Skip to Content

Persónuverndarstefna NPA miðstöðvarinnar

1. Inngangur og ábyrgðaraðili2. Tilgangur vinnslu og lagagrundvöllur3. Miðlun persónuupplýsinga4. Varðveisla og eyðing gagna5. Öryggi gagna6. Réttindi hins skráða7. Endurskoðun


Persónuvernd gegnir mikilvægu hlutverki í starfsemi NPA miðstöðvarinnar. Stefna þessi tekur til persónuupplýsinga hvort sem þeim er safnað og þær varðveittar með rafrænum hætti, á pappír eða með öðrum sambærilegum hætti. Stefnan tekur til skráningar, vörslu og vinnslu á persónuupplýsingum. Stefnan er aðgengileg á heimasíðu NPA miðstöðvarinnar. Einnig fá nýir félagsmenn tækifæri til að kynna sér persónuverndarstefnuna þegar þeir ganga í félagið.

Persónuupplýsingar eru allar upplýsingar sem hægt er að tengja beint við einstakling, t.d. nafn, kennitala, heimilisfang, ljósmynd, upptaka af viðkomandi o.fl. Viðkvæmar persónuupplýsingar eru sérstaklega skilgreindar sem upplýsingar um heilsufar, kynþátt, stjórnmálaskoðanir, kynhneigð, lífsskoðanir, aðild að stéttarfélagi o.fl.

Einstaklingar eiga rétt á því að vita hver vinnur með persónuupplýsingar um þá, hvenær upplýsingarnar eru unnar og hvers vegna. 

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingarnar þínar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki. Vinnsla persónuupplýsinga getur til dæmis falist í söfnun, skráningu, varðveislu, skoðun, miðlun og eyðingu þeirra.​




1. Inngangur og ábyrgðaraðili

NPA miðstöðin er ábyrgðaraðili vinnslu persónuupplýsinga í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir „persónuverndarlög“). Sem slík leggur miðstöðin ríka áherslu á að tryggja vernd og öryggi allra persónuupplýsinga sem unnið er með í starfi sínu og að öll vinnsla samræmist gildandi löggjöf og grundvallarreglum persónuverndar. Markmið þessarar stefnu er að upplýsa félagsmenn miðstöðvarinnar og aðstoðarfólk þeirra á gagnsæjan hátt um söfnun, vinnslu, miðlun og varðveislu persónuupplýsinga. 

 Starfsemi miðstöðvarinnar byggir á lögum nr. 38/2018 um þjónustu við fatlað fólk með langvarandi stuðningsþarfir og reglugerðum settum á grundvelli þeirra, svo sem reglugerð nr. 1250/2018 um notendastýrða persónulega aðstoð, sem setja ramma um þær skyldur sem miðstöðinni ber að gegna. Í 29. gr. laga nr. 38/2018 er sérstaklega áréttað að „meðferð persónuupplýsinga, sem unnið er með við framkvæmd laga þessara, skal samrýmast lögum um persónuvernd og vinnslu persónuupplýsinga“.  




2. Tilgangur vinnslu og lagagrundvöllur

Öll vinnsla persónuupplýsinga hjá miðstöðinni byggir á skýrum og málefnalegum tilgangi og styðst við viðeigandi lagaheimildir í samræmi við 8. og 9. gr. persónuverndarlaga. Vegna eðlis starfseminnar er unnið með persónuupplýsingar tveggja aðgreindra hópa: félagsfólk og aðstoðarfólk þess.


  ​​A) Vinnsla persónuupplýsinga um félagsfólk

Tilgangur vinnslu persónuupplýsinga um félagsfólk tengist umsýslu vegna NPA samninga og hlutverks NPA miðstöðvarinnar sem umsýsluaðili. Í því felst meðal annars að halda utan um fjármál og uppgjör NPA samninga og annast tiltekið samstarf við sveitarfélög á grundvelli sérstaks samstarfssamnings. Þar sem félagsfólk er fatlað fólk getur vinnsla varðað viðkvæmar persónuupplýsingar, sér í lagi heilsufarsupplýsingar og þjónustuþarfir, sbr. b-lið 3. tölul. 3. gr. persónuverndarlaga. Slík vinnsla er nauðsynleg til að uppfylla lagaskyldur sem hvíla á miðstöðinni og sveitarfélögum samkvæmt lögum nr. 38/2018 um þjónustu við fatlað fólk með langvarandi stuðningsþarfir og reglugerð nr. 1250/2018. Lagaheimildir vinnslunnar eru því fyrst og fremst 2. tölul. 9. gr. persónuverndarlaga (nauðsynlegt til að efna samning), 3. tölul. 9. gr. (nauðsynlegt til að fullnægja lagaskyldu) og 5. tölul. 9. gr. (nauðsynlegt vegna verks sem unnið er í þágu almannahagsmuna). Þegar um viðkvæmar persónuupplýsingar er að ræða styðst vinnslan við 2. og 8. tölul. 11. gr. laganna, þar sem hún er nauðsynleg til að standa við skuldbindingar samkvæmt löggjöf um félagslega vernd og til að veita umönnun á sviði félagsþjónustu. 

 Í úrskurði Persónuverndar í máli nr. 2011/1189, sem varðaði söfnun upplýsinga um þjónustuþega í starfsmatskerfi, var áréttað að „upplýsingar um heilsuhagi eru viðkvæmar, sbr. c-lið 8. tölul. 2. gr. laganna, og teljast upplýsingar um fötlun til slíkra upplýsinga.“ Þetta undirstrikar nauðsyn þess að gæta sérstakrar varúðar og tryggja fullnægjandi lagaheimild fyrir allri vinnslu sem varðar félagsfólk.


  B) Vinnsla persónuupplýsinga um aðstoðarfólk

NPA miðstöðin er vinnuveitandi aðstoðarfólks félagsmanna sinna, sbr. 11. gr. laga nr. 38/2018 og Reglugerð nr. 1250/2018. Vinnsla persónuupplýsinga um aðstoðarfólk er því nauðsynleg til að efna ráðningarsamninga og uppfylla skyldur vinnuveitanda samkvæmt lögum og kjarasamningum. Þetta felur í sér vinnslu almennra persónuupplýsinga (nafn, kennitala, heimilisfang, bankaupplýsingar) og launa- og skattaupplýsinga. Lagagrundvöllur þessarar vinnslu er 2. og 3. tölul. 9. gr. persónuverndarlaga. Einnig kann að vera unnið með viðkvæmar persónuupplýsingar, svo sem upplýsingar um stéttarfélagsaðild vegna skilagreiðslna og læknisvottorða vegna veikindaskráninga, sem heimiluð er á grundvelli 2. tölul. 11. gr. laganna þar sem hún er nauðsynleg vegna skuldbindinga samkvæmt vinnulöggjöf. 

 Í áliti Persónuverndar í máli nr. 2011/201 varðandi vinnslu Sjúkraliðafélags Íslands á launagögnum var talið að vinnsla upplýsinga um launaflokka og föst kjör gæti stuðst við heimild til vinnslu í lögmætri starfsemi stéttarfélags, en að afla þyrfti sérstaks samþykkis fyrir vinnslu á heildarlaunum. NPA miðstöðin, sem vinnuveitandi, hefur þó skýra lagaskyldu til að vinna með allar launaupplýsingar vegna launaútreikninga og skilagreiðslna.

Samkvæmt 26. gr. laga nr. 38/2018 er óheimilt að ráða til starfa einstaklinga sem hlotið hafa tiltekna refsidóma og er vinnuveitanda skylt að afla upplýsinga úr sakaskrá með samþykki umsækjanda. Vinnsla slíkra upplýsinga lýtur reglum 12. gr. persónuverndarlaga.





3. Miðlun persónuupplýsinga

NPA miðstöðin miðlar ekki persónuupplýsingum til þriðju aðila nema á grundvelli skýrrar lagaheimildar, samningsskyldu eða upplýsts samþykkis. Helstu viðtakendur eru:

  • Sveitarfélög: NPA miðstöðinni ber samkvæmt reglugerð nr. 1250/2018 að skila rekstrarskýrslum og heildaruppgjöri til sveitarfélaga. Þar segir að í heildaruppgjöri skuli koma fram „sundurliðun á ráðstöfun samningsfjárhæðar NPA-samnings, yfirlit yfir launakostnað og launatengd gjöld“. Mikilvægt er þó í þessu sambandi að gæta meðalhófsreglu 3. tölul. 8. gr. persónuverndarlaga. Í áliti Persónuverndar frá 9. júní 2015 í máli NPA miðstöðvarinnar gegn Kópavogsbæ (mál nr. 2014/1719) var komist að þeirri niðurstöðu að miðstöðinni væri „ekki skylt að afhenda Kópavogsbæ mánaðarlega sérgreindar launaseðlaupplýsingar starfsfólks miðstöðvarinnar“, þar sem slík reglubundin afhending persónugreinanlegra launa væri umfram það sem nauðsynlegt væri fyrir almennt eftirlit sveitarfélagsins. Miðlun er því takmörkuð við þær upplýsingar sem nauðsynlegar eru til að uppfylla samnings- og lagaskyldur, svo sem heildaryfirlit, nema rökstuddur grunur um misferli kalli á ítarlegri upplýsingagjöf, eins og tekið var fram í sama áliti.
  • Opinberir aðilar: NPA miðstöðin miðlar nauðsynlegum upplýsingum um aðstoðarfólk til Skattsins, lífeyrissjóða og stéttarfélaga í samræmi við lög og kjarasamninga.
  • Vinnsluaðilar: NPA miðstöðin kann að nýta þjónustu þriðju aðila, t.d. vegna reksturs launakerfa eða bókhalds. Í slíkum tilvikum eru gerðir vinnslusamningar í samræmi við 25. gr. persónuverndarlaga til að tryggja öryggi og trúnað upplýsinganna.





4. Varðveisla og eyðing gagna

Persónuupplýsingar eru ekki varðveittar lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 5. tölul. 8. gr. persónuverndarlaga. Varðveislutími byggir þó ávallt á lögum, svo sem lögum um bókhald. Ráðningargögn, þar á meðal sakavottorð, eru varðveitt á meðan ráðningarsamband varir og eins lengi eftir það og nauðsynlegt er til að verja miðstöðina fyrir hugsanlegum réttarkröfum. Í áliti Persónuverndar í máli nr. 2013/512 varðandi varðveislu sakavottorða hjá Akureyrarbæ kom fram að afhendingarskyldum aðilum til Þjóðskjalasafns væri skylt að varðveita sakavottorð. Þótt miðstöðin sé ekki afhendingarskyldur aðili með sama hætti og sveitarfélag, undirstrikar álitið þá meginreglu að aðrar lagaskyldur geta haft áhrif á varðveislutíma og því verður að meta slíkar skyldur sérstaklega.





5. Öryggi gagna

Miðstöðin gerir viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi persónuupplýsinga, sbr. 27. gr. persónuverndarlaga. Þetta felur meðal annars í sér aðgangsstýringar til að tryggja að einungis þeir starfsmenn sem þurfa hafi aðgang að upplýsingum, dulkóðun gagna þar sem við á, og örugga varðveislu gagna í læstum hirslum eða á vernduðum tölvukerfum. Allir starfsmenn og verktakar sem koma að vinnslu persónuupplýsinga eru bundnir þagnarskyldu, sbr. 28. gr. laga nr. 38/2018.





6. Réttindi hins skráða

Félagsmenn og aðstoðarfólk njóta þeirra réttinda sem kveðið er á um í III. kafla persónuverndarlaga. Þetta felur í sér rétt til upplýsinga um vinnslu, rétt til aðgangs að eigin gögnum, rétt til leiðréttingar á röngum upplýsingum, rétt til eyðingar gagna að uppfylltum skilyrðum og rétt til að andmæla vinnslu. Beiðnum um nýtingu þessara réttinda skal beina til NPA miðstöðvarinnar.





7. Endurskoðun

Þessi persónuverndarstefna er endurskoðuð reglulega og í samræmi við breytingar á lögum, reglugerðum og starfsemi miðstöðvarinnar.