Persónuverndarstefna Eflingar

1. Almennt

Efling stéttarfélagið (hér eftir „Efling“ eða „stéttarfélagið“) leggur metnað í ‏því að tryggja öryggi persónuupplýsinga félagsmanna sinna og annarra sem tengjast starfseminni í þeim tilgangi að standa vörð um mannréttindi og friðhelgi einkalífs þeirra. Með persónuverndarstefnu þessari er greint frá hvernig Efling stéttarfélag ehf., kt. 701298-2259, Guðrúnartúni 1, 105 Reykjavík stendur að söfnun, skráningu, vinnslu, vistun og miðlun persónugreinanlegra upplýsinga um félagsfólk sitt og einstaklinga sem heimsækja vefsíðu félagsins, www.efling.is, hvort sem persónuupplýsingarnar eru geymdar rafrænt, á pappír eða með öðrum hætti.

 Öll meðferð persónuupplýsinga innan stéttarfélagsins skal vera í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Í þeim tilgangi hefur starfsfólk stéttarfélagsins fengið fræðslu um persónuvernd og meðferð persónuupplýsinga.

Vakni spurningar um vinnslu Eflingar á persónuupplýsingum eða persónuverndarstefnu þessa er tekið við þeim á netfangið personuvernd@efling.is.

2. Hvaða persónuupplýsingum safnar Efling og í hvaða tilgangi?

Efling leggur áherslu á að vinna einungis þær persónuupplýsingar sem nauðsynlegar eru í samræmi við þann tilgang sem liggur að baki söfnun upplýsinganna. Sé unnið með aðrar upplýsingar en tilgreindar eru í persónuverndarstefnu, eða í öðrum tilgangi, mun Efling leitast við að upplýsa félagsmann um það.

a. Efling safnar eftirfarandi persónuupplýsingum:

  • grunnupplýsingar: nafn, kennitala, heimilisfang, símanúmer, netfang, vinnustaður, hjúskaparstaða, fjölskyldunúmer, iðgjöld.
  • Samskiptaupplýsingar: öll samskipti þín við stéttarfélagið sem m.a. fara fram með tölvupósti, skriflega, munnlega eða í gegnum samfélagsmiðla.
  • Gögnum tengdum félagsmönnum sem nýta sér þjónustu vinnuréttindasviðs Eflingar: bankaupplýsingar, launaseðlar, ráðningarsamningar og fleiri gögn tengd ráðningarsambandi félagsmanna.
  • Gögnum tengdum félagsmönnum sem nýta sér þjónustu vegna sjúkrasjóðs og styrkjasjóðs: læknisvottorð- og launaupplýsingar.
  • Styrkir úr starfsmenntasjóði.
  • Upplýsingar um leigur orlofshúsa.
  • Keypt gjafabréf og/eða kort.
  • Kvartanir vegna ófullnægjandi frágangs í orlofshúsum og myndefni því tengt.
  • Stafrænum fótsporum, t.d. nethegðun á heimasíðu Eflingar.
  • Tæknilegum upplýsingum, t.d. IP- tölu.
  • Mynd- og hljóðefni úr öryggismyndavélum á Guðrúnartúni 1.

b. Efling safnar einnig eftirfarandi persónuupplýsingum sem flokkast sem viðkvæmar persónuupplýsingar:

  • Aðild að stéttarfélagi, þjóðerni og upplýsingum í tengslum við starfsemi ofangreindra sjóða og vegna þjónustu við félagsfólk.

c. Tilgangur með skráningu, vistun og vinnslu persónuupplýsinga

Efling vinnur persónuupplýsingar í skýrum og yfirlýstum tilgangi í samræmi við persónuverndarlög, lög stéttarfélagsins og stefnu þessa. Ástæður þess að Efling  vinnur persónuupplýsingar er margvíslegur meðal annars svo unnt sé að:

  • Reikna út félagsgjald og réttindi hvers félagsmanns.
  • Gæta hagsmuna félagsmanna.
  • Framkvæma kannanir og talnaúrvinnslu svo sem vegna launaþróunar og til að geta gert launasamanburð starfsgreina til birtingar opinberlega.
  • Geta átt í viðeigandi samskiptum við félagsmenn með símtölum, tölvupósti og/eða bréfapósti.
  • Uppfylla lög um bókhald og skil til skattyfirvalda.
  • Geta greitt út sjúkradagpeninga og styrki úr sjóðum Eflingar samkvæmt reglum þar að lútandi.
  • Geta selt gjafabréf (gisting, flug o.þ.h.) og úthlutað orlofshúsum og innheimt leigugjald fyrir þau, samkvæmt reglum orlofssjóðs.
  • Geta greitt út styrki úr sjóðum Eflingar og uppfært stöðu félagsmanna samkvæmt reglum sjóðsins.
  • Koma í veg fyrir endurtekna slæma umgengni í orlofshúsum/íbúðum.
  • Tryggja öryggi félagsmanna og eignir félagsins.
  • Gera starfsfólki Eflingar kleift að sækja samningsbundinn rétt félagsmanns á því sem samið er um í kjarasamningi.
  • Gefa félagsmönnum kost á því að kjósa til stjórnar Eflingar og einnig að auðvelda frambjóðendum að ná til félagsmanna fyrir kosningar.
  • Gera félagsmönnum mögulegt að kjósa þegar til kosninga um kjarasamninga og verkfallsboðun kemur.

3. Lagaleg heimild til notkunar á persónuupplýsingum

Samkvæmt íslenskum lögum hefur Efling heimild til að vinna persónuupplýsingar að því gefnu að slík vinnsla byggist á ákvæðum laganna. Jafnframt ber Efling að upplýsa einstaklinga um grundvöll vinnslunnar. Efling safnar og vinnur persónuupplýsingar byggt á eftirfarandi heimildum:

  • Til að uppfylla samningsskyldu (t. d. leiga á orlofshúsi).
  • Til að uppfylla lagaskyldu.
  • Til að vernda brýna hagsmuni félagsmanna.
  • Vegna lögmætra hagsmuna stéttarfélagsins.

Þessar aðgerðir eru nauðsynlegar til að stýra starfsemi stéttarfélagsins og fela í sér nauðsyn til að safna og vinna persónuupplýsingar.

Í ákveðnum tilvikum óskar stéttarfélagið eftir umboð og upplýstu samþykki fyrir vinnslu persónuupplýsinga. Í þeim tilvikum getur einstaklinginn hvenær sem er dregið veitt samþykki til baka og er þá þeirri vinnslu sem samþykkið nær til hætt.

4. Söfnun persónuupplýsinga um börn

Það er stefna Eflingar að skrá hvorki, né safna, vinna og geyma persónuupplýsingar um börn yngri en 13 ára nema í þeim tilvikum þar sem slíkt er nauðsynlegt til að geta greitt út bætur vegna andláts, veikinda eða slyss. Efling aflar sérstaks samþykkis forráðamanna fyrir vinnslu áður en barni sem ekki hefur náð 16 ára aldri er boðin þjónusta.

5. Sjálfvirk ákvarðanataka

Hjá Eflingu fer ekki fram sjálfvirk ákvarðanataka við vinnslu persónuupplýsinga.

6. Réttindi einstaklinga

Persónuverndarlög veita einstaklingum ákveðin réttindi m.a. til fræðslu og upplýsinga um það hvort Efling vinni persónuupplýsingar um þá og hvernig meðferð þeirra er háttað í starfsemi Eflingar. Umrædd réttindi eru þó ekki fortakslaus og kunna lagaskyldur eða ríkari hagsmunir Eflingar eða þriðja aðila að koma í veg fyrir að Efling geti orðið við beiðni einstaklings sem nýta vill réttindi sín á grundvelli persónuverndarlaga. Efling leitast við að svara öllum beiðnum einstaklinga sem nýta vilja réttindi sín á grundvelli persónuverndarlaga innan 30 daga og geti Efling af einhverjum ástæðum ekki orðið við slíkri beiðni, hvort sem er í heild eða hluta, leitast Efling við að rökstyðja slíka niðurstöðu.

  • Aðgangur að eigin persónuupplýsingum: félagsmenn eiga rétt á að vita hvort Efling sé að vinna með persónuupplýsingar um þá og að fá upplýsingar um vinnsluna, s.s. um tilgang, hvert þeim er miðlað, uppruna, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Þá geta einstaklingar jafnframt átt rétt á að fá afrit af þeim persónuupplýsingum sem Efling vinnur um viðkomandi.
  • Leiðrétting persónuupplýsinga og eyðing: telji félagsmaður að þær persónuupplýsingar sem Efling vinnur um hann séu óáreiðanlegar eða rangar á viðkomandi rétt á því að fá þær leiðréttar.
  • Réttur til eyðingar: í ákveðnum tilvikum á einstaklingur rétt á því að fara fram á að Efling eyði persónuupplýsingum um hann, s.s. ef einstaklingur telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef einstaklingur dregur til baka samþykki um vinnslu persónuupplýsinga og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna reynist ólögmæt.
  • Flutningsréttur: í tilgreindum tilvikum, er vinnsla byggir á samningi eða samþykki, getur félagsmaður sem afhent hefur Efling persónuupplýsingar um sig með rafrænum hætti átt rétt á því að fá afrit af slíkum upplýsingum á skipulegu, algengu og tölvulesanlegu sniði. Félagsmaðurinn getur einnig óskað eftir að Efling sendi viðkomandi upplýsingar beint til þriðja aðila.
  • Afturköllun samþykkis: í þeim tilvikum þar sem vinnsla Efling byggir á samþykki getur einstaklingur sem veitti Efling samþykki hvenær sem er dregið það til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.
  • Kvörtun til Persónuverndar: Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar. Nánari upplýsingar um stofnunina má finna á heimasíðu hennar, personuvernd.is. Ef einstaklingur er ekki sáttur við vinnslu félagsins á persónuupplýsingum um sig er hægt að leggja fram kvörtun hjá Persónuvernd með því að senda erindi á Persónuvernd, Rauðarárstígur 10, 105 Reykjavík eða á postur@personuvernd.is.

7. Varðveislutími persónuupplýsinga

Persónuupplýsingar eru varðveittar eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, og að því gefnu að málefnalegar ástæður séu til staðar. Iðgjaldasaga félagsmanns, þ.m.t. upplýsingar um greiðslur úr sjúkrasjóðum félagsins,  auk upplýsinga um aðstoð í kjaramálum eru aftur á móti undantekningar og verða slíkar upplýsingar varðveittar lengur en þó þannig að upplýsingarnar séu ekki persónugreinanlegar þegar þess er kostur. Öllum upplýsingum sem aflað er í sambandi við slík mál, t.d. launaseðlar og tímaskriftir, verður þó eytt í samræmi við meginregluna. Eflingu kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár frá öflun þeirra upplýsinga.

8. Upplýsingar til þriðja aðila

Efling afhendir ekki, selur ekki og leigir ekki undir neinum kringumstæðum persónuupplýsingar um einstaklinga til þriðja aðila nema stéttarfélaginu sé slíkt skylt samkvæmt lögum eða ef um er að ræða þjónustuveitanda, umboðsmann eða verktaka sem ráðinn er af hálfu Eflingar til þess að vinna fyrir fram ákveðna vinnu. Í slíkum tilfellum gerir Efling vinnslusamning við viðkomandi aðila sem fær persónuupplýsingarnar. Samningar kveða meðal annars á um skyldu vinnsluaðila til að halda persónuupplýsingum öruggum og að nota þær ekki í öðrum tilgangi.

Efling deilir einnig persónuupplýsingum með þriðja aðila þegar slíkt er nauðsynlegt til að vernda brýna hagsmuni félagsmanna, eins og við innheimtu á vanskilakröfum.  Efling hefur gert samning við lögmann félagsins sem nær til innheimtu launakrafna fyrir hönd félagsmanna og tekur hann mið af nýrri löggjöf um persónuvernd, lög nr. 90/2018.

Persónuverndarstefna Eflingar nær ekki til upplýsinga eða vinnslu þriðju aðila sem Efling hefur enga stjórn á, né ber stéttarfélagið ábyrgð á notkun, birtingu eða öðrum verkum þeirra. Við hvetjum þig því til að kynna þér persónuverndarstefnu þriðju aðila, þ. á m. vefhýsingaraðila sem geta vísað á vef okkar.

9. Vefhegðun og skráning á póstlista

Þegar notendur heimsækja vefsvæði Eflingar kann stéttarfélagið að safna tæknilegum upplýsingum um notkun þeirra. Þessar upplýsingar sem vistast þegar notendur heimsækja vefsíðu eru kallaðar vafrakökur (e. cookies). Tilgangurinn með notkun vefkaka er að aðlaga vefsvæðið að þínum þörfum t.d. stuðla að því að síðan virki fullkomlega og eins og til er ætlast en einnig til þess að upplifun þín verði sem best þegar þú heimsækir síðuna okkar. Tilgangurinn er enn fremur að vinna upplýsingar í tölfræðilegum tilgangi, greina umferð á vefsíðu okkar eða í markaðslegum tilgangi.

Kökurnar auðvelda notendum að skrá sig inn á mínar síður. Í sumum tilfellum kunna kökur að safna upplýsingum eins og IP-tölum, gerð vafra, gerð tækis. Sumar þessara upplýsinga geta talist til persónuupplýsinga en nánar er fjallað um persónuvernd og meðferð á persónuupplýsinga annars staðar í stefnu þessari. Upplýsingar sem fengnar eru með þessum hætti eru aldrei notaðar til að auðkenna þig.

Ekki er krafist samþykkis fyrir notkun á nauðsynlegum vafrakökum en samþykki þarf fyrir notkun á öðrum tegundum. Með því að haka við „leyfa vafrakökur“ samþykkir þú notkun þeirra eða hafni þeim með öllu.

10. Öryggi persónuupplýsinga og tilkynning um öryggisbrot

Öryggi í vinnslu persónuupplýsinga er Eflingu mikilvægt og höfum við gripið til viðeigandi tæknilegra og skipulagslega öryggisráðstafana til að tryggja vernd persónuupplýsinga félagsmanna í takt við stefnu okkar um öryggi. Aðeins starfsmenn Eflingar hafa aðgang að gögnum félagsmanna og stéttarfélagið er með virka aðgangsstýringu þar sem aðeins þeir starfsmenn sem vinna með viðkomandi gögn vegna starfs síns hafa aðgang að þeim.

Komi upp öryggisbrot er varðar persónuupplýsingar, og teljist slíkt brot hafa í för með sér mikla áhættu fyrir réttindi félagsmanns, munum við tilkynna félagsmanni um það án ótilhlýðilegrar tafar. Í þessum skilningi telst öryggisbrot atburður sem leiðir til þess að persónuupplýsingar glatist eða eyðist, þær breytist, séu birtar eða óviðkomandi fái aðgang að þeim í leyfisleysi. Hér viljum við þó vekja athygli á því að þær persónuupplýsingar sem félagsmaður deilir með okkur á samfélagsmiðlum, t.d. Facebook-síðu Efling teljast opinberar upplýsingar og ekki á forræði Eflingar þar sem Efling hefur enga stjórn á slíkum upplýsingum né ber stéttarfélagið ábyrgð á notkun eða birtingu þeirra. Standi vilji félagsmann ekki til þess að deila þeim upplýsingum með öðrum notendum eða veitanda samfélagsmiðlaþjónustunnar skal hann ekki deila upplýsingum á samfélagsmiðlum okkar.  

Auk þess stuðla Efling að aukinni vitundarvakningu hjá starfsfólki með þjálfun og fræðslu um hvernig gæta skal að öryggi persónuupplýsinga.

11. Frekari upplýsingar

Efling stéttarfélag ehf., kt. 701298-2259, Guðrúnartúni 1, 105 Reykjavík, ber ábyrgð á að öll meðferð persónuupplýsinga samræmist persónuverndarlögum og reglum og telst ábyrgðaraðili að vinnslu persónuupplýsinga.

Persónuverndarfulltrúi Eflingar hefur eftirlit með því að farið sé eftir stefnu þessari og gildandi lögum og reglum um persónuvernd í starfsemi stéttarfélagsins. Hægt er að beina fyrirspurnum, athugasemdum og ábendingum sem varða vinnslu og meðferð persónuupplýsinga til persónuverndarfulltrúa Eflingar á netfangið personuvernd@efling.is.

12. Endurskoðun Persónuverndarstefnu Eflingar

Efling mun uppfæra stefnu þessa með reglubundnum hætti, til að endurspegla sem best þá vinnslu sem fer fram hverju sinni.

Verði gerðar breytingar á stefnunni munu þær birtast um leið á vef Eflingar og taka breytingar gildi við birtingu, nema annað sé tilgreint.  Stefnan var síðast uppfærð 13. mars 2024.