City of Reykjavik Privacy Policy

The City of Reykjavik (“City”) strives to ensure, in every respect, the reliability, confidentiality and security of all personal data processed by the City. Therefore, the City has adopted the following Privacy Policy, in accordance with the provisions of Act No. 90/2018 on Data Protection and the Processing of Personal Data (“Data Protection Act”).

With this Policy, the City emphasizes the importance of ensuring that all processing of personal data within the municipality is carried out in accordance with the provisions of the Data Protection Act, as well as the policy development of departments and offices in the central administration. The Policy applies to all processing of personal data by the City, including activities on the City's councils and committees, as well as those activities where third parties have been entrusted with carrying out tasks on behalf of the City.

This Policy shall also be introduced to those who collaborate with the City before they are tasked with the processing of personal data. The City attaches particular importance to the processing of personal data in a lawful, fair and transparent manner and that the City complies fully with its obligations as data controller.

Handling of Personal Data

The City of Reykjavik (“City”) strives to ensure, in every respect, the reliability, confidentiality and security of all personal data processed by the City. Therefore, the City has adopted the following Privacy Policy, in accordance with the provisions of Act No. 90/2018 on Data Protection and the Processing of Personal Data (“Data Protection Act”).

With this Policy, the City emphasizes the importance of ensuring that all processing of personal data within the municipality is carried out in accordance with the provisions of the Data Protection Act, as well as the policy development of departments and offices in the central administration. The Policy applies to all processing of personal data by the City, including activities on the City's councils and committees, as well as those activities where third parties have been entrusted with carrying out tasks on behalf of the City.

This Policy shall also be introduced to those who collaborate with the City before they are tasked with the processing of personal data. The City attaches particular importance to the processing of personal data in a lawful, fair and transparent manner and that the City complies fully with its obligations as data controller.

Processing of Personal Data

Any type of information that may be used to personally identify data subjects, directly or indirectly, is considered to be personal data. When processing anonymized data, care shall always be taken that it cannot be attributed to the data subject, should it be made public.

Processing of personal data includes any use and processing of personal data, such as collection, recording, retention and destruction. Any processing of personal data shall be carried out lawfully and for explicit purposes. Care shall be taken that personal data is not processed further in a manner that is incompatible with the original purpose of the processing, and that the processing of personal data does not go beyond what is necessary to achieve the objective pursued.

In order to ensure that personal data is processed in accordance with the principles of data protection law, the City offers employees the option of regular education and training with the aim of creating a general and sound knowledge of the principles of data protection law, and how the security of personal data within the City as a workplace and as a service provider may be ensured. The City is also committed to developing central procedural rules for the handling and processing of personal data, as well as other documents related to privacy and data protection. Such rules shall then be communicated to staff to the extent necessary, taking the nature of their duties into account.

Collection of Personal Data and Purpose of Processing

In carrying out its statutory and legitimate tasks, the City must collect personal data about residents and other recipients of services, the City’s employees, persons residing outside Reykjavik who communicate with the municipality, as well as about other contacts of customers, suppliers, contractors, consultants, institutions and other legal entities with which the City has established contractual relationships.

The collection of personal data shall nonetheless be limited to the information necessary and appropriate for the purpose of each processing activity. Thus, different categories of personal data are collected about different groups of individuals and the processing and collection of personal data depends on the nature of the role, communication and, as applicable, of the business relationship that exists between the City and the data subjects. However, the City may collect more extensive information about the City’s residents, employees and recipients of services than others who interact with the City, depending on the nature of the tasks. Even so, the collection of this information shall never exceed what is considered necessary and appropriate for the purpose of the processing.

The City primarily processes personal data to carry out its statutory and legally permitted tasks. The City may also process personal data in connection with statistical, historical or scientific research. When processing information about suppliers and others who are in contact with the City in order to purchase products or services, this processing takes place for the purpose of fulfilling the contract in question. In some cases, personal data is processed on the basis of consent, i.e. when individuals give their consent or on behalf of others, such as their children, that the City may process personal data for clearly specified purposes.

In addition, the City may need to process personal data to establish, maintain or defend legal claims so that the City may protect its interests before the courts or other administrative authorities, as appropriate. The City will not use the personal data in its possession for any purpose that is incompatible with the initial purpose of the processing, without obtaining consent from the data subjects.

The City will always exercise special care in the processing and retention of sensitive personal data, such as information regarding health, religion, trade union membership and ethnic origin, having regard to the provisions of Articles 3, item 1, and 11 of the Data Protection Act. In general, the City collects personal data directly from the individuals to whom the data relates. In cases where information comes from external parties, the City will seek to inform the data subjects about the processing of personal data, as appropriate. The City takes special care when collecting personal data about children and other persons without legal competence. The City’s guiding principle is to safeguard the personal data of these persons in the school community and in the field of welfare services, including in the use of social media and other information technology.

Sharing of Personal Data with Third Parties

The City may need to share personal data with other parties. Parties providing IT services and other services to the City may access personal data intended for processing by the City in accordance with service agreements and data processing agreements. The City may be required by law to disclose personal data processed by the municipality to third parties.

The City will not transfer personal data outside the European Economic Area unless permitted by law. Data processing agreements to which the City is a party shall include provisions on the retention and storage of personal data. The City will not use personal data for any other purpose, nor disclose it to third parties, except on the basis of a legal authorisation, administrative order, court order, written data processing agreement or consent of the data subject. However, the City reserves the right to disclose anonymized information to third parties for scientific and research purposes as permitted by law.

Retention of Personal Data

The City is an entity subject to an obligation of transfer in accordance with Act No. 77/2014 on Public Archives. This entails that the municipality is prohibited from destroying or disposing of any record that falls within the scope of the Act, except by special authorisation from the National Archivist. In general, personal data processed by the municipality is therefore disclosed to the Reykjavik Municipal Archives after a certain period of time according to the City’s record filing policies. As a rule, records in the City’s possession are handed over to the Municipal Archives after 30 years in accordance with paragraph 1 of Article 15 of the Public Archives Act, whereas electronic records and other materials in electronic form shall be handed over to the Municipal Archives after five years.

Accuracy and Reliability of Personal Data

The City shall take appropriate measures to ensure the reliability and accuracy of the data and information processed on behalf of the City. These measures are intended to protect personal data against accidental loss or alteration and against unauthorised access, copying, use or sharing thereof. If personal data is found to be unreliable, inaccurate or incorrect, the City will seek to correct it within the limits permitted by law and taking the purpose of the processing into account.

Security of Personal Data

The City protects the security of personal data through appropriate technical and organisational measures to ensure the security of personal data, inter alia with the aim of preventing human error, theft, fraud or other misuse of information. The City emphasises that access to information shall be limited to those employees who require such access to achieve the purpose of the processing. Reykjavik City staff is also informed of their obligation to maintain confidentiality and to ensure the security of personal information when they are engaged.

Rights of Data Subjects

The City takes appropriate measures to enable data subjects to exercise their right of information as well as their right of access to personal data during all processing of personal data by the City. Data subjects shall be able to object to the collection of personal data by the City, if applicable. Data subjects shall be able to request information on the processing of personal data relating to them, provided that the interests of others are not prejudiced by such a request. If a data subject’s request can be complied with, it shall be processed as soon as possible and generally no later than one month after receipt of such request. Data subjects also have the right to request that inaccurate, misleading or incomplete personal data relating to them be corrected, blocked from use or erased, as allowed by Act No 77/2014 on Public Archives.

Complaints, Requests, and Suggestions

Inquiries regarding the processing of personal data may be addressed to the City by contacting its Data Protection Officer (personuverndarfulltrui@reykjavik.is). You can also contact the service center by sending an email to upplysingar@reykjavik.is or by following the communication links on the City’s website (“Contact us” or “Online Chat”). In addition, you can call Customer Service at 411-1111.

The City of Reykjavik shall respond to issues raised by residents and service users as soon as possible in writing in accordance with the diligent administrative practices and laws applicable to the City's operations.

Safety tips, e.g. for weaknesses or safety deficiencies at the City of Reykjavik, can also be directed to the Reykjavik City IT Department by sending an email to utr@reykjavik.is.

Version

This Privacy Policy was approved by the City Council on 19 March 2019 and is effective from that date until a new Privacy Policy comes into effect.

Meðferð persónuupplýsinga

Reykjavíkurborg hefur það að markmiði að tryggja í hvívetna áreiðanleika, trúnað og öryggi allra persónuupplýsinga sem unnið er með á vegum borgarinnar. Reykjavíkurborg hefur því sett sér svohljóðandi persónuverndarstefnu, í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (persónuverndarlaga).

Með stefnu þessari leggur Reykjavíkurborg áherslu á mikilvægi þess að gætt sé að því að öll vinnsla persónuupplýsinga innan sveitarfélagsins fari fram í samræmi við ákvæði persónuverndarlaga sem og stefnumótun á vegum fagsviða og skrifstofa í miðlægri stjórnsýslu. Stefnan gildir um sérhverja vinnslu persónuupplýsinga á vegum Reykjavíkurborgar, þar á meðal starfsemi í ráðum og nefndum borgarinnar, svo og þá starfsemi þar sem þriðja aðila hefur verið falið að sinna verkefnum á vegum Reykjavíkurborgar.

Samstarfsaðilum Reykjavíkurborgar skal jafnframt kynnt stefna þessi áður en þeim er falin vinnsla persónuupplýsinga. Reykjavíkurborg leggur sérstaka áherslu á að vinnsla persónuupplýsinga fari fram með lögmætum, sanngjörnum og gagnsæjum hætti og skyldur Reykjavíkurborgar sem ábyrgðaraðila séu virtar í hvívetna.

Vinnsla persónuupplýsinga

Til persónuupplýsinga teljast hvers kyns upplýsingar sem nota má til að persónugreina skráða einstaklinga beint eða óbeint. Við vinnslu upplýsinga sem gerðar hafa verið ópersónugreinanlegar skal þess ávallt gætt að þær séu ekki þess eðlis að unnt sé að rekja þær til skráðra einstaklinga, verði þær gerðar opinberar.

Til vinnslu persónuupplýsinga telst öll notkun og meðferð persónuupplýsinga, svo sem söfnun, skráning,varðveisla og eyðing. Öll vinnsla persónuupplýsinga skal fara fram með lögmætum hætti í skýrum tilgangi. Gætt skal að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar og ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að.

Til þess að tryggja að unnið sé með persónuupplýsingar í samræmi við meginreglur persónuverndarlaga gefur Reykjavíkurborg starfsfólki kost á reglulegri fræðslu og þjálfun í því skyni að skapa almenna og góða þekkingu á meginreglum persónuverndarlaga og hvernig gætt skuli öryggis persónuupplýsinga á vettvangi Reykjavíkurborgar sem vinnustaðar og sem veitanda þjónustu. Reykjavíkurborg einsetur sér jafnframt að móta miðlægar verklagsreglur um meðferð og vinnslu persónuupplýsinga sem og annarra skjala sem varða persónuvernd og verndun gagna. Þá sé slíkum reglum miðlað til starfsfólks eftir því sem þurfa þykir með hliðsjón af eðli starfa.

Söfnun persónuupplýsinga og tilgangur vinnslu

Við framkvæmd lögbundinna og lögmætra verkefna þarf Reykjavíkurborg að safna persónugreinanlegum upplýsingum um íbúa og aðra skjólstæðinga, starfsfólk Reykjavíkurborgar, einstaklinga sem búsettir eru utan Reykjavíkur en eiga samskipti við sveitarfélagið, sem og um aðra
tengiliði viðskiptavina, birgja, verktaka, ráðgjafa, stofnana og annarra lögaðila sem Reykjavíkurborg hefur stofnað til samningssambands við.

Söfnun persónuupplýsinga skal þó einskorðast við þær upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi vinnslu hverju sinni. Þannig er ólíkum persónuupplýsingum safnað um ólíka hópa einstaklinga og fer vinnsla og söfnun persónuupplýsinga eftir eðli hlutverks, samskipta og eftir atvikum viðskiptasambands sem er á milli Reykjavíkurborgar og hinna skráðu. Þó kann Reykjavíkurborg að safna umfangsmeiri upplýsingum um íbúa, starfsmenn og þjónustunotendur sveitarfélagsins en aðra sem hafa samskipti við Reykjavíkurborg
með hliðsjón af eðli verkefna. Sú upplýsingasöfnun skal þó aldrei vera umfram það sem telst nauðsynlegt og viðeigandi með hliðsjón af tilgangi vinnslunnar.

Reykjavíkurborg vinnur fyrst og fremst með persónugreinanlegar upplýsingar til að sinna lögbundnum sem og lögheimilum hlutverkum sínum. Þá kann Reykjavíkurborg að vinna með persónugreinanlegar upplýsingar í tengslum við tölfræði-, sagnfræði- eða vísindarannsóknir. Við vinnslu upplýsinga um birgja og aðra sem eiga í viðskiptum við Reykjavíkurborg vegna kaupa á vöru eða þjónustu fer sú vinnsla fram
til að geta efnt samning við viðkomandi. Þá er í sumum tilfellum unnið með persónuupplýsingar  grundvelli samþykkis, þ.e. þegar einstaklingar veita samþykki sitt eða fyrir hönd annarra, svo sem barna sinna, fyrir því að Reykjavíkurborg vinni með persónuupplýsingar í skýrt tilgreindum tilgangi.

Að auki getur Reykjavíkurborg þurft að vinna með persónuupplýsingar til að stofna, hafa uppi eða verja réttarkröfur í því skyni gæta hagsmuna fyrir dómstólum eða öðrum stjórnvöldum eftir því sem við á. Reykjavíkurborg mun ekki nota þær persónuupplýsingar sem hún hefur undir höndum í öðrum ósamrýmanlegum tilgangi en þeim sem upplýsinganna var aflað í í fyrstu, án þess að afla samþykkis frá
hinum skráðu.

Reykjavíkurborg mun ávallt sýna sérstaka aðgát við vinnslu og vörslu viðkvæmra persónuupplýsinga, svo sem upplýsingar um heilsufar, trúarbrögð, aðild að stéttarfélögum og þjóðernislegan uppruna, með hliðsjón af því sem greinir í 3. tölulið 1. mgr. 3. gr. og 11. gr. persónuverndarlaga. Almennt aflar Reykjavíkurborg persónuupplýsinga beint frá þeim einstaklingum sem upplýsingar varða. Í þeim tilfellum þegar upplýsingar koma frá utanaðkomandi aðilum mun Reykjavíkurborgar leitast við að upplýsa hin skráðu um vinnslu persónuupplýsinga, eftir því sem við á. Reykjavíkurborg gætir sérstakrar varúðar við söfnun persónugreinanlegra upplýsinga þegar börn og aðrir ólögráða einstaklingar eiga í hlut. Þá hefur Reykjavíkurborg það að leiðarljósi að gæta öryggis persónuupplýsinga þessara aðila í skólasamfélaginu og á vettvangi velferðarþjónustu, svo sem við notkun samfélagsmiðla og annarrar upplýsingatækni.

Miðlun persónuupplýsinga til utanaðkomandi aðila

Reykjavíkurborg kann að þurfa að miðla persónuupplýsingum til annarra aðila. Þannig geta aðilar sem veita sveitarfélaginu þjónustu á sviði upplýsingatækni og á öðrum sviðum haft aðgang að persónuupplýsingum sem eru til vinnslu af hálfu Reykjavíkurborgar í samræmi við gerða
þjónustusamninga sem og vinnslusamninga. Þá kann Reykjavíkurborg að vera skylt samkvæmt lögum að afhenda þriðja aðila persónuupplýsingar sem unnið er með á vegum sveitarfélagins.

Reykjavíkurborg mun ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt lögum samkvæmt. Kveða skal á um varðveislu og vistun persónuupplýsinga af hálfu þriðja aðila í vinnslusamningum sem Reykjavíkurborg á aðild að. Reykjavíkurborg mun ekki nota persónuupplýsingar í öðrum tilgangi eða afhenda þær þriðja aðila, nema á grundvelli lagaheimildar, stjórnvaldsfyrirmæla, dómsúrskurðar, skriflegs vinnslusamnings eða samþykkis hins skráða. Reykjavíkurborg áskilur sér þó rétt til að afhenda þriðja aðila ópersónugreinanlegar upplýsingar í vísinda- og rannsóknaskyni eftir því sem lög heimila.

Varðveisla persónuupplýsinga

Reykjavík er afhendingarskyldur aðili á grundvelli laga nr. 77/2014 um opinber skjalasöfn. Það þýðir að sveitarfélaginu er óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið laganna, nema með sérstakri heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem sveitarfélagið vinnur því afhentar Borgarskjalasafni að ákveðnum tíma liðnum samkvæmt því sem skjalavistunaráætlanir  Reykjavíkurborgar kveða á um. Almennt eru skjöl í vörslum Reykjavíkurborgar afhent Borgarskjalasafni að 30 árum liðnum í samræmi við 1. mgr. 15. gr. laga um opinber skjalasöfn, en skjöl og önnur gögn á rafrænu formi skulu afhent Borgarskjalasafni þegar þau hafa náð fimm ára aldri.

Nákvæmni og áreiðanleiki persónuupplýsinga

Reykjavíkurborg gerir viðeigandi ráðstafanir til að tryggja áreiðanleika og nákvæmni þeirra gagna og upplýsinga sem unnið er með á vegum Reykjavíkurborgar. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Þyki persónuupplýsingar óáreiðanlegar, ónákvæmar eða rangar, mun Reykjavíkurborg leitast við að leiðrétta þær innan þeirra marka sem lög heimila sem og með hliðsjón af tilgangi vinnslunnar.

Öryggi persónuupplýsinga

Reykjavíkurborg gætir öryggis persónuupplýsinga með viðeigandi tæknilegum og skipulagslegum ráðstöfunum til að tryggja öryggi persónuupplýsinga, meðal annars með það að markmiði að koma í veg fyrir mannleg mistök, þjófnað, svik eða aðra misnotkun á upplýsingum. Reykjavíkurborg leggur áherslu á að takmarka skuli aðgang að upplýsingum við þá starfsmenn sem nauðsynlega þurfa slíkan aðgang til að ná fram tilgangi vinnslunnar. Starfsfólk Reykjavíkurborgar er jafnframt upplýst um skyldu sína til að viðhalda trúnaði og tryggja öryggi persónuupplýsinga við upphaf starfa.

Réttindi skráðra einstaklinga

Reykjavíkurborg gætir þess við alla vinnslu persónuupplýsinga á sínum vegum að viðeigandi ráðstafanir séu gerðar til að hinn skráði geti gætt upplýsingaréttar síns sem og réttar til aðgangs að persónuupplýsingum. Þá skal hinum skráðu standa til boða að andmæla söfnun Reykjavíkurborgar á söfnun persónuupplýsinga ef svo á við. Þá skulu hin skráðu eiga kost á að óska eftir því að fá vitneskju um vinnslu persónuupplýsinga sem þau varða, enda standi hagsmunir annarra því ekki í vegi. Sé unnt að verða við beiðni hinna skráðu skal hún afgreidd eins fljótt og auðið er og almennt eigi síðar en innan eins mánaðar frá móttöku slíkrar beiðni. Hin skráðu eiga einnig rétt á að óska þess að rangar, villandi eða ófullkomnar persónuupplýsingar um sig sæti leiðréttingu, lokað verði fyrir notkun þeirra eða þeim eytt, eftir því sem lög nr. 77/2014 um opinber skjalasöfn heimila.

Kvartanir, beiðnir og ábendingar

Fyrirspurnum vegna vinnslu persónuupplýsinga má koma á framfæri við Reykjavíkurborg með því að hafa samband við persónuverndarfulltrúa (personuverndarfulltrui@reykjavik.is). Jafnframt má hafa samband við þjónustuver með því að senda tölvupóst á upplysingar@reykjavik.is eða nota boðleiðir á heimasíðu Reykjavíkur („Hafa samband“ eða „Netspjall“). Loks er unnt að hringja í þjónustuver í síma 411 1111.

Reykjavíkurborg skal bregðast við erindum íbúa og þjónustunotenda eins fljótt og auðið er með skriflegum hætti í samræmi við vandaða stjórnsýsluhætti og þau lög sem gilda um starfsemi borgarinnar.

Ábendingum vegna öryggismála, t.d. vegna veikleika eða öryggisbrests á vegum Reykjavíkurborgar, má jafnframt beina til upplýsingatæknideildar Reykjavíkurborgar með því að senda tölvupóst á netfangið utr@reykjavik.is.

Útgáfa

Persónuverndarstefna þessi var samþykkt í borgarstjórn 19. mars 2019 og gildir frá þeim degi til þess tíma er ný persónuverndarstefna tekur gildi.