Persónuverndarstefna HS Orku hf.
Markmið
HS Orka leggur áherslu á persónuvernd og hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem unnið er með innan fyrirtækisins. Tilgangur þessarar persónuverndarstefnu er að upplýsa hvernig félagið safnar og vinnur persónuupplýsingar.
Umfang
Stefnan nær til allra persónuupplýsinga sem fyrirtækið vinnur með í starfsemi sinni. Stefnan er bindandi fyrir allt starfsfólk og stjórn fyrirtækisins, og eftir atvikum þá aðila og starfsfólk þeirra sem veita HS Orku þjónustu eða sinna eftirliti með starfseminni.
Stefna
1. Tilgangur persónuverndarstefnu
Stefna þessi er byggð á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir vísað til sem „persónuverndarlaga“) og tekur til söfnunar og vinnslu persónuupplýsinga HS Orku í tengslum við samskipti félagsins við viðskiptavini, hagsmunaaðila, verktaka, ráðgjafa, birgja og aðra einstaklinga sem kunna að eiga í viðskiptatengslum eða samskiptum við félagið. Með persónuupplýsingum er átt við öll gögn sem geta auðkennt tiltekinn einstakling beint eða óbeint, svo sem það er nánar skilgreint í 2. tl. 3. gr. persónuverndarlaga.
2. Vinnsla persónuupplýsinga
2.1. Viðskiptavinir og hugsanlegir viðskiptavinir
Til að unnt sé að koma á viðskiptum eða veita þjónustu á grundvelli gerðra samninga félagsins við viðskiptavini kann að vera nauðsynlegt að vinna persónuupplýsingar um viðskiptavini og þá tengiliði sem koma fram fyrir hönd lögaðila í viðskiptum við félagið. Eins vinnur félagið ýmsar persónuupplýsingar um tilvonandi eða hugsanlega viðskiptavini í þeim tilgangi að mynda viðskiptasambönd. Sem dæmi um vinnslu persónuupplýsinga má nefna upplýsingar um nafn, kennitölu, heimilisfang, tölvupóstfang, símanúmer, upplýsingar um raforkunotkun, fjárhagsupplýsingar, s.s. upplýsingar um greiðslugetu þ.m.t. upplýsingar um vanskil, sem og aðrar upplýsingar úr viðskipta- og samskiptasögu viðskiptavinar.
2.2 Hagsmunaaðilar
HS Orka kappkostar að eiga í nánum samskiptum við hagsmunaaðila félagsins. Með hagsmunaaðilum er t.d. átt við landeigendur, íbúa á tilteknu svæði, sveitarfélög og félagasamtök. Til að samskiptin gangi sem best fyrir sig vinnur félagið ýmsar persónuupplýsingar um hagsmunaaðila og tengiliði þeirra, s.s. tengiliðaupplýsingar og upplýsingar úr samskiptasögu. Sú vinnsla byggir á lögmætum hagsmunum félagsins.
2.3 Verktakar, ráðgjafar og birgjar
Á grundvelli samningssambands við verktaka, ráðgjafa og birgja er félaginu nauðsynlegt að safna tengiliðaupplýsingum þeirra sem koma fram fyrir hönd þessara lögaðila. Félagið vinnur því persónuupplýsingar um tengiliði ásamt því að varðveita upplýsingar úr samskiptasögu þeirra við félagið. Félagið hefur sett sér reglur sem eiga að tryggja að allir sem starfa fyrir félagið, á beinan eða óbeinan hátt, í verktöku, undirverktöku eða í gegnum starfsmannaleigu njóti réttinda og kjara í samræmi við íslensk lög og kjarasamninga. Í þeim tilgangi getur félagið kallað eftir upplýsingum um ráðningarkjör þeirra sem félagið á í samningssambandi við. Slíkt er gert á grundvelli lögmætra hagsmuna félagsins. Vegna lagalegrar skyldu og stefnu félagsins um öryggi á framkvæmdasvæðum þá safnar félagið upplýsingum um slys og önnur óhappaatvik sem þar verða. Eftir greiningu slíkra upplýsinga er gripið til viðeigandi úrbóta ef þörf er á. Enn fremur kann að vera þörf á skráningu á viðveru eða staðsetningu einstaklinga á athafnasvæði félagsins. Slíkt er gert á grundvelli lögmætra hagsmuna félagsins.
2.4 Gestir á athafnasvæði félagsins
Gestum sem koma inn á athafnasvæði HS Orku, t.d. vegna funda, kynninga eða annarra viðburða, ber að skrá sig inn á svæðið með því að gefa upp persónuupplýsingar, s.s. nafn og netfang. Með þessar upplýsingar er unnið á grundvelli lögmætra hagsmuna félagsins. Í öryggis- og eignavörsluskyni er mikilvægt að geta tryggt yfirsýn yfir þá einstaklinga sem eru á svæðinu hverju sinni.
2.5 Aðrir
Til að regluleg samskipti við stofnanir, yfirvöld, félög og aðra aðila gangi sem best fyrir sig þá safnar HS Orka tengiliðaupplýsingum þegar þurfa þykir. Slík söfnun er á grundvelli samninga og lögmætra hagsmuna. Að meginstefnu til aflar HS Orka persónuupplýsinga beint frá öllum ofangreindum aðilum eða tengiliðum þeirra. Upplýsingar kunna þó að koma frá þriðja aðila og leitast félagið þá við að upplýsa aðila um slíkt.
3. Rafræn vöktun
Í mannvirkjum félagsins, sem og á athafnasvæðum, hefur félagið sett upp myndavélaeftirlit til að gæta að öryggi og eignum á grundvelli lögmætra hagsmuna. Þar til gerðar merkingar eru á þeim stöðum þar sem slíkt eftirlit fer fram. Fari aðilar um svæðið kann svo að vera að upplýsingum um ferðir þeirra sé safnað með slíku eftirliti. Þá hefur félagið komið upp aðgangsstýringarkerfi í fasteignum félagsins og á athafnasvæði þess sem skráir persónupplýsingar um ferðir aðila. Slíkar upplýsingar eru almennt varðveittar í 90 daga nema að lög heimili annað eða aðrir lögmætir hagsmunir réttlæti vörslu þeirra í lengri tíma.
4. Miðlun persónuupplýsinga til þriðja aðila
Félaginu kann að vera nauðsynlegt að miðla persónuupplýsingum til þriðja aðila á grundvelli samningssambands við félagið. Sem dæmi má nefna innheimtuaðila, endurskoðendur, ráðgjafafyrirtæki og aðila sem veita félaginu þjónustu á sviði upplýsingatækni. Í slíkum tilfellum hefur þriðji aðili aðgang að persónuupplýsingum einstaklinga eingöngu í þeim tilgangi að inna af hendi ákveðin verk fyrir hönd félagsins. Þeim er með öllu óheimilt að afhenda upplýsingarnar og nota í öðrum tilgangi. Jafnframt kann félaginu að vera skylt að miðla persónuupplýsingum til stjórnvalda, dómstóla eða annarra aðila á grundvelli gildandi laga og reglna.
5. Öryggi persónuupplýsinga
Til að tryggja öryggi persónuupplýsinga gegn óheimilum aðgangi, notkun þeirra eða miðlun notast félagið við margvíslegar tæknilegar og skipulegar ráðstafanir, s.s. aðgangsstýringar í kerfum félagsins.
6. Varðveislutími
Varðveislutími persónuupplýsinga fer eftir tegund upplýsinga. Upplýsingar um viðskiptavini, verkataka, ráðgjafa, birgja, hagmunaaðila og tengiliði þeirra eru almennt geymdar í fjögur ár frá lokum viðskiptasambands. Þó kunna upplýsingar að vera geymdar lengur á grundvelli kröfuréttar eða þeim eytt fyrr á grundvelli rekstrarhagkvæmni. Stefna þessi felur ekki í sér sjálfstæða skuldbindingu félagsins um að vista upplýsingar í þann tíma sem að hámarki er heimill samkvæmt stefnunni. Þær persónuupplýsingar sem falla undir bókhaldslög eru varðveittar í sjö ár frá lokum viðkomandi reikningsárs í samræmi við gildandi lög. Félagið leitast við að geyma persónuupplýsingar ekki lengur en nauðsyn krefur í samræmi við tilgang vinnslunnar samkvæmt framanrituðu. Félaginu kann þó að vera skylt að varðveita persónuupplýsingar lengur á grundvelli lagaskyldu, að beiðni yfirvalda eða vegna ágreinings.
7. Réttur til að fá aðgang að persónuupplýsingum, andmæla, eyða og leiðrétta
Samkvæmt persónuverndarlögum eiga allir einstaklingar rétt á því að fá staðfestingu á því hvort vinnsla persónuupplýsinga um þá eigi sér stað. Félagið svarar fyrirspurnum þar sem óskað er upplýsinga um vinnslu persónuupplýsinga og eftir atvikum aðgangi að þeim. Að ákveðnum skilyrðum uppfylltum hafa einstaklingar rétt á að andmæla vinnslu persónuupplýsinga hjá félaginu og geta krafist þess að þeim verði eytt varanlega. Jafnframt eiga einstaklingar rétt á að fá óáreiðanlegar persónuupplýsingar um sig leiðréttar og uppfærðar. Það er félaginu mikilvægt að þær persónuupplýsingar sem það býr yfir séu réttar og áreiðanlegar. Af þeim sökum óskar félagið eftir því að allar breytingar á persónuupplýsingum séu tilkynntar félaginu. Fyrirspurnir og tilkynningar er varða persónuvernd má beina til félagsins á netfangið personuvernd@hsorka.is. HS Orka bendir á að einstaklingar geta lagt fram kvörtun hjá þar til bæru yfirvaldi, s.s. Persónuvernd, ef þeir telja að vinnsla félagsins á persónuupplýsingum samræmist ekki gildandi regluverki persónuverndarlöggjafar.
8. Breytingar og gildistaka
HS Orka áskilur sér rétt til þess að uppfæra persónuverndarstefnu þessa eftir þörfum. Við slíka uppfærslu mun félagið tilkynna og upplýsa um breytingar með nýrri birtingu stefnunnar á þessari síðu. Breytingar á stefnunni taka gildi við birtingu á síðunni. Persónuverndarstefna þessi tekur gildi við birtingu hennar.