Stefna Lífsverks um meðferð persónuupplýsinga
Október 2024
Lífsverk setur sér persónuverndarstefnu sem byggir á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Sjóðurinn leggur sig fram við að meðhöndla persónuupplýsingar af ábyrgð og trúnaði.
Hvaða persónuupplýsingar vinnur Lífsverk með?
Þær persónuupplýsingar sem falla til við starfsemi Lifsverks og er safnað í tengslum við lögbundna starfsemi eru helst eftirfarandi upplýsingar:
- Lífeyrisréttindi sjóðfélaga, s.s. upplýsingar um iðgjaldagreiðslur, fjárhæðir og starfsferil.
- Greiðslumat við lánaumsóknir, s.s. samskiptaupplýsingar, upplýsingar um bankareikning, hjúskaparstöðu, veðstað, eigna- og skuldastöðu, ábyrgðir, veðstöðu og tekju- og skattaupplýsingar.
- Ýmis gögn við meðhöndlun umsókna um útgreiðslu lífeyris- og örorkugreiðslna, s.s. samskiptaupplýsingar, upplýsingar um bankareikning, skattþrep og nýtingu persónuafsláttar, læknisvottorð og upplýsingar um starfsferil vegna örorkuumsókna, dánar og hjúskaparvottorð og fæðingarvottorð barna vegna maka- og barnalífeyrisumsókna, greiðslur frá almannatryggingum og öðrum lífeyrissjóðum.
Frá hverjum safnar Lífsverk persónuuplýsingum?
Í vissum tilvikum eru persónuupplýsingar fengnar með sjálfvirkum hætti, t.d. við notkun heimasíðu okkar. Vegna umsókna um örorkulífeyri eru upplýsingar fengnar frá trúnaðarlækni.
Lagalegur grundvöllur fyrir vinnslu persónuupplýsinga
- Til að uppfylla samningsskyldu við sjóðfélaga.
- Til að uppfylla lagaskyldu, t.d. vegna laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
- Vegna vinnslu viðkvæmra persónuupplýsinga (t.d. varðandi örorku), svo að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi, sbr. 2. tl. 1. mgr. 11. gr. laga nr. 90/2018.
Hversu lengi geymir Lífsverk persónuupplýsingar?
Lífsverk geymir persónuupplýsingar í þann tíma sem nauðsynlegur er til að uppfylla tilgang vinnslunnar eins og greint er frá honum hér að ofan. Sem dæmi eru persónuupplýsingar sem tengjast lífeyrisréttindum geymdar meðan sjóðfélagi og tengdir aðilar eiga réttindi hjá sjóðnum og upplýsingar tengdar lánveitingum eru geymdar út lánstímann.
Hvenær miðlar Lífsverk persónuupplýsingum til þriðja aðila og af hverju?
Lífsverk miðlar einungis persónuupplýsingum til þriðja aðila þar sem slíkt er skylt samkvæmt lögum eða ef um er að ræða þjónustuveitanda sem ráðinn er af hálfu Lífsverks til þess að vinna fyrirfram ákveðna vinnu. Sem dæmi má nefna aðila sem sjá um upplýsingatækni- og fjarskiptaþjónustu, tryggingastærðfræðing, trúnaðarlækni og innheimtuaðila. Í vissum tilvikum geta slíkir aðilar talist vera vinnsluaðilar og gerir Lífsverk þá vinnslusamning við viðkomandi aðila í samræmi við kröfur persónuverndarlaga.
Ef til þess kemur að vinnsluaðili vinni, þ.m.t. hýsi, gögn fyrir utan Evrópska efnahagssvæðið (EES svæðið), þá gætir Lífsverk að því að lögmætur grundvöllur sé til staðar samkvæmt persónuverndarlögum.
Lífsverk vill benda á að þegar farið er inn á eða haft samband við okkur í gegnum samfélagsmiðlasíður okkar, þá gæti verið að veitendur samfélagmiðlaþjónustunnar fái aðgang að upplýsingumHvetjum við viðkomandi til þess að kynna sér vel persónuverndaryfirlýsingar þeirra.
Öryggi persónuupplýsinga
Öryggi í vinnslu persónuupplýsinga er Lífsverk mikilvægt og höfum við gripið til viðeigandi tæknilegra og skipulagslegra öryggisráðstafana til að tryggja vernd persónuupplýsinga í takt við stefnu okkar um öryggi, þ.m.t með viðeigandi aðgangsstýringu. Persónuupplýsingar eru aldrei afhentar þriðja aðila nema um sé að ræða vinnslu eða þjónustu sem er beinn hluti af rekstri sjóðsins.
Við meðhöndlun persónuupplýsinga er sérstaklega horft til aðgangsstýringa sem eru endurskoðaðar reglulega. Starfsmenn eru bundnir þagnarskyldu um þær upplýsingar sem meðhöndlaðar eru í starfi, sbr. 32. gr. laga nr. 129/1997 um skyldutryggingu lifeyrisréttinda og starfsemi lífeyrissjóða.
Sjóðurinn vistar og vinnur eingöngu með þau gögn sem nauðsynleg eru í starfsemi sjóðsins. Öll gögn og vinnslur eru varin, þannig að einungis þeir sem heimildir hafa til að vinna með gögnin, sjá þau og/eða breyta, geta framkvæmt slíkar aðgerðir. Aðrir geta ekki skoðað gögnin.
Sjóðurinn leitast ætíð við að tryggja réttleika gagna sinna. Komi í ljós að upplýsingar séu rangt skráðar, eru þær uppfærðar. Öll gögn hjá sjóðnum eru afrituð til að tryggja að þau séu ætíð til staðar.
Tilkynning um öryggisbrest
Komi upp öryggisbrestur sem varðar persónuupplýsingar, og teljist slíkur brestur hafa í för með sér mikla áhættu fyrir frelsi og réttindi viðkomandi, munum við tilkynna um það án ótilhlýðilegrar tafar. Í þessum skilningi telst öryggisbrestur atburður sem leiðir til þess að persónuupplýsingar glatist eða eyðist, þær breytist, séu birtar eða óviðkomandi fái aðgang að þeim í leyfisleysi.
Réttindi
Með fyrirvara um þau skilyrði sem nánar er fjallað um í persónuverndarlögum, felast réttindi í að:
- Fá upplýsingar um hvaða persónuupplýsingar sjóðurinn hefur skráð um viðkomandi og uppruna þeirra, sem og upplýsingar um hvernig unnið er með persónuupplýsingar,
- Fá aðgang að þeim persónuupplýsingum sem eru unnar , eða óska eftir að þær séu sendar til þriðja aðila,
- Persónuupplýsingar séu uppfærðar og leiðréttar ef tilefni er til,
- Lífsverk eyði persónuupplýsingum ef ekki er málefnaleg eða lagaleg skylda til að varðveita þær,
- Koma á framfæri andmælum ef óskað er að takmarka eða koma í veg fyrir að persónuupplýsingar séu unnar,
- Fá upplýsingar um það hvort fram fari sjálfvirk ákvarðanataka, og þá á hvaða rökum slík ákvarðanataka er byggð og endurskoðun á sjálfvirkri ákvarðanatöku,
- Afturkalla samþykki um að Lífsverk megi safna, skrá, vinna eða geyma persónuupplýsingar , þegar vinnsla byggist á þeirri heimild.
Ef óskað er að nýta rétt sinn samkvæmt ofangreindu má senda skriflega beiðni á lifsverk@lifsverk.is. Lífsverk mun staðfesta móttöku á beiðninni og að jafnaði bregðast við innan mánaðar frá móttöku. Verði ekki unnt að bregðast við innan mánaðar munum við tilkynna um töf á afgreiðslu innan mánaðar. Ekki er innheimt gjald þegar einstaklingar nýta rétt sinn í samræmi við ofangreint, nema í þeim tilvikum sem beiðni telst óhófleg eða augljóslega tilefnislaus. Sjóðurinn hefur tilnefnt persónuverndarfulltrúa sem tekur m.a. við beiðnum einstaklinga og er tengiliður sjóðsins við Persónuvernd.
Einnig er mögulegt að leggja fram kvörtun hjá Persónuvernd ef ástæða er talin til. Upplýsingar um Persónuvernd má finna á heimasíðu þeirra, www.personuvernd.is.
Persónuverndarfulltrúi hefur umsjón með eftirfylgni þessarar persónuverndarstefnu.
Þannig samþykkt á stjórnarfundi Lífsverks, 23. október 2024
Samþykkt á stjórnarfundi Lífsverks, sjá pdf útgáfu .