Persónuverndarstefna Reykjavíkurborgar

Reykjavíkurborg hefur það að markmiði að tryggja í hvívetna áreiðanleika, trúnað og öryggi allra persónuupplýsinga sem unnið er með á vegum borgarinnar. Reykjavíkurborg hefur því sett sér svohljóðandi persónuverndarstefnu, í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (persónuverndarlaga).

Með stefnu þessari leggur Reykjavíkurborg áherslu á mikilvægi þess að gætt sé að því að öll vinnsla persónuupplýsinga innan sveitarfélagsins fari fram í samræmi við ákvæði persónuverndarlaga sem og stefnumótun á vegum fagsviða og skrifstofa í miðlægri stjórnsýslu. Stefnan gildir um sérhverja vinnslu persónuupplýsinga á vegum Reykjavíkurborgar, þar á meðal starfsemi í ráðum og nefndum borgarinnar, svo og þá starfsemi þar sem þriðja aðila hefur verið falið að sinna verkefnum á vegum Reykjavíkurborgar.

Samstarfsaðilum Reykjavíkurborgar skal jafnframt kynnt stefna þessi áður en þeim er falin vinnsla persónuupplýsinga. Reykjavíkurborg leggur sérstaka áherslu á að vinnsla persónuupplýsinga fari fram með lögmætum, sanngjörnum og gagnsæjum hætti og skyldur Reykjavíkurborgar sem ábyrgðaraðila séu virtar í hvívetna.

Meðferð persónuupplýsinga

Reykjavíkurborg hefur það að markmiði að tryggja í hvívetna áreiðanleika, trúnað og öryggi allra persónuupplýsinga sem unnið er með á vegum borgarinnar. Reykjavíkurborg hefur því sett sér svohljóðandi persónuverndarstefnu, í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (persónuverndarlaga).

Með stefnu þessari leggur Reykjavíkurborg áherslu á mikilvægi þess að gætt sé að því að öll vinnsla persónuupplýsinga innan sveitarfélagsins fari fram í samræmi við ákvæði persónuverndarlaga sem og stefnumótun á vegum fagsviða og skrifstofa í miðlægri stjórnsýslu. Stefnan gildir um sérhverja vinnslu persónuupplýsinga á vegum Reykjavíkurborgar, þar á meðal starfsemi í ráðum og nefndum borgarinnar, svo og þá starfsemi þar sem þriðja aðila hefur verið falið að sinna verkefnum á vegum Reykjavíkurborgar.

Samstarfsaðilum Reykjavíkurborgar skal jafnframt kynnt stefna þessi áður en þeim er falin vinnsla persónuupplýsinga. Reykjavíkurborg leggur sérstaka áherslu á að vinnsla persónuupplýsinga fari fram með lögmætum, sanngjörnum og gagnsæjum hætti og skyldur Reykjavíkurborgar sem ábyrgðaraðila séu virtar í hvívetna.

Vinnsla persónuupplýsinga

Til persónuupplýsinga teljast hvers kyns upplýsingar sem nota má til að persónugreina skráða einstaklinga beint eða óbeint. Við vinnslu upplýsinga sem gerðar hafa verið ópersónugreinanlegar skal þess ávallt gætt að þær séu ekki þess eðlis að unnt sé að rekja þær til skráðra einstaklinga, verði þær gerðar opinberar.

Til vinnslu persónuupplýsinga telst öll notkun og meðferð persónuupplýsinga, svo sem söfnun, skráning,varðveisla og eyðing. Öll vinnsla persónuupplýsinga skal fara fram með lögmætum hætti í skýrum tilgangi. Gætt skal að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar og ekki sé gengið lengra í vinnslu persónuupplýsinga en þörf krefur til að ná því markmiði sem stefnt er að.

Til þess að tryggja að unnið sé með persónuupplýsingar í samræmi við meginreglur persónuverndarlaga gefur Reykjavíkurborg starfsfólki kost á reglulegri fræðslu og þjálfun í því skyni að skapa almenna og góða þekkingu á meginreglum persónuverndarlaga og hvernig gætt skuli öryggis persónuupplýsinga á vettvangi Reykjavíkurborgar sem vinnustaðar og sem veitanda þjónustu. Reykjavíkurborg einsetur sér jafnframt að móta miðlægar verklagsreglur um meðferð og vinnslu persónuupplýsinga sem og annarra skjala sem varða persónuvernd og verndun gagna. Þá sé slíkum reglum miðlað til starfsfólks eftir því sem þurfa þykir með hliðsjón af eðli starfa.

Söfnun persónuupplýsinga og tilgangur vinnslu

Við framkvæmd lögbundinna og lögmætra verkefna þarf Reykjavíkurborg að safna persónugreinanlegum upplýsingum um íbúa og aðra skjólstæðinga, starfsfólk Reykjavíkurborgar, einstaklinga sem búsettir eru utan Reykjavíkur en eiga samskipti við sveitarfélagið, sem og um aðra
tengiliði viðskiptavina, birgja, verktaka, ráðgjafa, stofnana og annarra lögaðila sem Reykjavíkurborg hefur stofnað til samningssambands við.

Söfnun persónuupplýsinga skal þó einskorðast við þær upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi vinnslu hverju sinni. Þannig er ólíkum persónuupplýsingum safnað um ólíka hópa einstaklinga og fer vinnsla og söfnun persónuupplýsinga eftir eðli hlutverks, samskipta og eftir atvikum viðskiptasambands sem er á milli Reykjavíkurborgar og hinna skráðu. Þó kann Reykjavíkurborg að safna umfangsmeiri upplýsingum um íbúa, starfsmenn og þjónustunotendur sveitarfélagsins en aðra sem hafa samskipti við Reykjavíkurborg
með hliðsjón af eðli verkefna. Sú upplýsingasöfnun skal þó aldrei vera umfram það sem telst nauðsynlegt og viðeigandi með hliðsjón af tilgangi vinnslunnar.

Reykjavíkurborg vinnur fyrst og fremst með persónugreinanlegar upplýsingar til að sinna lögbundnum sem og lögheimilum hlutverkum sínum. Þá kann Reykjavíkurborg að vinna með persónugreinanlegar upplýsingar í tengslum við tölfræði-, sagnfræði- eða vísindarannsóknir. Við vinnslu upplýsinga um birgja og aðra sem eiga í viðskiptum við Reykjavíkurborg vegna kaupa á vöru eða þjónustu fer sú vinnsla fram
til að geta efnt samning við viðkomandi. Þá er í sumum tilfellum unnið með persónuupplýsingar  grundvelli samþykkis, þ.e. þegar einstaklingar veita samþykki sitt eða fyrir hönd annarra, svo sem barna sinna, fyrir því að Reykjavíkurborg vinni með persónuupplýsingar í skýrt tilgreindum tilgangi.

Að auki getur Reykjavíkurborg þurft að vinna með persónuupplýsingar til að stofna, hafa uppi eða verja réttarkröfur í því skyni gæta hagsmuna fyrir dómstólum eða öðrum stjórnvöldum eftir því sem við á. Reykjavíkurborg mun ekki nota þær persónuupplýsingar sem hún hefur undir höndum í öðrum ósamrýmanlegum tilgangi en þeim sem upplýsinganna var aflað í í fyrstu, án þess að afla samþykkis frá
hinum skráðu.

Reykjavíkurborg mun ávallt sýna sérstaka aðgát við vinnslu og vörslu viðkvæmra persónuupplýsinga, svo sem upplýsingar um heilsufar, trúarbrögð, aðild að stéttarfélögum og þjóðernislegan uppruna, með hliðsjón af því sem greinir í 3. tölulið 1. mgr. 3. gr. og 11. gr. persónuverndarlaga. Almennt aflar Reykjavíkurborg persónuupplýsinga beint frá þeim einstaklingum sem upplýsingar varða. Í þeim tilfellum þegar upplýsingar koma frá utanaðkomandi aðilum mun Reykjavíkurborgar leitast við að upplýsa hin skráðu um vinnslu persónuupplýsinga, eftir því sem við á. Reykjavíkurborg gætir sérstakrar varúðar við söfnun persónugreinanlegra upplýsinga þegar börn og aðrir ólögráða einstaklingar eiga í hlut. Þá hefur Reykjavíkurborg það að leiðarljósi að gæta öryggis persónuupplýsinga þessara aðila í skólasamfélaginu og á vettvangi velferðarþjónustu, svo sem við notkun samfélagsmiðla og annarrar upplýsingatækni.

Miðlun persónuupplýsinga til utanaðkomandi aðila

Reykjavíkurborg kann að þurfa að miðla persónuupplýsingum til annarra aðila. Þannig geta aðilar sem veita sveitarfélaginu þjónustu á sviði upplýsingatækni og á öðrum sviðum haft aðgang að persónuupplýsingum sem eru til vinnslu af hálfu Reykjavíkurborgar í samræmi við gerða
þjónustusamninga sem og vinnslusamninga. Þá kann Reykjavíkurborg að vera skylt samkvæmt lögum að afhenda þriðja aðila persónuupplýsingar sem unnið er með á vegum sveitarfélagins.

Reykjavíkurborg mun ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt lögum samkvæmt. Kveða skal á um varðveislu og vistun persónuupplýsinga af hálfu þriðja aðila í vinnslusamningum sem Reykjavíkurborg á aðild að. Reykjavíkurborg mun ekki nota persónuupplýsingar í öðrum tilgangi eða afhenda þær þriðja aðila, nema á grundvelli lagaheimildar, stjórnvaldsfyrirmæla, dómsúrskurðar, skriflegs vinnslusamnings eða samþykkis hins skráða. Reykjavíkurborg áskilur sér þó rétt til að afhenda þriðja aðila ópersónugreinanlegar upplýsingar í vísinda- og rannsóknaskyni eftir því sem lög heimila.

Varðveisla persónuupplýsinga

Reykjavík er afhendingarskyldur aðili á grundvelli laga nr. 77/2014 um opinber skjalasöfn. Það þýðir að sveitarfélaginu er óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið laganna, nema með sérstakri heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem sveitarfélagið vinnur því afhentar Borgarskjalasafni að ákveðnum tíma liðnum samkvæmt því sem skjalavistunaráætlanir  Reykjavíkurborgar kveða á um. Almennt eru skjöl í vörslum Reykjavíkurborgar afhent Borgarskjalasafni að 30 árum liðnum í samræmi við 1. mgr. 15. gr. laga um opinber skjalasöfn, en skjöl og önnur gögn á rafrænu formi skulu afhent Borgarskjalasafni þegar þau hafa náð fimm ára aldri.

Nákvæmni og áreiðanleiki persónuupplýsinga

Reykjavíkurborg gerir viðeigandi ráðstafanir til að tryggja áreiðanleika og nákvæmni þeirra gagna og upplýsinga sem unnið er með á vegum Reykjavíkurborgar. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra. Þyki persónuupplýsingar óáreiðanlegar, ónákvæmar eða rangar, mun Reykjavíkurborg leitast við að leiðrétta þær innan þeirra marka sem lög heimila sem og með hliðsjón af tilgangi vinnslunnar.

Öryggi persónuupplýsinga

Reykjavíkurborg gætir öryggis persónuupplýsinga með viðeigandi tæknilegum og skipulagslegum ráðstöfunum til að tryggja öryggi persónuupplýsinga, meðal annars með það að markmiði að koma í veg fyrir mannleg mistök, þjófnað, svik eða aðra misnotkun á upplýsingum. Reykjavíkurborg leggur áherslu á að takmarka skuli aðgang að upplýsingum við þá starfsmenn sem nauðsynlega þurfa slíkan aðgang til að ná fram tilgangi vinnslunnar. Starfsfólk Reykjavíkurborgar er jafnframt upplýst um skyldu sína til að viðhalda trúnaði og tryggja öryggi persónuupplýsinga við upphaf starfa.

Réttindi skráðra einstaklinga

Reykjavíkurborg gætir þess við alla vinnslu persónuupplýsinga á sínum vegum að viðeigandi ráðstafanir séu gerðar til að hinn skráði geti gætt upplýsingaréttar síns sem og réttar til aðgangs að persónuupplýsingum. Þá skal hinum skráðu standa til boða að andmæla söfnun Reykjavíkurborgar á söfnun persónuupplýsinga ef svo á við. Þá skulu hin skráðu eiga kost á að óska eftir því að fá vitneskju um vinnslu persónuupplýsinga sem þau varða, enda standi hagsmunir annarra því ekki í vegi. Sé unnt að verða við beiðni hinna skráðu skal hún afgreidd eins fljótt og auðið er og almennt eigi síðar en innan eins mánaðar frá móttöku slíkrar beiðni. Hin skráðu eiga einnig rétt á að óska þess að rangar, villandi eða ófullkomnar persónuupplýsingar um sig sæti leiðréttingu, lokað verði fyrir notkun þeirra eða þeim eytt, eftir því sem lög nr. 77/2014 um opinber skjalasöfn heimila.

Kvartanir, beiðnir og ábendingar

Fyrirspurnum vegna vinnslu persónuupplýsinga má koma á framfæri við Reykjavíkurborg með því að hafa samband við persónuverndarfulltrúa (personuverndarfulltrui@reykjavik.is). Jafnframt má hafa samband við þjónustuver með því að senda tölvupóst á upplysingar@reykjavik.is eða nota boðleiðir á heimasíðu Reykjavíkur („Hafa samband“ eða „Netspjall“). Loks er unnt að hringja í þjónustuver í síma 411 1111.

Reykjavíkurborg skal bregðast við erindum íbúa og þjónustunotenda eins fljótt og auðið er með skriflegum hætti í samræmi við vandaða stjórnsýsluhætti og þau lög sem gilda um starfsemi borgarinnar.

Ábendingum vegna öryggismála, t.d. vegna veikleika eða öryggisbrests á vegum Reykjavíkurborgar, má jafnframt beina til upplýsingatæknideildar Reykjavíkurborgar með því að senda tölvupóst á netfangið utr@reykjavik.is.

Útgáfa

Persónuverndarstefna þessi var samþykkt í borgarstjórn 19. mars 2019 og gildir frá þeim degi til þess tíma er ný persónuverndarstefna tekur gildi.