Persónuverndarstefna úrskurðarnefndar umhverfis- og auðlindamála

Úrskurðarnefnd umhverfis- og auðlindamála hefur sett sér persónuverndarstefnu, þar sem kveðið er á um hvernig persónuupplýsingar eru unnar og varðveittar, í hvaða tilgangi og hvernig þeim er miðlað og öryggis þeirra gætt.

Persónuverndarstefnan tekur aðeins til einstaklinga.

Persónuupplýsingar eru upplýsingar um persónugreindan eða persónugreinanlegan einstakling.  Sá telst persónugreinanlegur sem tengja má upplýsingar við, svo sem með tilvísun í nafn, kennitölu, netauðkenni eða einn eða fleiri þætti sem teljast til einkenna og aðgreina hann frá öðrum.  Upplýsingar sem eru ópersónugreinanlegar teljast ekki persónuupplýsingar.

Ábyrgðaraðili.

Úrskurðarnefnd umhverfis- og auðlindamála (nefndin) er ábyrgðaraðili að vinnslu persónuupplýsinga sem fram fer af hálfu nefndarinnar. Nefndin er til húsa að Borgartúni 21, Höfðaborg, 105 Reykjavík.

Sími nefndarinnar er 575-8710 og netfang hennar er uua@uua.is.

Persónuverndarfulltrúi.

Nefndin hefur tilnefnt Jón Örn Árnason, lögmann, sem persónuverndarfulltrúa. Netfang persónuverndarfulltrúans er jonorn@law.is. Einnig er unnt að senda bréf til nefndarinnar en þá skal umslagið merkt persónuverndarfulltrúanum.

Tilgangur og heimild til vinnslu persónuupplýsinga.

Úrskurðarnefnd umhverfis- og auðlindamála starfar samkvæmt lögum nr. 130/2011. Nefndin hefur það hlutverk að úrskurða í kærumálum vegna stjórnvaldsákvarðana og ágreiningsmála á sviði umhverfis- og auðlindamála eftir því sem mælt er fyrir um í lögum.

Til þess að sinna lögskipuðum verkefnum sínum er nefndinni nauðsynlegt að vinna með persónuupplýsingar einstaklinga. Verkefni nefndarinnar, sem krefjast vinnslu persónuupplýsinga, byggja því aðallega á lögum. Meðal laga sem nefndin starfar eftir eru:

  • Lög nr. 130/2011, um úrskurðarnefnd umhverfis- og auðlindamála.
  • Skipulagslög nr. 123/2010.
  • Lög nr. 160/2010, um mannvirki.
  • Stjórnsýslulög nr. 37/1993.
  • Lög nr. 105/2006, um umhvefismat áætlana.
  • Lög nr. 106/2000, um mat á umhverfisáhrifum.

Tegundir persónuupplýsinga og vinnsla þeirra.

Nefndin vinnur með persónuupplýsingar eins og:

  • Auðkenni einstaklinga, t.d. nafn og kennitölu.
  • Búsetustað og samskipta upplýsingar, t.d. póstfang, heimilisfang, netfang og símanúmer.
  • Fjárhagslegar upplýsingar, t.d um eignarhald á fasteign.

Vinnsla persónuupplýsinga felur m.a. í sér að nefndin safnar, skráir, geymir, eyðir, afhendir og aðlagar upplýsingar.

Hvaðan berast persónuupplýsingar?

Nefndin fær upplýsingar aðallega frá einstaklingum sjálfum þegar þeir kæra til nefndarinnar. Nefndin aflar persónuupplýsinga frá opinberum aðilum við málsmeðferð vegna kæru, m.a.:

  • Stjórnvaldi sem tók hina kærðu ákvörðun, s.s. sveitarfélögum og ríkisstofnunum
  • Öðrum ríkisstofnunum, s.s. fasteignaskrá Þjóðskrár Íslands.

Til hverra er persónuupplýsingum miðlað?

Nefndin afhendir persónuupplýsingar til annarra stofnanna þegar lög mæla svo fyrir, t.d. þegar kæra er send til umsagnar þess stjórnvalds er tók hina kærðu ákvörðun.

Nefndin birtir úrskurði sína samkvæmt lagaskyldu. Úrskurðir eru birtir á vefsíðu nefndarinnar www.uua.is. Þeir eru nafnhreinsaðir og auðkenni einstaklinga hreinsaðir eftir því sem mögulegt er. Nauðsynlegt þó að fram komi staðsetning fasteignar og annað það sem hefur þýðingu fyrir úrlausn málsins.

Réttindi manna samkvæmt persónuverndarlöggjöf.

  1. Aðgangsréttur

Einstaklingur á rétt á að fá aðgang að og afrit af öllum persónuupplýsingum sem nefndin vinnur um hann. Í sumum tilvikum geta undantekningar frá réttinum átt við, s.s. vegna réttinda annarra sem vega skulu þyngra.

Réttur á aðgangi að gögnum máls getur einnig byggst á stjórnsýslu- eða upplýsingalögum. Aðili máls á rétt á gögnum er mál varða, samkvæmt 15. gr. stjórnsýslulaga nr. 37/1993. Þá er skylt að veita aðila sjálfum aðgang að fyrirliggjandi gögnum ef þau hafa að geyma upplýsingar um hann sjálfan, samkvæmt 14. gr. upplýsingalaga nr. 140/2012.

  1. Réttur til leiðréttingar

Einstaklingur á rétt á því að fá persónuupplýsingar um sig leiðréttar, sem hann telur rangar. Þá getur maður einnig beðið nefndina um að bæta upplýsingum við þær persónuupplýsingar sem stofnunin hefur um mann og hann telur ófullnægjandi.

  1. Réttur til eyðingar / rétturinn til að gleymast

Rétturinn til eyðingar eða rétturinn til að gleymast á ekki við um vinnslu persónuupplýsinga hjá nefndinni þar sem hún er bundin að lögum um opinber skjalasöfn til að varðveita allar upplýsingar sem henni berast. Í persónuverndarlögum er sérstaklega tekið fram að réttur til eyðingar persónuupplýsinga og til að gleymast eigi ekki við þegar lög mæla fyrir um að upplýsingarnar skuli varðveittar.

  1. Kvartanir vegna vinnslu persónuupplýsinga

Einstaklingur getur lagt fram kvörtun til Persónuverndar sem fer með eftirlitshlutverk á sviði persónuverndar, sjá heimasíðu stofnunarinnar: http://www.personuvernd.is/.

 Öryggismál.

Til að tryggja öryggi upplýsinga eru þær varðveittar á tryggum stað og engin óviðkomandi hefur aðgang að þeim. Persónuupplýsingum er eingöngu deilt með þriðja aðila á grundvelli lögskipaðra verkefna sem eiga sér stoð í viðeigandi lögum.

Tölvukerfi nefndarinnar eru rekin af Rekstrarfélagi Stjórnarráðsins. Rekstrarfélagið er með vottun frá British Standards Institution (BSI) um að félagið hafi innleitt stjórnkerfi upplýsingaöryggis sem uppfyllir kröfur ÍST ISO/IEC 27001 – Stjórnunarkerfi um upplýsingaöryggi-staðalsins. Rekstrarfélagið hefur sett sér stefnu í upplýsingaöryggismálum og hvert ráðuneyti hefur sett sér öryggisstefnu. Þá er öryggisstjóri starfandi hjá Rekstrarfélaginu ásamt tækni- og upplýsingaöryggisstjóra og upplýsingaöryggisnefnd.

Þá hvílir þagnarskylda á öllu starfsfólki nefndarinnar samkvæmt lögum um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996.

Varðveislutími.

Nefndin hagar skjalamálum málum sínum í samræmi við lög nr. 77/2014, um opinber skjalasöfn. Af því leiðir að óheimilt er að eyða skjölum og gögnum sem berast nefndinni eða verða til hjá henni, nema að fengnu leyfi Þjóðskjalasafns Íslands. Skjölum og gögnum er skilað til Þjóðskjalasafn Íslands, þar sem þau eru geymd til framtíðar.

Upplýsingar um starfsmenn og umsækjendur um störf

  1. Starfsmenn

Nefndin vinnur með persónuupplýsingar um starfsmenn sína til að geta greitt þeim laun fyrir störf sín. Tilteknar upplýsingar eru nauðsynlegar til að geta greitt laun, s.s. tengiliðaupplýsingar, launaflokkur, tímaskráningar, skattþrep, stéttarfélagsaðild, bankaupplýsingar, lífeyrissjóðsupplýsingar og skuldir við innheimtumann ríkissjóðs. Einnig geta aðgerðir starfsmanna í málaskrár- og tölvukerfum nefndarinnar, verið skráðar í aðgerðaskrá. Aðrar upplýsingar eru tengdar starfslýsingu starfsmanns.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að efna samning sem hinn skráði er aðili að , sbr. b-lið 1. mgr. 6. gr. pvrg., sbr. 2. tölul. 9. gr. laga nr. 90/2018. Heimilt er að vinna upplýsingar um stéttarfélagsaðild á grundvelli samþykkis starfsmanns, sbr. a-lið 9. gr. pvrg., sbr. 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Öllum starfsmönnum er frjálst að gefa upp hvort, og þá í hvaða stéttarfélag, þeir eru skráðir og hefur það engin áhrif á ráðningar í störf hjá stofnuninni.

 Umsækjendur um störf

Nefndin vinnur með persónuupplýsingar um menn þegar þeir sækja um starf hjá stofnuninni. Tilteknar upplýsingar eru nauðsynlegar við mat umsókna, s.s. tengiliðaupplýsingar, ferilskrá, kynningarbréf, upplýsingar um menntun, niðurstöður úr ráðningarviðtölum, umsagnir þriðja aðila og önnur samskipti við umsækjendur.

Heimilt er að vinna framangreindar upplýsingar þar sem það er nauðsynlegt til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. b-lið 1. mgr. 6. gr. pvrg., sbr. 2. tölul. 9. gr. laga nr. 90/2018.