Persónuverndarstefna

Auðkenni ber ábyrgð á að vinnsla persónuupplýsinga í starfsemi félagsins sé í samræmi við almennu persónuverndarreglugerðina[1], sem innleidd var með lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, sem og þær reglur, tilmæli og leiðbeiningar sem gilda um persónuvernd á hverjum tíma. Auðkenni er traustþjónustuveitandi og starfar því á grundvelli laga um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti nr. 55/2019. Auðkenni er þar með undir regluverki eIDAS[2] reglugerðarinnar sem felur jafnframt í sér sérstakar kröfur til vinnslu persónuupplýsinga.

Persónuverndarstefna þessi hefur það markmið að upplýsa einstaklinga um hvernig Auðkenni vinnur persónuupplýsingar þeirra í þeim tilfellum þar sem Auðkenni er í stöðu ábyrgðaraðila og er einnig ætlað að vera til viðbótar öðrum tilkynningum um persónuvernd sem Auðkenni birtir einstaklingum vegna sértækrar vinnslu persónuupplýsinga í tengslum við einstakar þjónustuleiðir.

Ef einstaklingar hafa spurningar eða athugasemdir við meðferð persónuupplýsinga þeirra hjá Auðkenni eða vilja nýta réttindi sín samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga geta þeir sent erindi til:

Auðkenni ehf. – persónuvernd
Katrínartúni 4, 105 Reykjavík
Sími: 530 0000
Netfang: personuvernd@audkenni.is

Einstaklingar eiga rétt á að beina kvörtun til Persónuverndar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga og geta lagt fram kvörtun með því að senda tölvupóst á netfangið postur@personuvernd.is. Nánari upplýsingar má finna á vef Persónuverndar, www.personuvernd.is.

[1] Almenna persónuverndarreglugerð Evrópuþingsins og ráðsins (ESB) nr. 679/2016 (GDPR).
[2] Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 91/2014.

Tegundir persónuupplýsinga sem er aflað

Auðkenni vinnur ýmsar tegundir persónuupplýsinga en stærstur hluti þeirra er til þess að félagið geti veitt auðkenningar- og traustþjónustu. Dæmi um persónuupplýsingar sem Auðkenni vinnur eru;

  • Vottunargögn vegna umsókna um rafræn skilríki og afturköllunar skilríkja s.s. vegabréf, ökuskírteini eða nafnskírteini.
  • Lífkennaupplýsingar þegar einstaklingur velur að nýta sér sjálfskráningarleið í Auðkennisappinu og samþykkir vinnslu lífkennaupplýsinga sinna.
  • Grunnupplýsingar skilríkjahafa og eftir atvikum forráðamanna þeirra, s.s. nafn, kennitala og símanúmer.
  • Samskipta- og samningsupplýsingar þ.e. persónuupplýsingar sem leiða af samskiptum eða samningum við Auðkenni.
  • Upplýsingar um notkun skilríkja, s.s. nafn, kennitala, símanúmer, IP-tala.
  • Tæknilegar upplýsingar, s.s. upplýsingar um þann búnað sem einstaklingur tengist kerfum Auðkennis með og afleidd gögn af þeirri tengingu, s.s. IP-tölur, útgáfu af stýrikerfi og framkvæmdar aðgerðir.
  • Upplýsingar um skráningarfulltrúa og notkun þeirra á skráningarstöð.
  • Þjónustubeiðnir og samskipti við þjónustuveitendur og birgja.
  • Gögn sem verða til við rafræna vöktun, þ.e. notkun eftirlitsmyndavéla sem eru nýttar til vöktunar í öryggis- og eignavörsluskyni.
  • Hljóðritun símtala, þ.e. símtöl við Auðkenni eru hljóðrituð, ef um það er tilkynnt í upphafi símtals, vinnslan fer fram í öryggisskyni og til að bæta gæði þjónustu.
  • Umsóknargögn sem einstaklingar afhenda Auðkenni vegna starfsumsókna.
  • Gögn starfsmanna Auðkennis sem unnin eru vegna ráðningasambands t.d. samskiptaupplýsingar og launatengd gögn.
  • Gögn fyrrverandi starfsmanna og verktaka, þ.e. Auðkenni varðveitir ýmis gögn fyrrverandi starfsmanna og verktaka sem varða störf þeirra hjá félaginu t.d. samskiptaupplýsingar og launatengd gögn.

Framangreind upptalning er ekki tæmandi og Auðkenni getur eftir atvikum unnið aðrar persónuupplýsingar sem nauðsynlegar eru eftir eðli samningssambanda eða samskipta hinna skráðu við Auðkenni.

Hvaðan fær Auðkenni persónuupplýsingar?

Auðkenni fær persónuupplýsingar þegar;

  • Skráningarfulltrúar skrá upplýsingar frá skilríkjahafa við skráningu og virkjun skilríkja og afturköllun skilríkja.
  • Þær berast frá þjónustuveitendum þegar skilríkjum er beitt og þegar þjónustuveitendur athuga stöðu skilríkja. Þegar persónuupplýsingar berast frá skilríkjahöfum eða fjarskiptafyrirtækjum þegar skilríki eru virkjuð, afturkölluð, sett í biðstöðu eða renna út.
  • Einstaklingar sækja sér auðkennisappið og virkja aðgang.
  • Persónuupplýsingar berast frá skilríkjahöfum við notkun rafrænna skilríkja á Auðkennisappinu eða demo-Auðkennisappinu.
  • Einstaklingar hafa samband við Auðkenni t.d. með tölvupósti.
  • Umsækjendur um störf hjá Auðkenni afhenda félaginu gögn í tengslum við umsókn um starf.

Hvers vegna er persónuupplýsinga aflað?

Auðkenni aflar persónuupplýsinga til þess að;

  • Uppfylla kröfur laga sem um starfsemina gilda, t.d. lög um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti og tengdar reglur.
  • Uppfylla samningsskyldu um veitta þjónustu.
  • Fylgjast með virkni kerfa og tryggja rekjanleika aðgerða.
  • Svara fyrirspurnum um skilríki.
  • Verjast eða bregðast við svikum eða svikatilraunum

Í hvaða tilgangi eru persónuupplýsingarnar notaðar?

Auðkenni vinnur persónuupplýsingar í lögmætum og skýrt afmörkuðum tilgangi í samræmi við persónuverndarlög, persónuverndarstefnu þessa og innra verklag félagsins.

Persónuupplýsingar eru notaðar til að uppfylla lagaskyldu, kröfur í samningum, á grundvelli samþykkis eða á grundvelli lögmætra hagsmuna.

Auðkenni vinnur ekki viðkvæmar persónuupplýsingar, t.d. varðandi þjóðernislegan uppruna eða lífkennaupplýsingar, nema uppfyllt séu viðbótarskilyrði 11. gr. laga um persónuvernd og vinnslu persónuupplýsinga, s.s. ótvírætt samþykki, vinnsla sé nauðsynleg til að hafa uppi eða verja réttarkröfur eða vinnsla með upplýsingar sem einstaklingur hefur sjálfur gert opinberar.

Vinnsla persónuupplýsinga um börn fer fram ef hún er nauðsynleg til að framkvæma umbeðna þjónustu t.d. útgáfu rafrænna skilríkja. Samþykki forráðamanns er aflað fyrir einstaklinga yngri en 18 ára vegna umsókna um rafræn skilríki Börn geta ekki nýtt sér sjálfsafgreiðsluleið í appi nema forráðamaður samþykki vinnslu lífkennaupplýsinga barnsins áður en hún hefst.

Með hverjum er persónuupplýsingum deilt?

Auðkenni deilir upplýsingum með þriðju aðilum þegar;

  • Lög eða reglur leggja þær skyldur á Auðkenni.
  • Þriðji aðili kemur að veitingu þjónustunnar.
  • Á grundvelli samnings.
  • Á grundvelli lögmætra hagsmuna.
  • Ef hinn skráði samþykkir miðlun persónuupplýsinga sinna til þriðja aðila.

Þjónustuveitendur með samning við Auðkenni geta sent fyrirspurnir til Auðkennis og fengið upplýsingar um skilríki.

Sjálfvirk ákvarðanataka

Þegar sjálfvirk ákvarðanataka er nýtt í þjónustu Auðkennis fer hún aðeins fram með samþykki viðkomandi einstaklings.

Með því að senda tölvupóst á personuvernd@audkenni.is geta einstaklingar komið á framfæri athugasemdum varðandi sjálfvirka ákvarðanatöku.

Hversu lengi eru persónuupplýsingar varðveittar?

Auðkenni varðveitir persónuupplýsingar á meðan samningssambandi stendur, eins lengi og lög kveða á um eða lögmætir hagsmunir félagsins krefjast. Mismunandi varðveislutími getur átt við eftir tegund og eðli upplýsinganna.

Auðkenni ber að uppfylla lagakröfur um varðveislu persónuupplýsinga í samræmi við lög nr. 55/2019 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti og eIDAS reglugerðina.

Auðkenni ber jafnframt að uppfylla lagakröfur um opinber skjalasöfn, í samræmi við lög nr. 77/2014, sem getur takmarkað rétt félagsins til gagnaeyðingar.

Öryggi persónuupplýsinga

Hjá Auðkenni skiptir öryggi og réttleiki upplýsinga öllu máli og viðheldur félagið vottuðu stjórnkerfi upplýsingaöryggis samkvæmt ISO 27001 staðlinum.

Öryggi og meðhöndlun upplýsinga lýtur stöðugu eftirliti ásamt því að tæknilegar og skipulagslegar ráðstafanir eru gerðar til að tryggja viðunandi öryggi persónuupplýsinga og ábyrga meðhöndlun þeirra.

Þagnarskylda hvílir á starfsmönnum og þeim sem starfa í umboði Auðkennis samkvæmt reglum félagsins.

Verði öryggisbrestur við vinnslu persónuupplýsinga hjá Auðkenni er unnið samkvæmt verklagi félagsins þar um og í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga sem og lög um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti.

Réttindi hins skráða

Samkvæmt persónuverndarlögum eiga einstaklingar sem Auðkenni vinnur upplýsingar um rétt á að óska eftir aðgangi að persónuupplýsingum sínum, leiðréttingu, eyðingu, miðlun og takmörkun vinnslu.

Notendur rafrænna skilríkja geta séð sögu rafrænna auðkenninga sinna og undirskrifta á https://mitt.audkenni.is en einnig er hægt að senda tölvupóst á netfangið personuvernd@audkenni.is til að nýta ofangreind réttindi. Auðkenni mun svara öllum beiðnum innan 30 daga.

Auðkenni getur þó ekki orðið við slíkum beiðnum ef:

  • Ekki er hægt að auðkenna umsækjanda.
  • Beiðni varðar upplýsingar sem eru ópersónugreinanlegar.
  • Beiðni stangast á við lagakröfur sem hvíla á Auðkenni.
  • Beiðni stangast á við frelsi og réttindi annars einstaklings.
  • Afgreiðsla beiðnar kemur í veg fyrir veitingu þjónustu.
  • Afgreiðsla beiðnar hindrar eftirlit af hálfu eftirlitsaðila.
  • Afgreiðsla beiðnar er tæknilega ómöguleg.

Vefkökur

Auðkenni notar vefkökur (e. cookies) sem eru litlar textaskrár, sem eru vistaðar á tölvu, eða í öðru snjalltæki þegar notandi heimsækir vef. Þær geyma upplýsingar m.a. til að greina notkun á vefsvæðum eða vista stillingar notenda. Hægt er að breyta stillingum á flestum vöfrum þannig að þeir taki ekki á móti vefkökum.

Auðkenni áskilur sér rétt til að gera breytingar á ofangreindu án fyrirvara. Ný útgáfa persónuverndarstefnu tekur gildi um leið og hún er birt á vef Auðkennis.

Síðast breytt 16. júlí 2024