Persónuvernd

Persónuverndarstefna NTÍ

Tilgangur

Tilgangur persónuverndarstefnu NTÍ er að tryggja að vinnsla persónuupplýsinga hjá NTÍ og vinnsluaðilum uppfylli þær lagalegu kröfur sem gerðar eru til vinnslunnar.

 

Í stefnunni felst að:

 

NTÍ leggur áherslu á að virða ætíð persónuvernd allra sem NTÍ á í samskiptum við og fara að lögum um persónuvernd og vinnslu persónuupplýsinga í öllum samskiptum.

Stefna NTÍ er að geyma og vinna með eins lítið af persónugreinanlegum upplýsingum og mögulegt er til að geta veitt þjónustuna.

Stefna NTÍ er að veita einstaklingum aðgang að persónuupplýsingum um sig á einfaldan hátt í rafrænum kerfum.

NTÍ skal tryggja að allir sem hafa aðgang að persónuupplýsingum séu bundnir trúnaði, hvort sem um starfsmenn eða vinnsluaðila er að ræða og að vinnslusamningur sé gerður við alla vinnsluaðila.

Persónuupplýsingar skulu ekki vera aðgengilegar öðrum en þeim sem þurfa aðgang að þeim starfs síns vegna.

Við hönnun upplýsingakerfa skal tryggt að upplýsingar um vinnslu persónuupplýsinga komi fram á sama tíma og einstaklingar veita þær.

Þegar einstaklingar eiga samskipti við NTÍ eftir öðrum leiðum, t.d. tölvupóstum, þar sem veittar eru persónuupplýsingar, skal ávallt upplýsa um hvernig og í hvaða tilgangi stofnunin vinnur persónuupplýsingar.

Við öflun nauðsynlegra upplýsinga vegna vátryggingastarfsemi NTÍ frá þriðja aðila, skal gæta þess að meðferð persónuupplýsinga einkennist af lágmörkun gagna og að öryggi upplýsinganna sé tryggt.

Persónuverndarstefna og öryggismál NTÍ eru í sífelldri endurskoðun til að tryggja að lagalegum kröfum sé ávallt fylgt og skulu öryggismál NTÍ reglulega tekin út af óháðum aðila.

Markmið okkar er að starfsmenn, viðskiptavinir, einstaklingar og aðrir viðsemjendur, eins og við á hverju sinni, séu upplýstir um það hvernig NTÍ safnar og vinnur persónuupplýsingar.

Öll hugtök í þessari persónuverndarstefnu eru í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Ábyrgð

            Stjórn ber ábyrgð á persónuverndarstefnu NTÍ og innleiðingu hennar.

Lögfræðingur og gæðafulltrúi bera ábyrgð á aðferðarfræði persónuverndar.

            Starfsmönnum og verktökum NTÍ ber að fylgja persónuverndarstefnunni.

 

Kópavogur, 28. mars 2019

Stjórn NTÍ hefur samþykkt þessa stefnu og styður við framkvæmd hennar.


Persónuverndarfulltrúi NTÍ er Auðbjörg Friðgeirsdóttir, audbjorg.fridgeirsdottir@is.pwc.com


Ástæða gagnasöfnunar

NTÍ leggur áherslu á að persónuupplýsingar sem stofnunin safnar séu fengnar í skýrum og lögmætum tilgangi. 

NTÍ safnar, geymir og greinir gögn í gegnum starfsemi NTÍ í eftirfarandi tilgangi:

  • Til að veita þjónustuna - Til að NTÍ geti sinnt lögbundnu hlutverki sínu ogveitt einstaklingum þá þjónustu sem þeir hafa rétt á skv. lögum nr. 55/1992, stjórnsýslulögum, lögum um persónuvernd og vinnslu persónuupplýsinga, upplýsingalögum, lögum um opinber skjalasöfn og öðrum lagafyrirmælum. Er þetta í samræmi við 3. tl. 9. gr. í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
  • Árangursmælingar - NTÍ nýtir ópersónugreinanlegar upplýsingar til tölfræðilegrar úrvinnslu, í þeim tilgangi að bæta þjónustu stofnunarinnar, til hagsbóta fyrir viðskiptavini NTÍ.
  • Frávikaskráningar – NTÍ skráir öll frávik frá samþykktum verkferlum til að læra af þeim og meta hvort þörf sé á forvarnaraðgerðum. Þannig nýtir NTÍ frávikin til að bæta verklag og koma í veg fyrir frekari frávik.
  • Áhættustýring - NTÍ framkvæmir tölfræðilegar greiningar á ópersónugreinanlegum upplýsingum við mat á áhættu vegna náttúruhamfara. Þær eru svo nýttar í áhættustýringu stofnunarinnar og viðbragðsáætlanagerð.
  • Annað – NTÍ nýtir persónuupplýsingar til annarra nota eftir því sem þörf krefur og heimilt er skv. lögum. 

Gögn sem NTÍ safnar og geymir

NTÍ safnar og vinnur afmarkaðar persónuupplýsingar til að geta sinnt lögbundnu hlutverki sínu skv. lögum nr. 55/1992, í samræmi við 3. tl. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sem er að taka á móti tilkynningum um tjón á eignum vegna náttúruhamfara, meta hvort um tjón af völdum náttúruhamfara skv. lögunum sé að ræða, meta umfang tjónsins, taka stjórnvaldsákvarðanir um bótaskyldu og bótafjárhæðir vegna tilkynntra tjóna og greiða út tjónabætur. Að auki skráir NTÍ upplýsingar um öll mál og skjöl sem koma til meðferðar hjá NTÍ undir einkvæmu málsnúmeri skv. reglum Þjóðskjalasafns. Meðal upplýsinga sem NTÍ er skylt að skrá um mál er nafn málsaðila auk sendanda eða móttakanda skjala.

Skv. lögum um bókhald varðveitir NTÍ bókhald stofnunarinnar þ.m.t. nöfn og kennitölur samningsaðila og einstaklinga sem taka að sér störf eða verkefni fyrir stofnunina. NTÍ eyðir fylgiskjölum bókhalds að loknum sjö ára vistunartíma, fyrir utan sýnishorn fylgiskjala skv. fyrirmælum Þjóðskjalasafns.

Persónuupplýsingar varðandi meðferð bótamála

Tilkynnandi er krafinn um upplýsingar um eignina sem varð fyrir tjóni (tegund eignar, fastanúmer eignar, heimilisfang, póstnúmer og sveitarfélag), dagsetning tjónsatburðar og hvers konar tjónsatburður olli tjóninu auk lýsingar á tjóninu og aðstæðum.

Samskiptaupplýsingar

Tilkynnandi er beðinn um að velja á milli rafrænna samskipta eða pappírssamskipta og gefa upp viðeigandi samskiptaupplýsingar svo unnt sé að hafa samband við viðkomandi við vinnslu málsins. Samskiptaupplýsingarnar sem um ræðir eru póstfang fyrir pappírssamskipti og netfang fyrir rafræn samskipti. Að auki er tilkynnandi krafinn um símanúmer til að hægt sé að ná sambandi símleiðis vegna meðferðar málsins.  Kjósi tilkynnandi að tilnefna tengilið til að hafa samskipti við NTÍ fyrir sína hönd er hann krafinn um kennitölu og netfang tengiliðar. Samskiptaupplýsingum er eytt úr töflum gagnagrunnsins að máli loknu, en kunna að standa eftir í skjölum og atburðarskrá málsins, hafi upplýsingarnar verið nýttar til samskipta.

 

Bankaupplýsingar

Tilkynnandi er krafinn um upplýsingar um bankareikning til að hægt sé, eftir atvikum, að greiða bætur vegna tjónsins . Komi til greiðslu munu upplýsingarnar liggja fyrir í greiðslukvittun máls en upplýsingum um bankareikning eytt úr töflum gagnagrunns að máli loknu.

 

Meðferð gagna á vinnslutíma

Berist gögn frá tjónþola eru þau vistuð ásamt öðrum gögnum málsins. Við vinnslu máls verða til ýmis skjöl, svo sem bréf milli eigenda og NTÍ, matsgerðir, minnisblöð, ljósmyndir úr tjónaskoðunum, mælingar og önnur vinnuskjöl matsmanna og samskipti milli NTÍ og matsmanna. Ef einstaklingur hefur samband við NTÍ af einhverjum ástæðum kann samskiptasagan að verða geymd, auk gagna og tengiliðaupplýsinga sem verða til við vinnslu málsins. Þetta á við hvort sem haft er samband með bréfpósti, tölvupósti, afhendingu nafnspjalds eða símtali.

 

Húseign

Ef tjón er tilkynnt á húseign kallar tilkynnandi eftir nánari upplýsingum um eignina úr Fasteignaskrá Þjóðskrár Íslands í gegnum tilkynningarsíðu NTÍ. Upplýsingar sem sóttar eru úr Landsskrá fasteigna eru upplýsingar um hverjir eigendur eignarinnar eru (kennitala, nafn, eignarhlutfall, kaup- og afhendingardagur) og upplýsingar um fasteignina ( matshlutanúmer, lýsing matshluta, byggingarár, byggingastig, flatarmál og brunabótamat).

 

Innbú/lausafé

Ef tjón er tilkynnt á innbúi/lausafé er tilkynnandi krafinn um kennitölu tryggingartaka til að NTÍ geti kallað eftir afriti af vátryggingaskírteini til viðkomandi vátryggingafélags vegna eigna sem tjón eru tilkynnt á.

 

Persónuupplýsingar  vátryggðra

NTÍ heldur skrá yfir öll vátryggingaskírteini sem falla undir vátryggingarvernd NTÍ. Upplýsingarnar eru fengnar frá vátryggingarfélögunum og innihalda staðsetningu vátryggðra eigna. Skráðar eru upplýsingar um tengiliði eigenda opinberra mannvirkja sem vátryggð eru beint hjá NTÍ, nöfn þeirra, netföng og kennitölur óski þeir eftir að samskiptin fari fram í gegnum „Mínar síður“.


Geymslutími og geymslustaður gagna

Sem opinberri stofnun ber NTÍ að fylgja lögum nr. 77/2014 um opinber skjalasöfn. Í því felst að NTÍ ber að vista öll gögn sem móttekin eru eða verða til í starfseminni, fyrir utan vinnuskjöl. Öll gögn eru því vistuð hjá NTÍ þar til þeim er skilað til Þjóðskjalasafns Íslands til varanlegrar vörslu þegar þau hafa náð 30 ára aldri. Öll rafræn gögn NTÍ eru vistuð innanlands hjá vinnsluaðila NTÍ.

Öryggisafrit - NTÍ fylgir leiðbeinandi tilmælum Fjármálaeftirlitsins nr. 1/2019 vegna áhættu við rekstur upplýsingakerfa eftirlitsskyldra aðila þar sem sú krafa er gerð að NTÍ láti gera öryggisafrit af gögnum og upplýsingakerfum.

Eyðing upplýsinga - Þar sem ákvæði laga um opinber skjalasöfn eru sérlög, eru þau rétthærri lögum um persónuvernd og vinnslu persónuupplýsinga og því er NTÍ með öllu óheimilt að eyða gögnum úr gagnagrunnum sínum án grisjunarheimildar.

Stjórn einstaklinga á eigin upplýsingum

NTÍ ber skylda til að geyma upplýsingar sem safnað er um einstaklinga á skipulagðan hátt. Þá ber NTÍ einnig skylda til að leiðrétta rangar upplýsingar ef þeirra verður vart.

Skráðir einstaklingar hafa rétt á að óska eftir að NTÍ deili upplýsingum um, eða takmarki vinnslu þeirra. Einstaklingar geta óskað eftir upplýsingum um hvaða upplýsingum NTÍ býr yfir um þá sjálfa og fengið af þeim afrit. Skráðir einstaklingar hafa rétt til að krefjast leiðréttingar á skráningu hvenær sem er. NTÍ áskilur sér rétt til að taka þóknun fyrir slíka vinnslu, skv. heimild í upplýsingalögum. Ef til gjaldtöku kemur verður einstaklingi tilkynnt um hana áður en vinnslan fer fram.

Skráðir einstaklingar hafa einnig rétt til að mótmæla vinnslu eða afturkalla samþykki fyrir vinnslu NTÍ á persónuupplýsingum, svo lengi sem vinnslan er ekki byggð á lagagrundvelli og/eða samningsbundnum ákvæðum. Skráðir einstaklingar hafa enn fremur rétt á að leggja fram kvörtun vegna vinnslu NTÍ á persónuupplýsingum til Persónuverndar.

Aðgangur að upplýsingum og leiðrétting þeirra - Öll gögn sem verða til við afgreiðslu bótamála auk allra þeirra persónuupplýsinga sem tilkynnandi hefur skráð eru aðgengilegar í kjölfar tilkynningar á nti.is/minarsidur. Þar getur tilkynnandi leiðrétt og/eða uppfært þær persónuupplýsingar sem skráðar hafa verið.

Afrit af eigin upplýsingum - NTÍ gerir einstaklingum kleift að taka afrit af eigin upplýsingum sem geymdar eru í tjónaskrá NTÍ. Upplýsingar vegna tjóna sem tilkynnt hafa verið eftir 16.2.2015 eru aðgengileg á nti.is/minarsidur. Beiðni vegna annarra persónuupplýsinga skal senda á nti@nti.is.

 

Gagnaöryggi og aðgangsstýring

NTÍ lýtur eftirliti Fjármálaeftirlitsins og fleiri eftirlitsaðila og kappkostar að uppfylla öll lög, reglur og leiðbeinandi tilmæli sem um stofnunina gilda. Náið er unnið með eftirlitsaðilum í þeim tilgangi að tryggja öryggi gagna. Þjónustuaðili sem sér um heildarrekstur upplýsingatæknikerfa er vottaður skv. ISO27001 upplýsingaöryggisstaðlinum. Þjónustuaðilum í upplýsingatækni ber skv. lögum um persónuvernd og vinnslu persónuupplýsinga að tryggja sjálfgefna og innbyggða persónuvernd í upplýsingakerfum eftir því sem við verður komið þar sem tekið er mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu.

NTÍ leggur sig fram við að vernda einstaklinga fyrir óheimilum aðgangi eða óheimilum breytingum, birtingu eða skemmdarverkum á persónuupplýsingum í vörslu NTÍ. Sérstaklega má nefna að:

  • Í mörgum tilvikum eru vefsvæði NTÍ dulkóðuð með SSL (auðkennt í vafranum með „https“ forskeyti á undan vefslóðinni og mynd af hengilás).
  • Þegar einstaklingar skrá sig inn á Mínar síður nýta þeir Íslykil eða rafræn skilríki til innskráningar.
  • NTÍ endurskoðar reglulega verkferli við söfnun, geymslu og úrvinnslu upplýsinga, þar með taldar tæknilegar öryggisráðstafanir, til að verja fyrir kerfisaðgangi án heimilda.
  • NTÍ takmarkar aðgang að persónuupplýsingum við starfsfólk NTÍ og vinnsluaðila sem undirritað hafa vinnslusamning sem samræmist lögum um persónuvernd og vinnslu persónuupplýsinga.
  • NTÍ er með viðeigandi öryggisráðstafanir til verndar tölvuárásum, ólögmætri eyðingu eða breytingu á persónuupplýsingum.
  • NTÍ hefur látið framkvæma árásarprófanir á kerfi NTÍ til að tryggja að ekki sé hægt að nota þekktar aðferðir til að brjótast inn í vefþjóna NTÍ.
  • Vinnsluaðilum ber að tilkynna NTÍ án tafar um hvers kyns öryggisbrot skv. lögum um persónuvernd og vinnslu persónuupplýsinga.
  • Aðgangsstýringar eru á öllum persónuupplýsingum og eru þeir aðilar sem aðgang hafa að upplýsingunum bundnir trúnaðar- og þagnarskyldu.

 

Deiling og flutningur upplýsinga

NTÍ útvistar hluta starfsemi sinnar til að geta sinnt lögbundnu hlutverki sínu á öruggan og skilvirkan hátt. Meðal útvistaðrar starfsemi er tjónamat, innri endurskoðun, upplýsingatækniþjónusta og hýsing gagna. Vinnslusamningar eru í gildi við vinnsluaðila eftir því sem við á og segja þeir til um heimildir og skyldur vinnsluaðila er kemur að vinnslu persónuupplýsinga. Afhending persónuupplýsinga til þriðja aðila er takmörkuð eins og unnt er. Ekki er þörf á gerð vinnslusamninga við sjálfstæða ábyrgðaraðila, s.s.  við lögmanns- og endurskoðunarstofur.

NTÍ afhendir ekki persónuupplýsingar ósamningsbundins þriðja aðila nema vera það lagalega skylt. NTÍ er ríkisstofnun og lýtur því upplýsingalögum og lögum um persónuvernd og vinnslu persónuupplýsinga. NTÍ deilir persónuupplýsingum með einstaklingum, fyrirtækjum eða stofnunum utan NTÍ aðeins ef aðgangur að þeim, notkun á þeim eða birting telst nauðsynlegur til að:

  • fylgja viðeigandi lögum og reglugerðum, í tengslum við málsmeðferð og beiðnum yfirvalda.
  • greina, koma í veg fyrir eða bregðast á annan hátt við svikum, öryggis- eða tæknivandamálum.
  • verja, réttindi, eignir og öryggi notenda okkar eða almennings fyrir skemmdarverkum, eins og lög mæla fyrir um eða leyfa.

NTÍ telst vera skilaskyldur aðili skv. lögum um opinber skjalasöfn og skilar því skilaskildum gögnum til Þjóðskjalasafn Íslands (ÞÍ) til varanlegrar vistunar í samræmi við reglur þar að lútandi. Gögnum er skilað til ÞÍ á fimm ára fresti til varðveislu. NTÍ veitir aðgang að gögnunum í 30 ár, en að þeim tíma liðnum veitir ÞÍ aðgang að gögnunum. Allur aðgangur að gögnum fer skv. upplýsingalögum og lögum um persónuvernd og vinnslu persónuupplýsinga.

Vinnsluaðila er ekki heimilt að úthýsa vinnslu persónuupplýsinga til annars aðila án samþykkis NTÍ.

NTÍ kann að deila ópersónugreinanlegum gögnum til þriðja aðila í þágu rannsókna.

 

Spurningar eða kvartanir

Spurningum eða kvörtunum er varða persónuverndarstefnu þessa og/eða varða vinnslu persónuupplýsinga skal beina til NTÍ, Hlíðasmára 14, 201 Kópavogur eða í gegnum netfangið nti@nti.is eða til persónuverndarfulltrúa NTÍ, Auðbjargar Friðgeirsdóttur, audbjorg.fridgeirsdottir@is.pwc.com

 

Yfirlýsing síðast uppfærð 26.3.2018