Persónuverndarstefna starfsfólks Krónunnar ehf.

Krónan ehf. hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga starfsfólks félagsins. Persónuverndarstefnu þessari er ætlað að upplýsa starfsfólk um hvaða persónuupplýsingar félagið safnar, með hvaða hætti félagið nýtir slíkar persónuupplýsingar og hverjir fá aðgang að upplýsingunum.

Persónuverndarstefna þessi nær til persónuupplýsinga er varða allt núverandi og fyrrverandi starfsfólk félagsins. Í persónuverndarstefnu þessari er jafnframt vísað til starfsfólks sem „þín“ og félagsins sem „okkar“.

Ef þú ert í vafa um það hvernig persónuverndarastefnan varðar þig, vinsamlega hafðu samband við persónuverndarfulltrúa félagsins fyrir frekari upplýsingar. Samskiptaupplýsingar koma fram í lok stefnunnar.

1. Tilgangur og lagaskylda

Krónan leitast við að uppfylla í hvívetna persónuverndarlöggjöf og er stefna þessi byggð á lögum nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga („persónuverndarlög“), með síðari breytingum.

2. Hvað eru persónuupplýsingar?

Persónuupplýsingar í skilningi stefnu þessarar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

3. Persónuupplýsingar sem Krónan safnar og vinnur

Við söfnum og varðveitum ýmsar persónuupplýsingar um starfsfólk okkar. Ólíkum persónuupplýsingum kann að vera safnað um ólíkt starfsfólk og kann vinnsla og söfnun á persónuupplýsingum að fara eftir eðli starfs.

Eftirfarandi eru dæmi um upplýsingar sem Krónan safnar um starfsfólk sitt:

  • samskiptaupplýsingar, svo sem nafn, kennitala, heimilisfang, símanúmer og tölvupóstfang;
  • starfsumsóknir, meðmæli og upplýsingar úr starfsviðtölum;
  • upplýsingar um menntun, þjálfun og starfsreynslu;
  • upplýsingar um innihald sakaskráa;
  • ráðningarsamningar;
  • upplýsingar um laun og hlunnindi og aðrar tengdar upplýsingar, svo sem um bankareikninga, kaup, launaauka, dagpeninga og fleira;
  • upplýsingar um stéttarfélagsaðild og lífeyrissjóð;
  • upplýsingar úr starfsmannasamtölum;
  • upplýsingar um vinnutengd slys;
  • upplýsingar um nánasta aðstandanda;
  • upplýsingar um áminningar;
  • tímaskráningar og upplýsingar um viðveru starfsmanna;
  • upplýsingar um veikindadaga;
  • tölvupóstar á netfangi í eigu Krónan;
  • aðgangsupplýsingar; og
  • upptökur úr öryggismyndavélum.

Auk framangreindra upplýsinga, kann Krónan einnig að safna og vinna aðrar upplýsingar sem starfsfólk lætur félaginu sjálft í té sem og upplýsingar sem eru félaginu nauðsynlegar vegna starfsemi þess.

Að meginstefnu til aflar Krónan persónuupplýsinga beint frá starfsfólki. Í þeim tilvikum þar sem að persónuupplýsinga er aflað frá þriðja aðila mun félagið leitast við að upplýsa starfsfólk um slíkt.

Hjá Krónunni er notað rafrænt aðgangsstýringar- og myndavélakerfi í öryggis- og eignavörsluskyni. Öll vinnsla persónuupplýsinga í tengslum við aðgangs- og myndavélakerfi er í samræmi við ákvæði persónuverndarlaga. Verslunarstjórar hverrar verslunar og starfsmenn Eftirlitsdeildar hafa einir aðgang að eftirlitsmyndavélum. Farið er með allt efni sem safnast við vöktun sem trúnaðarmál. Myndavélakerfi er notað í og við verslanir, ytra umhverfi, baksvæði og við innganga. Allt efni sem safnast með notkun aðgangs- og myndavélakerfis eyðist sjálfkrafa eigi síðar en 90 dögum frá því að það varð til, nema nauðsyn beri til að varðveita það lengur vegna gruns um refsiverðan verknað, brots í starfi, slyss eða annað sambærilegt. Einungis starfsmenn eftirlitsdeildar geta tekið upptökur úr myndavélakerfinu, einungis til afhendingar til lögreglu eða til vinnslu í ofangreindum tilgangi. Þó má afhenda öðrum aðilum upptökur úr myndavélakerfinu með samþykki þess sem upptaka er af eða með stoð í reglum eða fyrirmælum Persónuverndar.

Nánari upplýsingar um rafræna vöktun er að finna í rekstrarhandbók.

4. Hvers vegna söfnum við persónuupplýsingum og á hvaða grundvelli?

Við söfnum persónuupplýsingum um starfsfólk fyrst og fremst til að geta uppfyllt skyldur okkar samkvæmt ráðningarsamningi okkar við starfsfólk, á grundvelli heimildar/skyldu í lögum eða á grundvelli lögmætra hagsmuna félagsins.

Sú vinnsla sem framkvæmd er til að uppfylla skyldur samkvæmt ráðningarsamningum við starfsfólk felst einkum í vinnslu á eftirfarandi upplýsingum:

  • samskiptaupplýsingar, svo sem nafn, kennitala, heimilisfang, símanúmer og tölvupóstfang;
  • ráðningarsamningar;
  • upplýsingar um laun og hlunnindi og aðrar tengdar upplýsingar, svo sem um bankareikninga, kaup, launaauka, dagpeninga og fleira;
  • upplýsingar úr starfsmannasamtölum; og
  • tímaskráningar og upplýsingar um veikindi og viðveru starfsfólks.

Upplýsingar sem unnar eru á grundvelli ráðningarsamnings starfsfólks eru nauðsynlegar svo félagið geti uppfyllt skyldur sínar gagnvart starfsfólki, og öfugt, svo sem vegna greiðslu launa eða til að meta hæfni starfsfólks til að vinna ákveðið verk. Veiti starfsfólk Krónunni ekki nauðsynlegar upplýsingar getur það leitt til þess að félaginu sé ómögulegt að uppfylla skyldur sínar eða til þess að breyta þurfi verkefnum eða stöðu starfsfólks innan félagsins.

Krónan kann einnig að safna og vinna persónuupplýsingar á grundvelli lögmætra hagsmuna, svo sem í öryggis- og eignavörsluskyni, t.d. vinnsla myndefnis úr öryggismyndavélum, upplýsingar um tölvupósta og aðgangsupplýsingar.

Krónan getur að auki í einhverjum tilvikum unnið persónuupplýsingar á grundvelli lagaskyldu, s.s. vinnulöggjafar og skattalöggjafar.

Í þeim tilvikum þar sem söfnun og vinnsla persónuupplýsinga byggir á samþykki þínu, er þér ávallt heimilt að afturkalla slíkt samþykki. Öll samskipti í tengslum við slíka afturköllun eða breytingu á innihaldi samþykkis skal beina til mannauðsstjóra.

Krónan skuldbindur sig til þess að öll vinnsla á persónuupplýsingum um starfsfólk sé lögleg, sanngjörn og gagnsæ. Upplýsingum verði aðeins safnað í tilteknum, sérstökum og lögmætum tilgangi og að söfnun og vinnsla gangi ekki lengra en þörf krefur miðað við tilgang vinnslunnar. Vinnsla skal í öllum tilvikum vera nægileg, viðeigandi og takmörkuð við það sem nauðsynlegt er miðað við tilgang vinnslunnar.

5.          Miðlun til þriðju aðila

Krónan kann að miðla persónuupplýsingum um starfsfólk til verktaka og annarra þriðju aðila vegna vinnu þeirra fyrir félagið í tengslum við ráðningarsambandið. Einnig gæti persónuupplýsingum verið miðlað til þriðju aðila sem veita okkur upplýsingatækniþjónustu og aðra þjónustu sem tengist vinnslu og er hluti af rekstri félagsins.

Þriðju aðilar sem veita okkur þjónustu samkvæmt framansögðu gætu verið staðsettir utan Íslands. Krónan mun þó ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar.

Persónuupplýsingar um þig kunna verið afhentar til þriðju aðila að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til Vinnueftirlitsins ef vinnutengt slys verður, til stéttarfélaga, lífeyrissjóða eða tryggingarfélaga. Einnig kann persónuupplýsingum þínum að vera miðlað til þriðja aðila til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum eða dómsúrskurði. Afhending getur einnig verið nauðsynleg í neyðarástandi eða til að tryggja öryggi starfsfólks Krónunnar eða þriðja aðila.

6. Hvernig er öryggi persónuupplýsinga tryggt?

Krónan leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar, með sérstöku tilliti til eðlis þeirra. Dæmi um slíkar öryggisráðstafanir eru aðgangsstýringar að kerfum þar sem upplýsingar um þig eru vistaðar. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.

7. Varðveisla á persónuupplýsingum

Krónan mun leitast við að varðveita aðeins persónuupplýsingar um þig eins lengi og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum.

Varðveislutími persónuupplýsinga er afmarkaður nánar í reglum Krónunnar um varðveislutíma gagna í rekstrarhandbók.

8. Réttindi þín hvað varðar þær persónuupplýsingar sem félagið vinnur

Þú átt rétt á að fá aðgang og í ákveðnum tilvikum afrit af þeim persónuupplýsingum sem við vinnum um þig sem og upplýsingar um vinnsluna.

Við ákveðnar aðstæður kannt þú jafnframt að hafa heimild til að óska eftir því að persónuupplýsingum um þig verði eytt eða að vinnsla þeirra verði takmörkuð. Þá átt þú rétt á að fá persónuupplýsingar þínar leiðréttar, séu þær rangar eða óáreiðanlegar. Því er mikilvægt að þú tilkynnir okkur um allar breytingar sem kunna að verða á persónuupplýsingum þeim sem þú hefur látið okkur í té, á þeim tíma sem við á.

Auk þess kann að vera að þú eigir rétt á afriti af þeim upplýsingum sem þú hefur afhent okkur á tölvutæku formi, eða að við sendum þær beint til þriðja aðila.

Þegar við vinnum persónuupplýsingar þínar á grundvelli lögmætra hagsmuna okkar getur þú andmælt þeirri vinnslu.

Ofangreind réttindi þín eru þó ekki fortakslaus. Þannig kunna lög eða reglugerðir að heimila eða skylda félagið til að hafna beiðni þinni um að nýta þér umrædd réttindi.

9. Fyrirspurnir og kvörtun til Persónuverndar

Ef þú vilt nýta þér þau réttindi sem lýst er í 8. gr. í reglum þessum, eða ef þú hefur einhverjar spurningar vegna persónuverndarreglna þessara eða það hvernig við vinnum með persónuupplýsingar þínar, vinsamlegast hafðu samband við mannauðsstjóra sem mun leitast við að svara fyrirspurnum og leiðbeina þér um réttindi þín samkvæmt persónuverndarreglum þessum.

Ef að þú ert ósátt/ur við vinnslu félagsins á persónuupplýsingum getur þú sent erindi til Persónuverndar (www.personuvernd.is).

10. Samskiptaupplýsingar

Við höfum tilnefnt Þórarinn Inga Ólafsson sem persónuverndarfulltrúa félagsins. Hér fyrir neðan má finna samskiptaupplýsingar hans:

Þórarinn Ingi Ólafsson, netfang: personuvernd@kronan.is

Samskiptaupplýsingar félagsins:

Krónan ehf.

Skarfagörðum 2

104 Reykjavík

11. Endurskoðun

Krónan getur frá einum tíma til annars breytt persónuverndarstefnu þessari í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Verði gerðar breytingar á persónuverndarstefnu þessari verður starfsfólki kynnt ný útgáfa af stefnunni á sannanlegan hátt.

Allar breytingar sem kunna að verða gerðar á stefnunni taka gildi eftir að uppfærð útgáfa hefur verið kynnt starfsfólki Krónunnar.

Þessi persónuverndarstefna var sett þann 13. júlí 2018.