Inngangur
Íslenski söfnuðurinn í Noregi (söfnuðurinn) vinnur með persónugreinanleg gögn um einstaklinga og vistar í upplýsingakerfum sínum. Söfnuðurinn leggur ríka áherslu á að tryggja, með margvíslegum hætti, trúnað, áreiðanleika og örugga og ábyrga meðferð upplýsinga en öll meðferð persónuupplýsinga fylgir gildandi lögum um persónuvernd í Noregi. Söfnuðurinn er ábyrgðaraðili þeirra persónuupplýsinga sem unnar eru á hans vegum.
Almennt
Söfnuðurinn einsetur sér að safna ekki frekari persónuupplýsingum en nauðsyn krefur miðað við tilgang vinnslu. Vinnsla persónuupplýsinga skal fara fram með sanngjörnum, málefnalegum og lögmætum hætti, bæði gagnvart starfsmönnum safnaðarins og öðrum aðilum sem upplýsingar kunna að varða og skal öflun persónuupplýsinga vera í skýrum og málefnalegum tilgangi.
Söfnuðurinn skal halda skrá yfir vinnslu um persónuupplýsingar, sbr. persónuverndarlög og yfirfara verklag í kringum vinnsluaðgerðir með reglubundnum hætti. Gæta skal þess, að þeim sem vinnsla upplýsinga snýr að, sé veitt viðeigandi fræðsla áður en vinnsla hefst. Þá skal þess gætt að upplýsingar séu ekki varðveittar lengur en þörf krefur.
Hvað eru persónuupplýsingar?
Persónuupplýsingar samkvæmt persónuverndarstefnu þessari eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og til dæmis nafn, kennitölu, netauðkenni eða eins eða fleiri þátta sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
Hvaða gögn
Um er að ræða gögn um meðlimi og starfsfólk. Persónuleg gögn er varða meðlimi eru meðal annars:
- Nafn, kennitala, heimilisfang, símanúmer og netfang.
- Upplýsingar um fermingar, skírnir og giftingar einstaklinga.
- Upplýsingar um fjölskylduhagi.
- Myndir.
- Lyfjaupplýsingar og heilsufarsupplýsingar (fermingarbörn, sumar- og unglingabúðir).
- Viðveruskráningar (fermingarbörn).
- Virkni á heimasíðu, vafrakökur. Sjá eigin stefnu hér. (linkur)
Persónuleg gögn er varða starfsfólk eru meðal annars:
- Nafn, kennitala, heimilisfang, símanúmer, netfang og nafn og símanúmer aðstandenda.
- Myndir.
- Heilsufarsupplýsingar.
- Sakavottorð.
- Viðveruskráningar.
- Tölvupóstar.
- Ráðningar- og launasamningar, launaútreikningur.
- Stéttarfélagsaðild.
Heimildir
Söfnuðurinn vistar og vinnur eingöngu með þau gögn sem nauðsynleg eru og heimilt er að vinna með samkvæmt lögum, samningum við aðila eða upplýstu samþykkti einstaklinga og annarra þeirra sem að verkefnum koma.
Hvaðan koma þær upplýsingar sem við vinnum með?
Að langmestu leyti koma upplýsingar sem söfnuðurinn vinnur með frá þjóðskrám Íslands og Noregs og einstaklingnum sjálfum. Í einstaka tilvikum koma upplýsingarnar frá þriðja aðila en þó með samþykki viðkomandi einstaklings. Sem dæmi má nefna lögreglu, heilbrigðisyfirvöld, lækna, skattayfirvöld, stéttarfélög, lífeyrissjóði, aðstandendur o.fl.
Til hvers notum við upplýsingarnar?
Gögn og upplýsingar sem söfnuðurinn geymir í upplýsingakerfum sínum, eru einungis notuð til að söfnuðurinn geti sinnt hlutverki sínu á sem bestan hátt. Íslenski söfnuðurinn í Noregi mun aldrei miðla persónuupplýsingum til utanaðkomandi aðila nema lagaskylda sé til þess.
Geymsla gagna
Söfnuðurinn setur sér starfsreglur um geymslu gagnanna til að koma í veg fyrir eða lágmarka skaða af völdum misnotkunar eða gáleysis. Gögnin eru ávallt vistuð innan EES svæðisins í samræmi við persónuverndarlög. Söfnuðurinn hýsir sýn gögn í skýjaþjónustu hjá Microsoft.
Varnir
Öll gögn og gagnavinnsla er varin þannig að einungis þeir sem heimild hafa til að vinna með gögnin, hafa aðgang að þeim, aðrir geta ekki skoðað gögnin. Þeir starfsmenn sem aðgang hafa að persónuupplýsingum safnaðarins hafa ýmist skrifað undir trúnaðaryfirlýsingu og/eða eru bundnir trúnaði samkvæmt lögum. Lagt er upp úr því að starfsmenn fái reglulega fræðslu um persónuvernd og öryggismál.
Allar aðgangsheimildir að kerfum sem hafa að geyma persónuupplýsingar eru skráðar, þá eru uppflettanir einnig skráðar.
Afritun
Öll gögn hjá söfnuðinum eru afrituð til að tryggja að þau séu ætíð til staðar. Gögn safnaðarins eru hýst innan EES-svæðisins
Áreiðanleiki
Söfnuðurinn leitast ætíð við að tryggja að upplýsingar og gögn séu rétt. Komi í ljós að upplýsingar séu rangt skráðar, eru þær uppfærðar.
Réttur einstaklinga til upplýsinga um vinnslu, aðgangs að eigin persónuupplýsingum, leiðréttingar og eyðingar gagna
Söfnuðurinn veitir öllum einstaklingum sem eftir því óska upplýsingar um og/eða aðgang að gögnum sem hann vinnur um einstaklinginn í samræmi við lög í Noregi. Þá getur einstaklingur einnig að meginreglu fengið leiðréttar rangar upplýsingar sem skráðar hafa verið um hann en vakin er athygli á því að sá réttur getur sætt takmörkunum, s.s. í tilvikum þar sem söfnuðurinn þarf að skila gögnum frá sér til opinberra aðila. Eyðing gagna getur sætt takmörkunum, s.s. vilji einstaklingur láta fjarlægja nafn sitt út sóknarmannatali, en í slíku tilviki gæti viðkomandi ekki tilheyrt söfnuðinum lengur. Þó er leitast við að verða við slíkum beiðnum eins og heimilt er samkvæmt gildandi lögum.
Önnur réttindi einstaklinga
Einstaklingar eiga rétt á að flytja upplýsingar um sig til annars aðila, sé slíkt tæknilega framkvæmanlegt. Undir tilteknum kringumstæðum getur verið fyrir hendi réttur til takmörkunar vinnslu. Einstaklingum er heimilt að andmæla vinnslu persónuupplýsinga og telj þeir vinnslu safnaðarins ekki vera með lögmætum hætti má leita til persónuverndarfulltrúa safnaðarins eða kvarta til Datatilsynet www.datatilsynet.
Skipaður hefur verið persónuverndarfulltrúi sem m.a. tekur við beiðnum einstaklinga og setur þær í farveg þannig að unnt sé að svara einstaklingum innan ásættanlegs frests.
Persónuverndarfulltrúi safnaðarins er Elín Soffía Pilkington meðstjórnandi í stjórn safnaðarins. Skal erindum er snúa að persónuvernd, beint á netfangið personuvernd@kirkjan.no
Öryggisbrestur
Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
Söfnuðurinn leitast ætíð við að tryggja að upplýsingar og gögn séu varðveitt með öruggum hætti en komi upp öryggisbrestur við meðferð persónuupplýsinga þar sem staðfest er eða grunur leikur á um að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Datatilsynet og eftir atvikum einstaklingum sem málið varðar tilkynnt um öryggisbrest nema hann hafi ekki í för með sér mikla áhættu fyrir einstaklinga.
Íslenski söfnuðurinn í Noregi endurskoðar reglulega persónuverndarstefnu sína svo stefna þessi kann að taka breytingum.