UMSS - Persónuverndarstefna

PERSÓNUVERNDARSTEFNA UNGMENNASAMBAND SKAGAFJARÐAR

  1. Almennt

Ungmennasamband Skagafjarðar, kt. 670269-0359, með aðseturs að  Víðigrund 5, 550 Sauðárkróki (hér eftir vísað til sem „UMSS)“ leggur ríka áherslu á að vernda persónuupplýsingar sem unnið er með í starfseminni. Persónuverndarstefnu þessari er ætlað að skýra hvernig við öflum og notum persónuupplýsingar og hvaða réttindi einstaklingar eiga sem skráðir eru hjá UMSS. Persónuverndarstefnan tekur mið af regluverki persónuverndar eins og það er á hverjum tíma.

UMSS leitast við að uppfylla ákvæði og regluverk laga um persónuvernd sem í gildi eru á hverjum tíma.  Persónuverndarstefna þessi er byggð á lögum um persónuvernd og vinnslu persónuupplýsinga, nr.90/2018 (pvl.) og reglugerð Evrópuþingsins og ráðsins (ESB), nr. 2016-679 (rglg.).

UMSS telst vera ábyrgðaraðili í skilningi laganna og ber samkvæmt því ábyrgð á því hvernig persónuupplýsingar eru unnar í starfseminni. Persónuverndarstefnan er aðgengileg á heimasíðu UMSS og var þessi útgáfa samþykkt þann 13. mars 2023.

  1. Meginreglur Persónuverndar

Við höfum ávallt í huga meginreglur persónuréttar við vinnslu persónuupplýsinga. Þessar reglur fela meðal annars í sér að persónuupplýsingar séu:

  • áreiðanlegar og uppfærðar reglulega;
  • unnar með lögmætum, sanngjörnum og gagnsæjum hætti;
  • fengnar í skýrt tilgreindum og málefnalegum tilgangi;
  • unnar af hófsemi og miðast við tilgang söfnunar;
  • varðveittar með öruggum hætti og ekki lengur en þörf er á.

Við leitumst við að öll vinnsla persónuupplýsinga sé viðhöfð með hliðsjón af meginreglunum þannig að tryggja megi réttindi einstaklinga sem best.

  1. Hvaða persónuupplýsingum söfnum við og hvernig ? 

Það er óhjákvæmilegt að ýmsum persónuupplýsingum sé safnað í starfsemi sambandsins um mismunandi hópa einstaklinga. UMSS safnar og vinnur persónuupplýsingar meðal annars um:

  • Starfsumsækjendur
  • Starfsmenn
  • Félagsmenn
  • Iðkendur
  • Keppendur
  • Viðskiptamenn

Eðli og magn upplýsinganna sem safnað er fer eftir því hvaða einstaklinga er um að ræða. Ólíkum upplýsingum er safnað á milli flokka einstaklinga. Dæmi um flokka persónuupplýsinga og upplýsingar sem við vinnum eru:

  • Starfsumsækjendaupplýsingar, svo sem nafn, kennitala, heimilisfang, fyrri störf og menntun, kunnátta og fleiri upplýsingar í tengslum við starfsumsóknir.
  • Starfsmannaupplýsingar, svo sem nafn, kennitala, mynd, lögheimili, sími, netfang, starfsheiti, bankareikningur og fleira. Við kunnum einnig að vinna viðkvæmar persónuupplýsingar um starfsmenn, eins og heilsufarsupplýsingar vegna veikinda og upplýsingar um stéttarfélagsaðild.
  • Félagsmanna- eða iðkenda upplýsingar, svo sem nafn, kennitala, netfang, hlutverk í hreyfingu.
  • Upplýsingar um keppendur, svo sem nafn, kennitala, kyn, íþróttagrein, árangur, heiti móts, tegund móts.
  • Viðskiptamannaupplýsingar, svo sem nafn, netfang, tengsl við fyrirtæki, símanúmer, starfsheiti og samskiptasaga.

Ekki er um tæmandi upptalningu að ræða, en persónuupplýsingarnar sem við vinnum koma venjulega beint frá skráðum einstaklingi. Þær geta þó einnig komið frá þriðja aðila eins og mótakerfi, félagatal o.fl. Við höfum ávallt í huga meginreglur persónuréttar við vinnslu persónuupplýsinga. Þessar reglur fela meðal annars í sér að persónuupplýsingar séu:

  • áreiðanlegar og uppfærðar reglulega;
  • unnar með lögmætum, sanngjörnum og gagnsæjum hætti;
  • fengnar í skýrt tilgreindum og málefnalegum tilgangi;
  • unnar af hófsemi og miðast við tilgang söfnunar;
  • varðveittar með öruggum hætti og ekki lengur en þörf er á;
  • unnar þannig að viðeigandi öryggi persónuupplýsinganna sé tryggt.

Við leitumst við að öll vinnsla persónuupplýsinga sé viðhöfð með hliðsjón af meginreglunum þannig að tryggja megi réttindi einstaklinga sem best.

  1. Hver er grundvöllur og tilgangur vinnslunnar ? 

UMSS vinnur persónuupplýsingar um einstaklinga á grundvelli samþykkis, einkum um félagsmenn og iðkendur sem gerast aðilar að aðildarfélögum UMSS og í markaðstilgangi. 

Þegar við skráum upplýsingar um félagsmenn og iðkendur innan UMSS í Sportabler þá gerum við það á grundvelli lögmætra hagsmuna sem felst einkum í lottógreiðslum tölfræðivinnslu, sögulegs tilgangs að skrá í Sportabler. Upplýsingar eru einnig stundum unnar á grundvelli lögmætra hagsmuna, einkum þegar við skráum upplýsingar í gagnagrunninn Sportabler. Lögmætir hagsmunir okkar felast þá einkum í t.d. tölfræði og sögulegum tilgangi. Í slíkum tilvikum fullvissum við okkur um það að grundvallarréttindi og frelsi skráðra einstaklinga vegur ekki þyngra en okkar hagsmunir af því að vinna upplýsingarnar.

Í sumum tilvikum vinnum við persónuupplýsingar einstaklinga á grundvelli samningssambands. Það á við einkum um starfsumsækjendur, starfsmenn, viðskiptamenn, birgja og verktaka. Það getur einnig verið í þeim tilgangi að koma slíku samningssambandi á. Við kunnum einnig að vinna persónuupplýsingar um félagsmanna á grundvelli samnings.

Þá fer vinnsla fram til að uppfylla lagaskyldu sem hvílir á okkur, svo sem í tengslum við útgreiðslu launatengdra gjalda, samkvæmt vinnuréttarlöggjöf eða á grundvelli [jafnréttislaga], svo sem þegar við skráum upplýsingar um kyn félagsmanna

Viðkvæmar persónuupplýsingar eru einkum unnar um starfsmenn og keppendur  á grundvelli samnings, lagaskyldu Í þeim tilvikum höfum við gert viðeigandi verndarráðstafanir í samræmi við gerðar kröfur.

  1. Miðlun

Almennt miðlum við ekki persónuupplýsingum einstaklinga sem eru skráðir hjá okkur. UMSS [Nafn] kann þó að miðla persónuupplýsingum til þriðja aðila við ákveðnar aðstæður. Til dæmis getur verið um að ræða þjónustuaðila eða verktaka sem veita ákveðna þjónustu, eins og ÍSÍ, UMFÍ, Greiðslumiðlun og sveitarfélagið Skagafjörð. Einnig getur verið um að ræða þjónustuaðila eða verktaka sem veita ákveðna þjónustu eins og t.d. tímatöku, upplýsingatækni og ljósmyndun. Þegar þessar aðstæður koma upp þá getur  verið nauðsynlegt að veita slíkum aðila aðgang að persónuupplýsingum.

Þegar slíkir aðilar hafa aðgang að persónuupplýsingum vegna eðli þjónustunnar sem um ræðir tryggir UMSS að aðeins séu afhentar persónuupplýsingar sem eru nauðsynlegar og um ábyrga vinnsluaðila sé að ræða sem bjóða upp á þjónustu sem uppfyllir skilyrði persónuverndarlaga, m.a. með tilliti til öryggis persónuupplýsinga.

Einstaklingar skulu athuga það að allt efni sem þeir kjósa að birta eða deila á samfélagsmiðlasíðum sem tengjast UMSS eru opinberar upplýsingar, þar á meðal nafn, mynd og athugasemdir, sem deilt er á slíkum vettvangi. Með því að tengjast UMSS á samfélagsmiðlum lítum við svo á að leyfi sé gefið til að deila upplýsingum sem birtast á þeim vettvangi með veitanda samfélagsmiðlaþjónustunnar. Notkun þeirra upplýsinga tekur mið af persónuverndarstefnu samfélagsmiðilsins sem um ræðir og hvetjum við einstaklinga til að kynna sér það.

  1. Öryggi

Mikið er lagt upp úr öryggi persónuupplýsinga hjá UMSS og hefur verið gripið til viðeigandi tæknilegra og skipulagslegra ráðstafana til að vernda persónuupplýsingar, með hliðsjón af eðli og umfangi þeirrar vinnslu sem um ræðir. Meðal annars með innleiðingu ferla og verklags, sem og tæknilegar öryggisráðstafana, sem taka tillit til eðli upplýsinganna sem um ræðir og áhættu fyrir skráða einstaklinga.

Verði öryggisbrestur sem varðar persónuupplýsingar og hefur í för með sér áhættu fyrir skráða einstaklinga mun UMSS tilkynna slíkt án ótilhlýðilegra tafa til Persónuverndar. Í ákveðnum tilfellum ber UMSS einnig að tilkynna skráðum einstaklingum um öryggisbresti. UMSS hefur komið sér upp verkferlum til að bregðast við slíkum aðstæðum.  

  1. Vaðveisla

UMSS geymir persónuupplýsingar í þann tíma sem nauðsynlegt er til að uppfylla tilgang vinnslunnar sem um ræðir nema lengri geymslutíma sé krafist eða hann leyfður samkvæmt lögum.  Lög sem okkur bera að fylgja eru t.d. lög um bókhald sem kveða á um 7 ára geymslutíma gagna. Að þeim tíma liðnum er upplýsingunum eytt.

Sé möguleiki á því að þörf verði fyrir persónuupplýsingar síðar til að uppfylla lagaskyldu eða vegna lögmætra hagsmuna, mun UMSS varðveita þær persónuupplýsingar með eins öruggum hætti og nauðsyn ber til.

  1. Réttindi einstaklinga

Einstaklingar geta óskað eftir upplýsingum um vinnslur UMSS og einnig geta þeir óskað eftir því að nýta önnur réttindi með því að senda skriflega fyrirspurn á netfangið: umss@umss.is Dæmi um réttindi einstaklinga eru:

  • aðgangur að skráðum persónuupplýsingum
  • afrit af persónuupplýsingum, réttur til leiðréttingar persónuupplýsinga og eyðingar
  • mótmæla vinnslu og/eða takmarka vinnslu 
  • draga til baka samþykki fyrir vinnslu
  • óska eftir því að persónuupplýsingar séu fluttar til annars aðila 

Einstaklingar kunna að eiga frekari réttindi í tengslum við vinnslu UMSS á persónuupplýsingum. Þá kann framangreint að vera háð takmörkunum sem leiða meðal annars af lögum eða lögmætum hagsmunum UMSS.  Við munum óska eftir staðfestingu á auðkenni þeirra einstaklinga sem virkja réttindi sín, svo sem með ökuskírteini eða vegabréfi, til þessa að tryggja það að upplýsingarnar berist ekki í hendur óviðkomandi aðila.

  1. Vafrakökur (e. Cookies)

Vafrakökur (e. cookies) eru textaskrár sem hlaðast inn í vafra þegar notendur fara inn á vefsvæði. Vafrakökur gera vefsvæðum kleift að greina á milli notenda og hvernig þeir nota vefsvæði.

UMSS notar vafrakökur til að mæla heimsóknir á vefsíðuna sína. Umferð á vefinn er svo mæld og greind með Google Analytics. Skráður er tími og dagsetning heimsókna á vefinn niður á IP tölur, frá hvaða vefsíðu heimsóknir koma, tegund vafra og stýrikerfis, og hvaða leitarorð notendur nota til að komast á vefinn, sem og til að finna efni innan hans.

Vafrakökur eru notaðar til að bæta viðmót og notendaupplifun á vefsíðum UMSS. Einnig til að muna mikilvægar upplýsingar frá fyrri heimsóknum notenda. Upplýsingar sem vafrakökurnar safna, eru geymdar í 30 dagar og eyddar að þeim tíma loknum.

Takmarka má notkun vafrakakna í vöfrum og eyða þeim. Það er ólíkt eftir vöfrum hvernig ferlið er en leiðbeiningar má finna í hjálparvalmöguleikum vafra.

  1. Samskipti við UMSS og Persónuvernd

Fyrirspurnum vegna persónuverndarmála UMSS er unnt að beina á netfangið umss@umss.is eða í gegnum síma 453 5460. 

Komi upp ágreiningur um meðferð persónuupplýsinga er unnt að senda kvörtun til Persónuverndar. Upplýsingar um hvernig hafa má samband við Persónuvernd má finna á heimasíðu Persónuverndar: www.personuvernd.is.

  1. Breytingar á Persónuverndarstefnu UMSS

Persónuverndarstefnan er endurskoðuð reglulega og kann því að taka breytingum. Breytingar á stefnunni öðlast gildi við birtingu nýrrar á heimasíðu UMSS sbr.: http://www.umss.is. Þessi útgáfa var samþykkt þann 13.03.2023.