Persónuverndar- og upplýsingaöryggisstefna SSH
Samþykkt á 578. fundi stjórnar SSH, hinn 6. maí 2024.
Samtök sveitarfélaga á höfuðborgarsvæðinu (SSH) hafa vernd persónuupplýsinga að leiðarljósi í starfsemi sinni og einsetja sér í því skyni að tryggja áreiðanleika, trúnað og öryggi persónupplýsinga sem samtökin vinna með. SSH hafa á þeim grundvelli sett sér persónuverndar- og upplýsingaöryggisstefnu um alla meðferð persónuupplýsinga á vegum samtakanna. Öll vinnsla persónuupplýsinga hjá SSH skal vera til samræmis við gildandi löggjöf um persónuvernd og vinnslu persónuupplýsinga eins og hún er á hverjum tíma.
I. Gögn sem Samtök sveitarfélaga á höfuðborgarsvæðinu vinna með og vinnsla þeirra
SSH safna og vinna með persónuupplýsingar eftirfarandi aðila:
- Starfsmanna SSH og Svæðisskipulagsnefndar höfuðborgarsvæðisins.
- Framkvæmdastjóra aðildarsveitarfélaga, kjörinna fulltrúa og nefndarmanna í nefndum, stjórnum og ráðum á vegum SSH.
- Símanúmer og kennitölur allra kjörinna fulltrúa og nefndarmanna í sveitarstjórnum á höfuðborgarsvæðinu.
- Umsækjendur um störf hjá SSH.
- Tengiliði viðskiptamanna, birgja, verktaka, ráðgjafa, stofnana og annarra aðila er koma að SSH.
SSH safna og varðveita ýmsar persónuupplýsingar en þó eingöngu upplýsingar sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi og eðli vinnslunnar hverju sinni. Undir tilteknum kringumstæðum safna SSH viðkvæmum persónuupplýsingum, einkum sem tengjast launavinnslu og starfsmannahaldi. Sérstök aðgát skal höfð við vinnslu slíkra upplýsinga.
Vinnsla ofangreindra gagna er hluti af starfsemi SSH og byggir hún á lögum, kjarasamningum eða upplýstu samþykki skráðra aðila. Persónuupplýsingum kann að vera miðlað til þriðja aðila af mismunandi ástæðum. Þannig geta þriðju aðilar sem veita SSH upplýsingatækniþjónustu haft aðgang að persónuupplýsingum, en samtökunum kann einnig að vera skylt samkvæmt lögum að afhenda þriðja aðila persónuupplýsingar.
Vinnsla SSH er unnin eftir meginreglum um gagnsæi og skulu hvers kyns upplýsingar og samskipti sem tengjast vinnslu persónuupplýsinga vera aðgengilegar skráðum aðilum á auðskiljanlegu máli. SSH leggja áherslu á að ekki sé gengið lengra en þörf krefur við vinnslu persónuupplýsinga.
Eingöngu er safnað persónuupplýsingum sem eru nauðsynlegar og viðeigandi með hliðsjón af tilgangi vinnslunnar. SSH leita eftir því að grípa til tæknilegra öryggisráðstafana til að vernda persónuupplýsingar.
II. Öryggismál
SSH hagnýta þjónustu upplýsingatæknifyrirtækja á grundvelli þjónustusamninga og samhliða þeim eru til staðar vinnslusamningar. Vinnslusamningar eru sérstakir samningar um vinnslu persónuupplýsinga á milli vinnsluaðila og ábyrgðaraðila. Vinnsluaðili vinnur einungis eftir skjalfestum fyrirmælum frá ábyrgðaraðila (SSH) og er einnig fjallað um trúnaðarskyldu aðila í vinnslusamningi. Varðveisla og miðlun gagna skal ávallt framkvæmd á öruggan og hagkvæman hátt.
Hlutverk öryggisstefnu SSH er að vernda gögn sem samtökin varðveita og vinna með gegn öryggisógnum. Markmið upplýsingaöryggis er að tryggja og vernda gögn og upplýsingakerfi gegn óheimilum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu, tapi eða flutningi.
SSH vinna persónuupplýsingar er tengjast starfsemi þeirra og kunna að innihalda viðkvæmar persónugreinanlegar upplýsingar sem ber að vernda sérstaklega. Hagsmunir skráðra einstaklinga eru miklir ef upplýsingar komast í hendur rangra aðila og eins ef upplýsingarnar eru rangar eða ekki aðgengilegar þegar þeirra er þörf. SSH setja sér því öryggisstefnu byggða á trúnaði, gagnsæi og aðgengileika gagna.
i. Trúnaður
Samtök sveitarfélaga á höfuðborgarsvæðinu tryggja að eingöngu aðilar sem til þess hafa heimild og þarfir, fái aðgang að upplýsingum og gagnakerfi SSH.
ii. Gagnsæi
Samtök sveitarfélaga á höfuðborgarsvæðinu tryggja að skráðar upplýsingar séu réttar og nákvæmar á hverjum tíma. Rangar, villandi, ófullkomnar eða úreltar upplýsingar skulu leiðréttar, þeim eytt eða við þær aukið og reglubundnu eftirliti framfylgt.
iii. Aðgengileiki gagna
Samtök sveitarfélaga á höfuðborgarsvæðinu tryggja að upplýsingar skráðar hjá SSH séu aðgengilegar þeim sem hafa heimild til. SSH tryggja að upplýsingar séu varðveittar á grundvelli lögbundinnar skilaskyldu.
Öryggisstefna SSH tekur ávallt mið af gildandi lögum og reglugerðum um persónuvernd og meðferð persónuupplýsinga. Öryggisstefnan er í fullu samræmi við reglur Persónuverndar um öryggi persónuupplýsinga.
III. Skyldur starfsmanna Samtaka sveitarfélaga á höfuðborgarsvæðinu
Samtök sveitarfélaga á höfuðborgarsvæðinu stuðla að virkri öryggisvitund starfsmanna með t.d. fræðslu. Starfsemi og starfshættir skuli vera til fyrirmyndar hvað varðar upplýsingaöryggi.
Þeir starfsmenn sem hafa aðgang að gagnakerfi SSH og þeir vinnsluaðilar sem koma að rekstri upplýsingakerfa á vegum SSH, skulu hafa aðgang að og þekkja öryggistefnu SSH. Starfsmenn skrifa undir sérstaka trúnaryfirlýsingu við upphaf starfs. Brot starfsmanna gegn trúnaðarskyldu telst brot á starfsskyldu.
Stefna þessi skal endurskoðuð eftir því sem tilefni og/eða lög kveða á um.
IV. Samskiptaupplýsingar
Heimilisfang: Hamraborg 9, 200 Kópavogi.
Sími: 564-1788
Tölvupóstur: ssh@ssh.is
Heimasíða: www.ssh.is
Tilsjónarmaður persónuverndar er:
Hildigunnur Hafsteinsdóttir lögfræðingur
Sími: 863-9115
Tölvupóstur: hildigunnur@ssh.is
Öllum erindum er varða vinnslu persónuupplýsinga eða upplýsingaöryggis og meðferð þeirra af hálfu SSH skal beint til tilsjónarmanns persónuverndar.