Persónuverndarstefna og lýsing á vinnslu persónuupplýsinga hjá Verkalýðsfélagi Snæfellinga.
Ábyrgðaraðili
Ábyrgðaraðili að vinnslustarfsemi er Verkalýðsfélag Snæfellinga kt. 4701091060. Verkalýðsfélag Snæfellinga ber ábyrgð á söfnun og skráningu persónuupplýsinga og meðferð þeirra upplýsinga í starfsemi félagsins. Hægt er að hafa samband við félagið með því að hringja í síma 588-9191, senda tölvupóst á verks(hjá)verks.is.
Tilgangur vinnslu persónuupplýsinga
Verkalýðsfélag Snæfellinga safnar persónuupplýsingum eingöngu til að uppfylla hlutverk sitt skv. lögum, kjarasamningum og samþykktum félagsins.
Tilgangur vinnslu stéttarfélagsins er margbreytilegur en í grundvallaratriðum er hann eftirfarandi:
Mótun kröfugerðar fyrir hönd félagsfólks
Í fyrsta lagi er tilgangur vinnslu stéttarfélagsins mótun kröfugerðar vegna kjarasamninga Verkalýðsfélags Snæfellinga en þá eru m.a. notaðar upplýsingar um laun félagsfólks, sem fengnar eru t.d. með því að skoða upphæðir iðgjalda sem skilað er til félagsins en allar persónugreinanlegar upplýsingar eru aftengdar áður. Gerð kjarasamninga er eitt helsta hlutverk félagsins og þessar upplýsingar eru afar mikilvægar við mótun kröfugerðar f.h. félagsfólks. Byggist sú vinnsla persónuupplýsinga á 6. tl. 9. gr. persónuverndarlaga.
Veita tiltekna þjónustu samkvæmt lögum og reglum félagsins
Í öðru lagi er tilgangur vinnslu stéttarfélagsins að veita félagsfólki Verkalýðsfélags Snæfellinga tiltekna þjónustu í samræmi við hlutverk félagsins eins og það er skilgreint í lögum og starfsreglum félagsins Þessi þjónusta á sér m.a. stað á vegum sjóða félagsins; sjúkrasjóðs, orlofssjóðs, fræðslusjóðs og vinnudeilusjóðs þegar félagsmaðurinn er beðinn um tilteknar upplýsingar til þess að unnt sé að afgreiða mál hans.
Einnig er þjónusta veitt vegna erinda sem félaginu berast frá félagsfólki vegna kjaramála eða til þess að tryggja að atvinnurekendur og starfsmenn þeirra fari að gildandi lögum og kjarasamningum. Slík kjaramál styðjast að meginstefnu við upplýsingar sem félagsmaðurinn er beðinn um að afhenda svo unnt sé að skoða og afgreiða mál fyrir hann.
Í þessum tilfellum byggist vinnsla persónuupplýsinga fyrst og fremst á samþykki félagsmannsins, sbr. 1. tl. 9. gr. og 1. tl. 1. mgr. 11. gr. persónuverndarlaga og þar að auki eftir atvikum á 2. og 4. tl. 1. mgr. 11. gr. persónuverndarlaga, ef upplýsingarnar teljast viðkvæmar í skilningi laganna.
Fullnusta lagaskyldu
Í sumum tilvikum felst tilgangur vinnslu stéttarfélagsins í fullnustu lagaskyldu. Sem dæmi skal skv. b. lið 1. mgr. 7. gr. laga nr. 97/2002, um atvinnuréttindi útlendinga, umsögn hlutaðeigandi stéttarfélags eða landssambands launafólks liggja fyrir vegna afgreiðslu tímabundins atvinnuleyfis. Í þeim tilvikum sem stéttarfélagið er beðið um að veita umsögn er afstaða til atvinnuleyfis tekin á grundvelli upplýsinga sem félaginu eru veittar og í ákveðnum tilvikum upplýsinga sem félagið aflar frá opinberum aðilum. Einnig má nefna gögn sem vinnustaðaeftirlitsfulltrúi félagsins aflar við vinnustaðaeftirlit skv. lögum nr. 42/2010 um vinnustaðaskírteini og eftirlit á vinnustöðum og samningum sem gerðir eru á grundvelli laganna. Þá byggist vinnslan á 3. tl. 9. gr. persónuverndarlaga og eftir atvikum 2. og 4. tl. 1. mgr. 11. gr. persónuverndarlaga, ef upplýsingarnar teljast viðkvæmar í skilningi laganna.
Tölfræðileg vinnsla
Að auki safnar Verkalýðsfélag Snæfellinga ópersónugreinanlegum upplýsingum á heimasíðu félagsins (vafrakökur) s.s. upplýsingar sem vafri sendir frá sér og geta falið í sér upplýsingar s.s. hvað er skoðað á heimasíðunni, tíma og dagsetningu heimsóknar, þann tíma sem varið er á þessum síðum og önnur talnagögn. Verkalýðsfélag Snæfellinga áskilur sér rétt til að útbúa ópersónugreinanlegar tölfræðilegar samantektir og aðrar afleiddar upplýsingar sem án alls vafa eru ekki persónugreinanlegar og nota sér þær í starfi félagsins.
Hvaða persónuupplýsingar vinnur félagið og um hverja ?
Skráðir einstaklingar hjá stéttarfélaginu eru félagsfólk þess, þeir sem leita þjónustu hjá félaginu auk þeirra einstaklinga sem veitt er umsögn vegna umsóknar um atvinnuleyfi. Til viðbótar hefur félagið aðgang að upplýsingum úr Þjóðskrá um einstaklinga og fyrirtæki auk upplýsinga um starfsmenn félagsins.
Upplýsingar berast frá félagsfólki sjálfu, frá atvinnurekendum og í þeim tilfellum sem starfsmenn hafa gefið félaginu umboð til að afla upplýsinga; frá t.d. atvinnurekendum, lífeyrissjóðum, fræðslustofnunum, Vinnumálastofnun og sjúkrastofnunum.
Verkalýðsfélag Snæfellinga leggur áherslu á að söfnun persónuupplýsinga gangi ekki lengra en þörf er á hverju sinni til að sinna því hlutverki sem félaginu er ætlað samkvæmt lögum, kjarasamningum og lögum og reglum félagsins. Félagið þarf hins vegar að vinna ákveðnar persónuupplýsingar til að uppfylla hlutverk sitt en þær helstu eru taldar upp hér á eftir.
Iðgjaldasaga
Verkalýðsfélag Snæfellinga hefur aðgang að iðgjaldasögu félagsmanns hjá félaginu og þar með upplýsingar um launakjör hans hjá atvinnurekanda, eða hvort annar aðili, t.a.m. Fæðingarorlofssjóður eða Greiðslustofa atvinnuleysisbóta, hafi greitt af félagsmanni til stéttarfélagsins.
Aðstoð vegna kjaramála
Verkalýðsfélag Snæfellinga skráir upplýsingar um hvort félagsmaður hefur leitað aðstoðar félagsins vegna ágreinings um kjaramál, t.d. vegna vangoldinna launa eða uppsagnar. Í þeim málum er iðulega beðið um launaseðla, ráðningarsamninga, bankayfirlit, staðgreiðsluyfirlit Ríkisskattstjóra, húsaleigusamninga, tímaskriftir og fleiri upplýsingar eftir atvikum. Félagsmaðurinn sækir viðkomandi upplýsingar sjálfur og afhendir stéttarfélaginu eða veitir félaginu umboð, sé óskað aðstoðar félagsins við gagnaöflun.
Umsóknir í sjóði félagsins
Hjá Verkalýðsfélagi Snæfellinga eru til staðar upplýsingar um hvort félagsmaður hafi sótt um styrki í sjóði félagsins, sjúkrasjóð, orlofssjóð, vinnudeilusjóð eða fræðslusjóði. Verkalýðsfélag Snæfellinga geymir upplýsingar um hvaða styrk er sótt um, greiðslukvittanir og upphæð. Einnig geymir félagið upplýsingar um hvort að félagsmaður hafi sótt um sjúkradagpeninga í sjúkrasjóð félagsins vegna veikinda eða annarra aðstæðna, upphæð dagpeninga auk allra gagna sem slíkri umsókn fylgja t.d. læknisvottorð, fæðingar- eða dánarvottorð, sjúkradagpeningavottorð og vottorð atvinnurekanda um veikindadaga starfsmanns. Þá eru upplýsingar úr félagsskrá um greiðslu iðgjalda til félagsins nýttar til þess að staðreyna réttinn og eftir atvikum fjárhæð réttinda í samræmi við reglur sjóða félagsins.
Einnig eru skráðar upplýsingar um hvort félagsmaður hefur keypt afsláttarmiða, leigt orlofshús eða nýtt önnur hlunnindi hjá félaginu. Jafnframt er skráð ef félagsmaður er settur á bannlista vegna slæmrar umgengni um orlofshús stéttarfélagsins.
Upplýsingar úr Þjóðskrá
Félagið hefur aðgang að upplýsingum í Þjóðskrá um félagsfólk. Þar með taldar eru lögheimili, hjúskaparstaða, þjóðerni og kennitala.
Félagaskrá
Í félagaskrá eru til viðbótar tengiliðaupplýsingar félagsfólks, s.s. nafn, kennitala, netfang, símanúmer, þjóðerni og heimilisfang félagsfólks og aðrar þær upplýsingar sem hafa verið veittar Verkalýðsfélagi Snæfellinga s.s. þegar sótt er um styrki, orlofshús eða aðra þjónustu hjá félaginu. Upplýsingar í félagaskrá eru einungis nýttar í þágu félagsins, s.s. við gerð kjarakönnunar fyrir kjarasamninga, rafrænna kosninga og fleira þessháttar.
Félagsfólk getur afþakkað að tengiliðaupplýsingar séu nýttar til þess að haft sé samband við það í þágu félagsins t.d. vegna kjarakannana með því að senda tölvupóst þess efnis á netfangið verks(hjá)verks.is
Eyðing persónuupplýsinga
Meginregla í starfsemi Verkalýðsfélags Snæfellinga er að varðveita persónuupplýsingar ekki lengur en nauðsyn krefur til að sinna hlutverki félagsins nema til staðar sé skylda samkvæmt lögum eða samningi til að geyma gögn lengur.
Upplýsingar eru ekki afhentar þriðja aðila nema félagsmaður hafi óskað eftir því skriflega og veitt heimild til þess með skriflegu umboði, heimild sé til þess í lögum, eða þess krafist með dómsúrskurði.
Hinn skráði á rétt á að stéttarfélagið eyði persónuupplýsingum um sig án ótilhlýðilegrar tafar ef ein eftirtalinna ástæðna á við:
a. Persónuupplýsingarnar eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra eða annarri vinnslu þeirra.
b. Hinn skráði dregur til baka samþykkið sem vinnslan byggist á engin annar lagagrundvöllur er til staðar fyrir vinnslunni.
c. Hinn skráði andmælir vinnslunni í samræmi við persónuverndarlög og ekki eru fyrir hendi lögmætar ástæður fyrir vinnslunni sem ganga framar.
d. Eyða þarf persónuupplýsingunum til að uppfylla lagaskyldu sem hvílir á stéttarfélaginu skv. lögum.
Trúnaður og þagnarskylda starfsmanna félagsins
Starfsfólk félagsins er upplýst um lög og reglur varðandi persónuvernd og öryggi persónuupplýsinga og hvernig framfylgja skal lögum og reglum um persónuvernd.
Allir starfsmenn eru bundnir þagnarskyldu og helst hún þótt látið sé af störfum. Við undirritun ráðningarsamnings skrifa allir starfsmenn undir yfirlýsingu um þagnarskyldu. Starfsmenn skulu gæta fyllsta hlutleysis í starfi sínu hjá félaginu og mega ekki taka að sér aukastörf sem geta á einhvern hátt stefnt trúnaði viðkomandi gagnvart störfum þeirra í hættu.
Til að tryggja að starfsmenn Verkalýðsfélags Snæfellinga sýni rétta breytni í störfum sínum hefur félagið sett sér starfs- og siðareglur sem gilda fyrir félagslega kjörna aðila og alla starfsmenn. Starfs- og siðareglurnar eru lagðar til grundvallar í samskiptum við félagsfólk og viðskiptavini.
Almenn lýsing á tæknilegum og skipulagslegum öryggisráðstöfunum
Hér á eftir fer fram lýsing á þeim öryggisráðstöfunum sem stéttarfélagið hefur gripið til til þess að tryggja öryggi persónuupplýsinga, t.d. notkun gerviauðkenna og dulkóðunar, sbr. 27. gr. persónuverndarlaga.
- Verkalýðsfélag Snæfellinga leggur mikið upp úr því að tryggja öryggi persónuupplýsinga félagsmanna.
- Verkalýðsfélag Snæfellinga sér til þess að farið sé með allar persónuupplýsingar í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
- Verkalýðsfélag Snæfellinga leggur áherslu á að söfnun persónuupplýsinga gangi ekki lengra en þörf er á hverju sinni til að sinna því hlutverki sem félaginu er ætlað samkvæmt lögum, kjarasamningum og lögum og reglum félagsins.
- Stefna Verkalýðsfélags Snæfellinga er að geyma og vinna með eins lítið af persónugreinanlegum upplýsingum og mögulegt er til að geta veitt þá þjónustu sem félaginu ber að veita félagsfólki.
- Meginregla í starfsemi Verkalýðsfélags Snæfellinga er að varðveita persónuupplýsingar ekki lengur en nauðsyn krefur til að sinna hlutverki félagsins nema til staðar sé skylda samkvæmt lögum eða samningi til að geyma gögn lengur.
- Verkalýðsfélag Snæfellinga ábyrgist að nýta sér ekki upplýsingar um félagsfólk í öðrum tilgangi en samkvæmt hlutverki félagsins eða á óábyrgan, óöruggan eða ólöglegan hátt.
- Verkalýðsfélag Snæfellinga tryggir að starfsmenn félagsins hafi fengið viðeigandi fræðslu um meðferð persónuupplýsinga, hvað viðkvæmar persónupplýsingar eru og hvernig gögn skulu vistuð.
- Upplýsingar félagsmanna 18 ára og eldri eru ekki veittar foreldrum félagsmanna.
- Aðgang að orlofsvef er aðeins hægt að sækja með rafrænum skilríkum.
- Í gangi er heildarendurskoðun á húsnæði Verkalýðsfélags Snæfellinga þannig að tryggt verði að gengið sé um vinnurými með þeim hætti að persónupplýsingar séu ekki aðgengilegar öðrum en þeim sem vinnur með þær og starfsmenn hafi aðgang að læstum hirslum til vistunar viðkvæmra upplýsinga.
- Viðkvæmum upplýsingum hefur verið komið fyrir á sér drifum með aðgangsstýringu. Stefnt er að því að aðgengi að upplýsingum verði takmarkað þannig að starfsmenn hafi einungis aðgang að upplýsingum sem eru nauðsynlegar starfa þeirra vegna.
- Félagakerfi Verkalýðsfélags Snæfellinga og upplýsingum um umsóknir í sjóði félagsins er aðgangsstýrt til þess að tryggja ítrustu persónuvernd skráðra einstaklinga. Einungis þeir starfsmenn, sem þurfa nauðsynlega aðgang að tilteknum upplýsingum um skráðan einstakling vegna vinnu starfsmannsins f.h. stéttarfélagsins, hafa aðgang að viðkomandi upplýsingum.
Öryggisbrestur hjá Verkalýðsfélagi Snæfellinga
Verkalýðsfélag Snæfellinga er lögum samkvæmt skuldbundin til að tilkynna án ótilhlýðilegrar tafar ef upp kemur öryggisbrestur er varðar persónuupplýsingar og hefur í för með sér mikla áhættu fyrir einstakling. Með öryggisbresti er átt við brot á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
Athygli er vakin á því að einstaklingur ber ábyrgð á persónuupplýsingum, t.d. nafni, kennitölu og mynd, sem hann/hún kýst að deila á almennum vettvangi t.d. í gegnum facebook síðu Verkalýðsfélags Snæfellinga.
Persónuverndarfulltrúi
Persónuverndarfulltrúi félagsins er Fjóla Pétursdóttir, lögfræðingur. Hægt er að ná sambandi við persónuverndarfulltrúa með því að senda tölvupóst á verks(hjá)verks.is merkt „Persónuverndarfulltrúi“.
Persónuverndarfulltrúi hefur eftirlit með því að farið sé eftir ákvæðum laga og reglna um persónuvernd og vinnslu persónuupplýsinga. Persónuverndarfulltrúi tekur á móti fyrirspurnum frá einstaklingum sem verið er að vinna með upplýsingar um hjá félaginu og veitir einstaklingum ráðgjöf vegna persónuverndar. Persónuverndarfulltrúi sinnir þjálfun starfsfólks varðandi persónuverndarreglur, veitir starfsmönnum ráðgjöf á sviði persónuverndar ef álitaefni koma upp, framkvæmir úttektir og leysir ágreining á sviði persónuverndar.
Persónuverndarfulltrúi félagsins er tengiliður við Persónuvernd.
Hverjir hafa aðgang að upplýsingum Verkalýðsfélags Snæfellinga?
Allir einstaklingar eiga rétt á ákveðnum upplýsingum um sjálfa sig sem skráðar eru hjá félaginu. Hægt er að hafa samband við félagið á verks(hjá)verks.is eða skrifstofu félagsins á skrifstofutíma. Framvísa þarf persónuskilríki sem gefið er út af opinberum aðilum þegar gögn eru sótt. Ekki er tekið við beiðnum um aðgang að eigin persónuupplýsingum í bréfapósti, í tölvupósti né í gegnum síma. Þessar ráðstafanir eru nauðsynlegar þar sem tryggja verður að persónuupplýsingar séu aðeins afhentar þeim sem þær varða. Leitast mun verða við að afhenda gögn innan 30 daga frá móttöku beiðninnar.
Ef einstaklingur telur upplýsingar ónákvæmar eða rangar getur hann óskað eftir því að þær séu leiðréttar eða þeim eytt ef ekki er skylda til að varðveita þær lögum samkvæmt. Þá á einstaklingur einnig rétt á að óska eftir upplýsingum um í hvaða tilgangi þær eru notaðar, hvort upplýsingum er miðlað áfram til þriðja aðila og ef svo er til hverra, uppruna upplýsinganna og hversu lengi félagið fyrirhugar að varðveita upplýsingarnar. Einstaklingur getur einnig í ákveðnum tilvikum átt rétt á því að mótmæla vinnslu persónuupplýsinga og óska eftir því að vinnsla þeirra sé takmörkuð.
Við eftirfarandi kringumstæður getur hinn skráði krafist þess að vinnsla persónuupplýsinga sé takmörkuð:
a. Þegar hinn skráði vefengir að persónuupplýsingar séu réttar, skal takmarka vinnslu þeirra þangað til ábyrgðaraðilinn hefur fengið tækifæri til að staðfesta að þær séu réttar.
b. Þegar vinnsla er ólögmæt og hinn skráði andmælir því að persónuupplýsingunum sé eytt og fer fram á takmarkaða notkun þeirra í staðinn.
c. Þegar stéttarfélagið þarf ekki lengur á persónuupplýsingunum að halda fyrir vinnsluna en hinn skráði þarfnast þeirra til þess að stofna, hafa uppi eða verja réttarkröfur,
d. Þegar hinn skráði andmælir vinnslu skal takmarka hana á meðan beðið er sannprófunar á því hvort hagsmunir stéttarfélagsins gangi framar lögmætum hagsmunum hins skráða.
Eftirlitsaðili
Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd, reglugerða og sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga. Komi upp ágreiningur um meðferð persónuupplýsinga er hægt að senda kvörtun til Persónuverndar með því að senda tölvupóst á netfangið postur(hjá)personuvernd.is Upplýsingar um Persónuvernd er að finna á vef stofnunarinnar, www.personuvernd.is
Uppfært 13. júní 2023