Persónuverndarstefna

Auðkenni ehf. ber ábyrgð á að vinnsla persónuupplýsinga í starfsemi sinni sé í samræmi við almennu persónuverndarreglugerðina[1], sem innleidd var með lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, sem og þær reglur, tilmæli og leiðbeiningar sem gilda um persónuvernd á hverjum tíma. Auðkenni er traustþjónustuveitandi og starfar því á grundvelli laga um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti nr. 55/2019, Auðkenni er þar með undir regluverki eIDAS[2] reglugerðarinnar sem felur jafnframt í sér sérstakar kröfur til vinnslu persónuupplýsinga.

Persónuverndarstefna þessi hefur það markmið að upplýsa einstaklinga um hvernig Auðkenni vinnur persónuupplýsingar þeirra í þeim tilfellum þar sem Auðkenni er í stöðu ábyrgðaraðila og er einnig ætlað að vera til viðbótar öðrum tilkynningum um persónuvernd sem Auðkenni birtir einstaklingum vegna sértækrar vinnslu persónuupplýsinga í tengslum við einstakar þjónustuleiðir.

Ef einstaklingar hafa spurningar eða athugasemdir við meðferð persónuupplýsinga þeirra hjá Auðkenni eða vilja nýta réttindi sín samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga geta þeir sent erindi til:

Auðkenni ehf. – persónuvernd
Katrínartúni 4, 105 Reykjavík
Sími: 530 0000
Netfang: personuvernd@audkenni.is

Einstaklingar eiga rétt á að beina kvörtun til Persónuverndar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga og geta lagt fram kvörtun með því að senda tölvupóst á netfangið postur@personuvernd.is. Nánari upplýsingar má finna á heimasíðu Persónuverndar, www.personuvernd.is

[1] Almenna persónuverndarreglugerð Evrópuþingsins og ráðsins (ESB) nr. 679/2016 (GDPR).

[2] Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 91/2014.

Tegundir persónuupplýsinga sem er aflað

Öflun og vinnsla persónuupplýsinga er nauðsynleg til að Auðkenni geti veitt auðkenningar- og traustþjónustu. Dæmi um persónuupplýsingar sem Auðkenni vinnur eru;

  • vottunargögn vegna umsókna um rafræn skilríki og afturköllunar skilríkja s.s. vegabréf, ökuskírteini eða nafnskírteini,
  • grunnupplýsingar skilríkjahafa og eftir atvikum forráðamanna þeirra, s.s. nöfn, kennitölur og símanúmer,
  • samskipta- og samningsupplýsingar þ.e. persónuupplýsingar sem leiða af samskiptum eða samningum við Auðkenni,
  • upplýsingar um notkun skilríkja, s.s. nafn, kennitala, símanúmer, IP tala,
  • upplýsingar um skráningarfulltrúa og notkun þeirra á skráningarstöð og
  • þjónustubeiðnir og samskipti við þjónustuveitendur og birgja.

Framangreind upptalning er ekki tæmandi og Auðkenni getur eftir atvikum unnið aðrar persónuupplýsingar sem nauðsynlegar eru eftir eðli samningssambanda eða samskipta hinna skráðu við Auðkenni.

Hvaðan fær Auðkenni persónuupplýsingar

Auðkenni fær persónuupplýsingar þegar;

  • skráningafulltrúar skrá upplýsingar frá skilríkjahafa við skráningu og virkjun skilríkja og afturköllun skilríkja,
  • þær berast frá þjónustuveitendum þegar skilríkjum er beitt og þegar þjónustuveitendur athuga stöðu skilríkja og
  • þegar persónuupplýsingar berast frá skilríkjahöfum eða fjarskiptafyrirtækjum þegar skilríki eru virkjuð, afturkölluð, sett í biðstöðu eða renna út.

Hvers vegna er persónuupplýsinga aflað

Auðkenni aflar persónuupplýsinga til þess að;

  • uppfylla kröfur laga sem um starfsemina gilda, t.d. lög um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti og tengdar reglur,
  • uppfylla samningsskyldu um veitta þjónustu,
  • fylgjast með virkni kerfa og tryggja rekjanleika aðgerða og
  • svara fyrirspurnum um skilríki.

Í hvaða tilgangi eru persónuupplýsingarnar notaðar

Auðkenni vinnur persónuupplýsingar í lögmætum og skýrlega afmörkuðum tilgangi í samræmi við persónuverndarlög, yfirlýsingu þessa og innra verklag.

Persónuupplýsingar eru einungis notaðar til að uppfylla lagaskyldu og kröfur í samningum.

Auðkenni vinnur ekki viðkvæmar persónuupplýsingar, t.d. varðandi þjóðernislegan uppruna eða lífkennaupplýsingar, nema uppfyllt séu viðbótarskilyrði 11. gr. laga um persónuvernd og vinnslu persónuupplýsinga, s.s. ótvírætt samþykki, vinnsla sé nauðsynleg til að hafa uppi eða verja réttarkröfur eða vinnsla með upplýsingar sem einstaklingur hefur sjálfur gert opinberar.

Vinnsla persónuupplýsinga um börn fer fram ef hún er nauðsynleg til að framkvæma umbeðna þjónustu t.d. útgáfu rafrænna skilríkja. Samþykki forráðamanns er aflað fyrir einstaklinga yngri en 18 ára.

Með hverjum er persónuupplýsingum deilt

Auðkenni deilir ekki upplýsingum með þriðju aðilum nema ef;

  • lög eða reglur leggja þær skyldur á Auðkenni,
  • þriðji aðili kemur að veitingu þjónustunnar,
  • á grundvelli samnings og
  • ef hinn skráði samþykkir miðlun persónuupplýsinga sinna til þriðja aðila.

Þjónustuveitendur með samning við Auðkenni geta sent fyrirspurnir til Auðkennis og fengið upplýsingar um skilríki.

Sjálfvirk ákvarðanataka

Þegar sjálfvirk ákvarðanataka er nýtt í þjónustu Auðkennis fer hún aðeins fram með samþykki viðkomandi einstaklings.

Með því að senda tölvupóst á personuvernd@audkenni.is geta einstaklingar komið á framfæri athugasemdum varðandi sjálfvirka ákvarðanatöku.

Hversu lengi eru persónuupplýsingar varðveittar

Auðkenni varðveitir persónuupplýsingar á meðan samningssambandi stendur, eins lengi og lög kveða á um eða lögmætir hagsmunir félagsins krefjast. Mismunandi varðveislutími getur átt við eftir tegund og eðli upplýsinganna.

Auðkenni ber að uppfylla lagakröfur um varðveislu persónuupplýsinga í samræmi við lög nr. 55/2019 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti og eIDAS reglugerðina.

Öryggi persónuupplýsinga

Hjá Auðkenni skiptir öryggi og réttleiki upplýsinga öllu máli og viðheldur félagið vottuðu stjórn-kerfi upplýsingaöryggis samkvæmt ISO 27001 staðlinum.

Öryggi og meðhöndlun upplýsinga lýtur stöðugu eftirliti ásamt því að tæknilegar og skipulagslegar ráðstafanir eru gerðar til að tryggja viðunandi öryggi persónuupplýsinga og ábyrgða meðhöndlun þeirra.

Þagnarskylda hvílir á starfsfólki Auðkennis samkvæmt reglum félagsins.

Verði öryggisbrestur við vinnslu persónuupplýsinga hjá Auðkenni er unnið samkvæmt verklagi félagsins þar um og í samræmi við lög um persónuvernd og vinnslupersónuupplýsinga og lög um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti.

Réttindi hins skráða

Samkvæmt persónuverndarlögum eiga einstaklingar sem Auðkenni vinnur upplýsingar um rétt á að óska eftir aðgangi að persónuupplýsingum sínum, leiðréttingu, eyðingu, miðlun og takmörkun vinnslu.

Notendur rafrænna skilríkja geta séð sögu rafrænna auðkenninga og undirskrifta á síðunni https://mitt.audkenni.is en einnig er hægt að senda tölvupóst á netfangið personuvernd@audkenni.is til að nýta ofangreind réttindi. Auðkenni mun svara öllum beiðnum innan 30 daga.

Í eftirfarandi tilfellum er ljóst að Auðkenni getur ekki orðið við slíkum beiðnum ef:

  • ekki er hægt að auðkenna umsækjanda,
  • beiðni varðar upplýsingar sem eru ópersónugreinanlegar,
  • beiðni stangast á við lagakröfur sem hvíla á ábyrgðaraðila,
  • beiðni stangast á við frelsi og réttindi annars einstaklings,
  • afgreiðsla beiðnar kemur í veg fyrir veitingu þjónustu,
  • afgreiðsla beiðnar hindrar eftirlit af hálfu eftirlitsaðila og
  • afgreiðsla beiðnar er tæknilega ómöguleg.

Vefkökur

Auðkenni notar vefkökur (e. cookies) sem eru litlar textaskrár, sem eru vistaðar á tölvu, eða í öðru snjalltæki þegar notandi heimsækir vefsíðu. Þær geyma upplýsingar m.a. til að greina notkun á vefsvæðum eða vista stillingar notenda. Auðkenni nýtir jafnframt þriðju aðila vefkökur frá Google til að greina notkun vefsvæða nánar. Hægt er að breyta stillingum á flestum vöfrum þannig að þeir taki ekki á móti vefkökum.

Auðkenni áskilur sér rétt til að gera breytingar á ofangreindu án fyrirvara. Ný útgáfa persónuverndarstefnu tekur gildi um leið og hún er birt á heimasíðu Auðkennis.

Síðast breytt 14. mars 2023