ÁTVR er ábyrgðaraðili að vinnslu persónuupplýsinga sem fram fer af hálfu stofnunarinnar.
ÁTVR hefur það leiðarljós að framfylgja stefnu stjórnvalda um bætta lýðheilsu og samfélagslega ábyrgð í áfengis- og tóbaksmálum í sátt við samfélagið. ÁTVR starfar samkvæmt lögum og reglum sem finna má á heimasíðu ÁTVR.
ÁTVR leggur áherslu á að tryggja að öll vinnsla persónuupplýsinga sé í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga. Markmið persónuverndarstefnunnar er að auðvelda einstaklingum að átta sig á hvaða upplýsingum ÁTVR safnar, hvers vegna og hvað er gert við þær.
Persónuverndarstefnan nær til persónuupplýsinga sem ÁTVR er ábyrgðaraðili fyrir vinnslu á, einkum þær er varða viðskiptavini og starfsfólk ÁTVR.
Stefnan er byggð á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Persónuupplýsingar í skilningi stefnunnar eru hvers kyns upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
ÁTVR hefur tilnefnt persónuverndarfulltrúa. Helstu hlutverk hans eru eftirfarandi:
Fyrirspurnum, athugasemdum og ábendingum sem varða persónuupplýsingar og persónuvernd er unnt að beina á netfangið atvr(hjá)atvr.is
Hvenær og hvernig vinnur ÁTVR með persónuupplýsingar?
ÁTVR skráir og varðveitir upplýsingar sem eru nauðsynlegar hverju sinni og fer það eftir málum og verkefnum sem unnið er með. Í flestum tilfellum fær ÁTVR persónuupplýsingar beint frá hinum skráða, s.s. nafn, heimilisfang, kennitölu, símanúmer, netfang og fleira.
Umfangsmeiri upplýsingum er safnað saman um starfsfólk en aðra. Upplýsingarnar geta bæði verið á pappír eða rafrænar. Sérstök aðgát er höfð við söfnun og vinnslu viðkvæmra persónuupplýsinga, s.s. upplýsinga um heilsufar og samskipti.
Lögð er rík áhersla á að öll vinnsla persónuupplýsinga sé í samræmi við meginreglur um vinnslu persónuupplýsinga.
Hjá ÁTVR verða til persónuupplýsingar
-
Þegar viðskiptavinur pantar vöru
-
Vegna umsóknar um starf
-
Umsækjandi um starf vísar á viðkomandi sem meðmælanda
-
Þegar átt er í samskiptum við fyrirtæki eða stofnun sem viðkomandi starfar fyrir, þar sem persónuupplýsingar hafa verið gefnar upp
-
Ef fengnar eru nauðsynlegar persónuupplýsingar frá öðrum stofnunum eða fyrirtækjum
-
Við rafræna vöktun á starfsstöðvum ÁTVR, í öryggis- og eignavörsluskyni, verða til hljóðlausar myndbandsupptökur.
-
Við skoðun á rafrænum ökuskírteinum til að staðfesta aldur viðskiptavina. Við skönnun skírteinis viðskiptavinar, birtist í kassakerfi andlitsmynd, nafn og fæðingardagur úr ökuskírteinaskrá, sem svara til hins skannaða strikamerkis. Engar greinanlegar persónuupplýsingar eru vistaðar.
Upplýsingar um starfsmenn og umsækjendur um störf
ÁTVR vinnur með persónuupplýsingar um starfsfólk sitt til að geta greitt því laun fyrir störf sín. Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun s.s. tengiliðaupplýsingar, launaflokkur, tímaskráningar, stéttarfélagsaðild, bankaupplýsingar, lífeyrissjóðsupplýsingar.
Þegar sótt er um starf er nauðsynlegt að vinna með persónuupplýsingar við mat umsókna, s.s. tengiliðaupplýsingar, ferilskrá, upplýsingar um menntun, sakavottorð, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur.
Hvernig eru persónuupplýsingar notaðar?
Persónuupplýsingar eru aðeins notaðar í þeim tilgangi sem þeirra var aflað í.
Almennt vinnur starfsfólk ÁTVR ekki með persónuupplýsingar, einungis þegar nauðsyn krefur vegna þeirra verkefna sem það hefur umboð til að sinna. Þess er gætt að vinnsla persónuupplýsinga sé ávallt í samræmi við ákvæði laga og reglugerða um persónuvernd.
Hversu lengi varðveitir ÁTVR persónuupplýsingar?
ÁTVR er skilaskyldur aðili samkvæmt lögum nr. 77/2014 um opinber skjalasöfn og er þar af leiðandi óheimilt að eyða skjölum og gögnum sem stofnuninni berast eða verða til hjá henni, nema að fengnu leyfi Þjóðskjalasafns Íslands. Í skilaskyldu felst jafnframt að öllum skjölum og gögnum sem berast ÁTVR eða verða til hjá stofnuninni, skal skilað til Þjóðskjalasafns þar sem þau eru geymd til framtíðar.
Undantekning frá þessu eru gögn úr rafrænni vöktun á starfsstöðvum ÁTVR og eyðast þau sjálfkrafa eftir 30 daga að hámarki.
Hvernig er öryggi persónuupplýsinga tryggt?
Ríkar kröfur um öryggi persónuupplýsinga eru gerðar hjá ÁTVR og aðgangur að þeim takmarkaður og aðgangsstýrður. Þannig eru sérstaklega ríkar kröfur gerðar um öryggi húsnæðis og tölvukerfa stofnunarinnar hvað þetta varðar. Sömu kröfur eru gerðar til þeirra þjónustuaðila sem starfa fyrir ÁTVR og eru gerðir vinnslusamningar við viðkomandi aðila.
Öllu starfsfólki ÁTVR er skylt að gæta þagmælsku um atriði sem þeir fá vitneskju um í starfi sínu og leynt skulu fara samkvæmt lögum, fyrirmælum yfirmanna eða eðli málsins. Sú þagnarskylda helst þótt látið sé af starfi. Ákvæði þess efnis er í ráðningarsamningum og vísað þar í lög um réttindi og skyldur starfsmanna ríkisins nr. 70/1996.
Þín réttindi samkvæmt persónuverndarlöggjöfinni
Samkvæmt persónuverndarlöggjöfinni hafa hinir skráðu ákveðin réttindi sem tiltekin eru hér að neðan. Þeir geta haft samband með því að senda tölvubréf á netfangið atvr(hjá)atvr.is og fengið sent eyðublað til að fylla út og óska þannig eftir upplýsingum. ÁTVR verður almennt við beiðnum um upplýsingar að kostnaðarlausu ef einungis er farið fram á eitt afrit, að öðrum kosti gæti verið tekið gjald fyrir kostnaði.
Beiðnum um aðgang að upplýsingum er svarað innan mánaðar frá því að beiðnin barst en hægt er að framlengja frestinn um tvo mánuði sé beiðnin sérstaklega umfangsmikil. Í þeim tilfellum er viðkomandi upplýstur um ástæður tafarinnar.
Nauðsynlegt er að framvísa lögmætum skilríkjum þegar óskað eftir upplýsingum.
Einstaklingur á rétt á að vita hvort unnið sé með persónuupplýsingar um sig og fá aðgang að þeim ef svo er. Réttindi geta þó verið háð takmörkunum sem leiða m.a. af lögum og/eða hagsmunum annarra einstaklinga sem upplýsingarnar varða.
Einstaklingur getur einnig átt rétt á aðgangi að gögnum um sig sjálfan samkvæmt 15. gr. stjórnsýslulaga nr. 37/1993, þar sem fjallað er um rétt aðila máls til aðgangs að málsgögnum, og samkvæmt 14. gr. upplýsingalaga nr. 140/2012. Hér getur verið skörun á milli lagabálka sem meta þarf hverju sinni.
Einstaklingur á rétt á því að fá leiðréttar persónuupplýsingar um sig, sem hann telur rangar. Þó skal tekið fram að með hliðsjón af ákvæðum laga nr. 77/2014 um opinber skjalasöfn, er oft óheimilt að breyta gögnum sem stofnunin býr yfir. Þá kann að vera mögulegt að koma leiðréttingu á framfæri með athugasemd, sem látin er fylgja gögnunum, þegar við á. Einnig er hægt að óska eftir að bæta upplýsingum við þær persónuupplýsingar sem ÁTVR hefur, ef skráður aðili telur þær ófullnægjandi.
Rétturinn til eyðingar eða rétturinn til að gleymast á ekki við um vinnslu persónuupplýsinga hjá ÁTVR, þar sem ÁTVR er bundin að lögum um opinber skjalasöfn til að varðveita allar upplýsingar sem henni berast. Í persónuverndarlögum er sérstaklega tekið fram að réttur til eyðingar persónuupplýsinga og til að gleymast, eigi ekki við þegar lög mæla fyrir um að upplýsingarnar skuli varðveittar. Þannig gildir rétturinn til eyðingar / rétturinn til að gleymast ekki um persónuupplýsingar sem ÁTVR vinnur með.
Einstaklingur á rétt á að biðja um að vinnsla sé takmörkuð í ákveðnum aðstæðum.
Einstaklingur á rétt á að andmæla vinnslu persónuupplýsinga um sig þegar ÁTVR vinnur persónuupplýsingar um hann á grundvelli almannahagsmuna eða við beitingu opinbers valds.
Rétturinn til að flytja eigin gögn á eingöngu við þegar upplýsingar eru unnar á grundvelli samþykkis eða við gerð samnings. ÁTVR starfar á grundvelli laga og byggir því mjög lítinn hluta sinnar vinnslu á persónuupplýsingum eða samþykki eða samningi. Þar af leiðandi er ólíklegt að þessi réttur eigi við um þá vinnslu sem ÁTVR framkvæmir, þar sem hún fer nánast eingöngu fram á grundvelli lagaskyldu eða almannahagsmuna.
Teljir þú að vinnsla ÁTVR á persónuupplýsingum þínum sé ekki í samræmi við gildandi lög og reglur um persónuvernd getur þú sent Persónuvernd kvörtun. Persónuvernd hefur það hlutverk að gæta hagsmuna almennings þannig að mannréttindi séu ekki brotin við meðferð upplýsinga. Stofnunin hefur eftirlit með lögum og reglum um vinnslu persónuupplýsinga.
Einnig er hægt að beina málum sem varða persónuupplýsingar og persónuvernd á netfangið atvr(hjá)atvr.is
Notkun á vafrakökum og stoðþjónustu frá greiningaraðilum á vefsíðu ÁTVR
ÁTVR uppfærir persónuverndarstefnu sína eftir því sem tilefni gefst til, svo sem í samræmi við laga- eða reglugerðarbreytingar eða vegna breytinga á því hvernig unnið er með persónuupplýsingar.
Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið birt á vefsíðu ÁTVR, www.vinbudin.is .
Persónuverndarstefna þessi var yfirfarin og samþykkt af framkvæmdaráði 5. sept. 2023.