Persónuverndarstefna Akureyrarbæjar

Persónuverndarstefna Akureyrarkaupstaðar

1. gr. Markmið Persónuverndar- og upplýsingaöryggisstefna Akureyrarkaupstaðar (hér eftir Akureyrarbær), er sett í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Stefnan gildir um sérhverja meðferð persónuupplýsinga í skilningi laganna, í allri starfsemi á vegum Akureyrarbæjar, þ.m.t. í meðferð starfsmanna, kjörinna fulltrúa og nefndarmanna á persónuupplýsingum. Með stefnunni vill Akureyrarbær leggja áherslu á mikilvægi persónuverndar við alla vinnslu bæjarins á persónuupplýsingum eins og þær eru skilgreindar í lögum um persónuvernd og vinnslu persónuupplýsinga.

2. gr. Tengiliður/persónuverndarfulltrúi Persónuverndarfulltrúi Akureyrarbæjar er tengiliður vegna erinda sem varða persónuupplýsingar og meðferð þeirra af hálfu sveitarfélagsins, hvort sem um er að ræða fyrirspurnir, ósk um aðgang að slíkum upplýsingum, ósk um breytingar eða eyðingu gagna. Fyrirspurnir geta borist skriflega eða rafrænt. Rafrænar fyrirspurnir skulu berast í gegnum beiðnaform í íbúagátt á heimasíðu Akureyrarbæjar, https://ibuagatt.akureyri.is Skriflegar fyrirspurnir skulu berast til persónuverndarfulltrúa Akureyrarbæjar, Geislagötu 9, 600 Akureyri

3. gr. Gögn og vinnsla þeirra Akureyrarbær viðheldur vinnsluskrá í starfsemi búsetusviðs, bæjarlögmanns, fjársýslusviðs, fjölskyldusviðs, fræðslusviðs, samfélagssviðs, skipulagssviðs, stjórnsýslusviðs, umhverfis- og mannvirkjasviðs og Öldrunarheimila Akureyrar. Vinnsla gagna vegna veittrar þjónustu er skilgreind nánar í vinnsluskrá í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga. Vinnsla gagna er hluti af lögbundinni þjónustu sem sveitarfélög veita og annarri þjónustu sem Akureyrarbær hefur ákveðið að veita og byggir á lögum, upplýstu samþykki skráðra aðila eða öðrum heimildum. Í samræmi við það er vinnsla sviða og stofnana Akureyrarbæjar á persónuupplýsingum samkvæmt meginreglu um gagnsæi og skulu hvers kyns upplýsingar og samskipti, sem tengjast vinnslu þessara persónuupplýsinga, vera aðgengileg og auðskiljanleg skráðum aðila á skýru og einföldu máli.

4. gr. Öryggismál Akureyrarbær hagnýtir sér m.a. upplýsingatækni til að varðveita gögn og miðla þeim á öruggan og hagkvæman hátt. Það auðveldar starfsmönnum að hafa yfirsýn yfir skráningar, utanumhald og vinnslu persónuupplýsinga í starfi sínu og auðveldar skráðum aðilum að óska eftir slíkum upplýsingum. Hlutverk þessarar stefnu er að lýsa skuldbindingu Akureyrarbæjar til að vernda gögn sem sveitarfélagið varðveitir og vinnur með gegn ógnunum, innan frá og utan, vísvitandi og óviljandi. Markmið stjórnunar upplýsingaöryggis er að tryggja vernd gagna og upplýsingakerfis gegn óheimilum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu, tapi eða flutningi.

5. gr. Vinnsla persónuupplýsinga Akureyrarbær býr yfir persónuupplýsingum er tengjast starfsemi sveitarfélagsins og kunna að innihalda viðkvæmar persónugreinanlegar upplýsingar sem ber að vernda sérstaklega. Hagsmunir skráðra aðila, sem tengjast málum er upplýsingarnar varða, gætu skaðast ef upplýsingarnar komast í hendur annarra en lögmætra viðtakenda, eru rangar eða eru ekki aðgengilegar þegar þeirra er þörf. Því leggur Akureyrarbær áherslu á trúnað, réttleika og tiltækileika gagna við vinnslu persónuupplýsinga. Trúnaður. Akureyrarbær tryggir að eingöngu aðilar, sem til þess hafa heimild, hafi aðgang að upplýsingum hjá sveitarfélaginu og búnaði tengdum þeim. Réttleiki gagna. Akureyrarbær tryggir að upplýsingar sem eru skráðar hjá sveitarfélaginu séu réttar og nákvæmar á hverjum tíma. Rangar, villandi, ófullkomnar eða úreltar upplýsingar eru leiðréttar, þeim eytt eða við þær aukið þegar slíkt uppgötvast og haldið uppi reglubundnu eftirliti í þeim tilgangi. Tiltækileiki gagna. Akureyrarbær tryggir að skráðar upplýsingar séu aðgengilegar þeim sem hafa heimild og þurfa að nota þær þegar þeirra er þörf og tryggir einnig að kerfi og gögn sem kunna að eyðileggjast sé hægt að endurreisa með hjálp viðbragsáætlunar og afrita og þau geymd á öruggum stað.

6. gr. Fræðsla til almennings og skráðra aðila Akureyrarbær hefur leiðbeiningar- og upplýsingaskyldu gagnvart almenningi og skráðum aðilum, hvað varðar vinnslu persónuupplýsinga. Akureyrarbær skal hafa upplýsingar um fræðslu til almennings og skráðra aðila á áberandi stað á heimasíðu sinni, á þjónustusíðum og í þjónustuveri. Í fræðslu til almennings skal m.a. koma fram rétturinn til að fá staðfest hvort verið sé að vinna með persónuupplýsingar er varða viðkomandi hjá Akureyrarbæ og ef svo er, réttur til aðgangs að persónuupplýsingum, þ.m.t. upplýsingum um tilgang vinnslu, flokka persónuupplýsinga, viðtakendur eða flokka viðtakenda sem fengið hafa eða munu fá persónuupplýsingarnar í hendur. Einnig hversu lengi fyrirhugað er að varðveita persónuupplýsingar, upplýsingar um uppruna þeirra, réttur til að láta leiðrétta persónuupplýsingar, eyða þeim, takmarka vinnslu eða andmæla vinnslu og upplýsingar um rétt fólkstil að leggja fram kvörtun hjá Persónuvernd. Í fræðslu til skráðra aðila skal koma fram réttur til að leiðrétta persónuupplýsingar, réttur til takmörkunar á persónuupplýsingum, réttur til að andmæla vinnslu, réttur til að flytja eigin gögn, réttur til eyðingar, ef sá réttur er fyrir hendi og réttur til að leggja fram kvörtun hjá Persónuvernd.

7. gr. Heimildir til vinnslu og upplýst samþykki Akureyrarbær skal tryggja að heimild sé fyrir vinnslu persónuupplýsinga. Slík heimild getur verið byggð á lögum, upplýstu samþykki, samningi, vegna brýnna hagsmuna eða annarra lögmætra hagsmuna. Sé vinnsla persónuupplýsinga byggð á samþykki, skal gæta þess að afla upplýsts samþykkis hjá skráðum aðila, sem er gefið af fúsum og frjálsum vilja. Beiðni um samþykki skal sett fram á auðgreinanlegan hátt og á skiljanlegu og aðgengilegu formi og á skýru og einföldu máli. Skráður einstaklingur á rétt á að draga samþykki sitt til baka hvenær sem er. Afturköllun samþykkis skal ekki hafa áhrif á lögmæti vinnslu á grundvelli samþykkis fram að afturkölluninni.

8. gr. Skyldur starfsmanna, kjörinna fulltrúa og nefndarmanna Akureyrarbær stuðlar að virkri öryggisvitund starfsmanna, kjörinna fulltrúa og nefndarmanna, m.a. með fræðslu. Starfsemi Akureyrarbæjar og starfshættir starfsmanna, kjörinna fulltrúa og nefndarmanna skal vera til fyrirmyndar hvað varðar upplýsingaöryggi. Starfsmenn, kjörnir fulltrúar og nefndarmenn sem hafa aðgang að upplýsingaverðmætum og þeir vinnsluaðilar, sem koma að rekstri upplýsingakerfa á vegum Akureyrarbæjar, skulu hafa aðgang að og þekkja til þessarar stefnu. Um þagnarskyldu starfsmanna vísast til 2. mgr. 57. gr. sveitarstjórnarlaga nr. 138/2011. Um þagnarskyldu kjörinna fulltrúa og nefndarmanna vísast til 4. mgr. 28. gr. sveitarstjórnarlaga nr. 138/2011. Viðurlög við persónuverndarbroti gagnvart starfsmönnum geta falist eftir atvikum í skriflegri áminningu eða brottrekstri, ef brot er stórfellt.

9. gr. Lagaheimild og endurskoðun Stefna þessi tekur mið af gildandi lögum og reglugerðum um persónuvernd og meðferð persónuupplýsinga og er í fullu samræmi við reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga og uppfyllir kröfur staðalsins ÍST EN ISO/IEC 27001. Stefna þessi tekur gildi 15. júlí 2018. Stefna þessi skal endurskoðuð eftir því sem tilefni er til eða lög kveða á um.

Samþykkt í bæjarráði 28. júní 2018