. Í skilaskyldu felst jafnframt að öllum skjölum og gögnum sem berast ÁTVR eða verða til hjá stofnuninni, skal skilað til Þjóðskjalasafns þar sem þau eru geymd til framtíðar.

Nánari upplýsingar um Þjóðskjalasafn Íslands má finna á vef safnsins.

Hvernig er öryggi persónuupplýsinga tryggt?

Ríkar kröfur um öryggi persónuupplýsinga eru gerðar hjá ÁTVR og aðgangur að þeim takmarkaður og aðgangsstýrður.  Þannig eru sérstaklega ríkar kröfur gerðar um öryggi húsnæðis og tölvukerfa stofnunarinnar hvað þetta varðar.  Sömu kröfur eru gerðar til þeirra þjónustuaðila sem starfa fyrir ÁTVR og eru gerðir vinnslusamningar við viðkomandi aðila.

Öllu starfsfólki ÁTVR er skylt að gæta þagmælsku um atriði sem þeir fá vitneskju um í starfi sínu og leynt skulu fara samkvæmt lögum, fyrirmælum yfirmanna eða eðli málsins. Sú þagnarskylda helst þótt látið sé af starfi. Ákvæði þess efnis er í ráðningarsamningum og vísað þar í lög um réttindi og skyldur starfsmanna ríkisins nr. 70/1996.

Þín réttindi samkvæmt persónuverndarlöggjöfinni

Samkvæmt persónuverndarlöggjöfinni hafa hinir skráðu ákveðin réttindi sem tiltekin eru hér að neðan. Þeir geta haft samband með því að senda tölvubréf á netfangið atvr(hjá)atvr.is og fengið sent eyðublað til að fylla út og óska þannig eftir upplýsingum. ÁTVR verður almennt við beiðnum um upplýsingar að kostnaðarlausu ef einungis er farið fram á eitt afrit, að öðrum kosti gæti verið tekið gjald fyrir kostnaði.

Beiðnum um aðgang að upplýsingum er svarað innan mánaðar frá því að beiðnin barst  en hægt er að framlengja frestinn um tvo mánuði sé beiðnin sérstaklega umfangsmikil. Í þeim tilfellum er viðkomandi upplýstur um ástæður tafarinnar.

Nauðsynlegt er að framvísa lögmætum skilríkjum þegar óskað eftir upplýsingum.

  • Aðgangsréttur

Einstaklingur á rétt á að vita hvort unnið sé með persónuupplýsingar um sig og fá aðgang að þeim ef svo er. Réttindi geta þó verið háð takmörkunum sem leiða m.a. af lögum og/eða hagsmunum annarra einstaklinga sem upplýsingarnar varða.

Ítarlegri upplýsingar um aðgangsrétt má nálgast á vefsíðu Persónuverndar.

Einstaklingur getur einnig átt rétt á aðgangi að gögnum um sig sjálfan samkvæmt 15. gr. stjórnsýslulaga nr. 37/1993, þar sem fjallað er um rétt aðila máls til aðgangs að málsgögnum, og samkvæmt 14. gr. upplýsingalaga nr. 140/2012. Hér getur verið skörun á milli lagabálka sem meta þarf hverju sinni.

  • Réttur til leiðréttingar

Einstaklingur á rétt á því að fá leiðréttar persónuupplýsingar um sig, sem hann telur rangar. Þó skal tekið fram að með hliðsjón af ákvæðum laga nr. 77/2014 um opinber skjalasöfn, er oft óheimilt að breyta gögnum sem stofnunin býr yfir. Þá kann að vera mögulegt að koma leiðréttingu á framfæri með athugasemd, sem látin er fylgja gögnunum, þegar við á. Einnig er hægt að óska eftir að bæta upplýsingum við þær persónuupplýsingar sem ÁTVR hefur, ef skráður aðili telur þær ófullnægjandi.

Ítarlegri upplýsingar um réttinn til leiðréttingar má nálgast á vefsíðu Persónuverndar.

  • Réttur til eyðingar / rétturinn til að gleymast

Rétturinn til eyðingar eða rétturinn til að gleymast á ekki við um vinnslu persónuupplýsinga hjá ÁTVR, þar sem ÁTVR er bundin að lögum um opinber skjalasöfn til að varðveita allar upplýsingar sem henni berast. Í persónuverndarlögum er sérstaklega tekið fram að réttur til eyðingar persónuupplýsinga og til að gleymast, eigi ekki við þegar lög mæla fyrir um að upplýsingarnar skuli varðveittar. Þannig gildir rétturinn til eyðingar / rétturinn til að gleymast ekki um persónuupplýsingar sem ÁTVR vinnur með.

Ítarlegri upplýsingar um réttinn til eyðingar persónuupplýsinga og réttinn til að gleymast má nálgast á vefsíðu Persónuverndar.

  • Réttur til takmörkunar á vinnslu

Einstaklingur á rétt á að biðja um að vinnsla sé takmörkuð í ákveðnum aðstæðum.

  • Réttur til að andmæla vinnslu

Einstaklingur á rétt á að andmæla vinnslu persónuupplýsinga um sig þegar ÁTVR vinnur persónuupplýsingar um hann á grundvelli almannahagsmuna eða við beitingu opinbers valds.

Nálgast má ítarlegri upplýsingar um andmælarétt á vefsíðu Persónuverndar

  • Réttur til að flytja eigin gögn

Rétturinn til að flytja eigin gögn á eingöngu við þegar upplýsingar eru unnar á grundvelli samþykkis eða við gerð samnings. ÁTVR starfar á grundvelli laga og byggir því mjög lítinn hluta sinnar vinnslu á persónuupplýsingum eða samþykki eða samningi. Þar af leiðandi er ólíklegt að þessi réttur eigi við um þá vinnslu sem ÁTVR framkvæmir, þar sem hún fer nánast eingöngu fram á grundvelli lagaskyldu eða almannahagsmuna.

Nálgast má ítarlegri upplýsingar um réttinn til flutnings eigin gagna á vefsíðu Persónuverndar.

  • Kvartanir vegna vinnslu persónuupplýsinga.

Teljir þú að meðferð ÁTVR á persónuupplýsingum þínum sé ekki í samræmi við gildandi lög og reglur um persónuvernd getur þú sent Persónuvernd kvörtun. Persónuvernd hefur það hlutverk að gæta hagsmuna almennings þannig að mannréttindi séu ekki brotin við meðferð upplýsinga. Stofnunin hefur eftirlit með lögum og reglum um vinnslu persónuupplýsinga.

Einnig er hægt að beina málum sem varða persónuupplýsingar og persónuvernd á netfangið atvr(hjá)atvr.is

Notkun á vafrakökum og stoðþjónustu frá greiningaraðilum á vefsíðu ÁTVR

Á heimasíðu ÁTVR finnur þú allt um vafrakökur og notkun þeirra.

Endurskoðun

ÁTVR uppfærir persónuverndarstefnu sína eftir því sem tilefni gefst til, svo sem í samræmi við laga- eða reglugerðarbreytingar eða vegna breytinga á því hvernig unnið er með persónuupplýsingar.

Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á vefsíðu ÁTVR, www.vinbudin.is .

Persónuverndarstefna þessi var yfirfarin og samþykkt af framkvæmdaráði 21. apríl 2020