Persónuverndarstefna HS Orku hf.

HS Orka (sem hér eftir er vísað til sem “HS Orka” eða "félagið") leggur áherslu á persónuvernd og hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem unnið er með innan þess. Tilgangur þessarar persónuverndarstefnu er að upplýsa hvernig félagið safnar og vinnur persónuupplýsingar.

1. Tilgangur persónuverndarstefnu 

Stefna þessi er byggð á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir vísað til sem „persónuverndarlaga“) og tekur til söfnunar og vinnslu persónuupplýsinga HS Orku í tenglum við samskipti félagsins við viðskiptavini, hagsmunaaðila, verktaka, ráðgjafa, birgja og aðra einstaklinga sem kunna að eiga í viðskiptatengslum eða samskiptum við félagið. Með persónuupplýsingum er átt við öll gögn sem geta auðkennt tiltekin einstakling beint eða óbeint svo sem það er nánar skilgreint í 2. tl. 3. gr. persónuverndarlaga.

2. Vinnsla persónuupplýsinga 

2.1. Viðskiptavinir og hugsanlegir viðskiptavinir

Til að unnt sé að koma á viðskiptum eða veita þjónustu og á grundvelli gerðra samninga félagsins við viðskiptavini kann að vera nauðsynlegt að vinna persónuupplýsingar um viðskiptavini og þá tengiliði sem koma fram fyrir hönd lögaðila í viðskiptum við félagið. Eins vinnur félagið ýmsar persónuupplýsingar um tilvonandi eða hugsanlega viðskiptavini í þeim tilgangi að mynda viðskiptasambönd. Sem dæmi um vinnslu persónuupplýsinga má nefna upplýsingar um nafn, kennitölu, heimilisfang, tölvupóstfang, símanúmer, upplýsingar um raforkunotkun, fjárhagsupplýsingar s.s. upplýsingar um greiðslugetu þ.m.t. upplýsingar um vanskil, sem og aðrar upplýsingar úr viðskipta- og samskiptasögu viðskiptavinar.

2.2 Hagsmunaaðilar

HS Orka kappkostar við að eiga í nánum samskiptum við hagsmunaaðila félagsins. Með hagsmunaaðilum er t.d. átt við landeigendur, íbúa á tilteknu svæði, sveitarfélög og félagasamtök. Til að samskiptin gangi sem best fyrir sig vinnur félagið ýmsar persónuupplýsingar um hagsmunaaðila og tengiliði þeirra s.s. tengiliðaupplýsingar og upplýsingar úr samskiptasögu. Sú vinnsla byggir á lögmætum hagsmunum félagsins.

2.3 Verktakar, ráðgjafar og birgjar

Á grundvelli samningssambands við verktaka, ráðgjafa og birgja er félaginu nauðsynlegt að safna tengiliðaupplýsingum þeirra sem koma fram fyrir hönd þessara lögaðila. Félagið vinnur því persónuupplýsingar um tengiliði ásamt því að varðveita upplýsingar úr samsamskiptasögu þeirra við félagið. Félagið hefur sett sér reglur sem eiga að tryggja að allir sem starfa fyrir félagið á beinan eða
óbeinan hátt, í verktöku, undirverktöku eða í gegnum starfsmannaleigu njóti réttinda og kjara í samræmi við íslensk lög og kjarasamninga. Í þeim tilgangi getur félagið kallað eftir upplýsingum um ráðningakjör þeirra sem félagið á í samningssambandi við. Slíkt er gert á grundvelli lögmætra hagsmuna félagsins. Vegna lagalegrar skyldu og stefnu félagsins um öryggi á framkvæmdasvæðum þá safnar félagið upplýsingum um slys og önnur óhappaatvik sem þar verða. Eftir greiningu slíkra upplýsinga er gripið til viðeigandi úrbóta ef þörf er á. Enn fremur kann að vera þörf á skráningu
á viðveru eða staðsetningu einstaklinga á athafnasvæði félagsins. Slíkt er gert á grundvelli lögmætra hagsmuna félagsins.

2.4 Aðrir

Til að regluleg samskipti við hinar ýmsu stofnanir, yfirvöld, félög og aðra aðila gangi sem best fyrir sig þá safnar HS Orka tengiliðaupplýsingum þegar að þörf þykir. Slík söfnun er á grundvelli samninga og lögmætra hagsmuna. Að meginstefnu til aflar HS Orka persónuupplýsingum beint frá öllum ofangreindum aðilum eða tengiliðum þeirra. Upplýsingar kunna þó að koma frá þriðju aðilum og leitast félagið þá við að upplýsa aðila um slíkt.

3. Rafræn vöktun

Í mannvirkjum félagsins, sem og á athafnasvæðum hefur félagið sett upp myndavélaeftirlit til að gæta að öryggi og eignum á grundvelli lögmætra hagsmuna. Þar til gerðar merkingar eru á þeim stöðum þar sem slíkt eftirlit fer fram. Fari aðilar um svæðið þá kann svo að vera að upplýsingum um ferðir þeirra sé safnað með slíku eftirliti. Þá hefur félagið komið upp aðgangsstýringarkerfi í fasteignum félagsins og á athafnasvæði þess sem skráir persónupplýsingar um ferðir aðila. Slíkar upplýsingar eru almennt varðveittar í 90 daga nema að lög heimili annað eða aðrir lögmætir hagsmunir réttlæti vörslu þeirra í lengri tíma.

4. Miðlun persónuupplýsinga til þriðju aðila

Félaginu kann að vera nauðsynlegt að miðla persónuupplýsingum til þriðju aðila á grundvelli samningssambands þeirra við félagið. Sem dæmi má nefna innheimtuaðila, endurskoðendur ráðgjafafyrirtæki og aðila sem veita félaginu þjónustu á sviði upplýsingatækni. Í slíkum tilfellum hafa þriðju aðilar aðgang að persónuupplýsingum einstaklinga eingöngu í þeim tilgangi að inna
af hendi ákveðin verk fyrir hönd félagsins. Þeim er með öllu óheimilt að afhenda upplýsingarnar og nota í öðrum tilgangi. Jafnframt kann félaginu að vera skylt að miðla persónuupplýsingum til stjórnvalda, dómstóla eða annarra aðila á grundvelli gildandi laga og reglna.

5. Öryggi persónuupplýsinga

Til að tryggja öryggi persónuupplýsinga gegn óheimilum aðgangi, notkun þeirra eða miðlun notast félagið við margvíslegar tæknilegar og skipulegar ráðstafanir s.s. aðgangsstýringar í kerfum félagsins.

6. Varðveislutími

Varðveislutími persónuupplýsinga fer eftir tegund upplýsinga. Upplýsingar um viðskiptavini, verkataka, ráðgjafa, birgja, hagmunaaðila og tengilið þeirra eru almennt geymdar í 4 ár frá lokum viðskiptasambands. Það kann þó að vera að upplýsingar séu geymdar lengur á grundvelli kröfuréttar, eins kann það að vera að upplýsingum sé eytt fyrr á grundvelli rekstrarhagkvæmni. Stefna þessi felur ekki í sér sjálfstæða skuldbindingu félagsins um að vista upplýsingar í þann tíma sem að hámarki er heimill samkvæmt stefnunni. Þær persónuupplýsingar sem falla undir bókhaldslög eru varðveittar í 7 ár frá lokum viðkomandi
reikningsárs í samræmi við gildandi lög. Félagið leitast við að geyma persónuupplýsingar ekki lengur en nauðsyn krefur í samræmi við tilgang vinnslunnar samkvæmt framan rituðu. Félaginu kann þó að vera skylt að varðveita persónuupplýsingar lengur á grundvelli lagaskyldu, að beiðni yfirvalda eða vegna ágreinings.

7. Réttur til að fá aðgang að persónuupplýsingum, andmæla, eyðingar og leiðréttingar

Samkvæmt persónuverndarlögum þá eiga allir einstaklingar rétt á því að fá staðfestingu á hvort vinnsla persónuupplýsinga um þá eigi sér stað. Félagið svarar fyrirspurnum þar sem óskað er upplýsinga um vinnslu persónuupplýsinga og eftir atvikum aðgangi að þeim. Að ákveðnum
skilyrðum uppfylltum hafa einstaklingar rétt á að andmæla vinnslu persónuupplýsinga hjá félaginu og geta krafist að þeim verði eytt varanlega.
Jafnframt eiga einstaklingar rétt á að fá óáreiðanlegar persónuupplýsingar um sig leiðréttar og uppfærðar. Það er félaginu mikilvægt að þær persónuupplýsingar sem það býr yfir séu réttar og áreiðanlegar. Af þeim sökum óskar félagið eftir að allar breytingar á persónuupplýsingum séu tilkynntar félaginu. Fyrirspurnir og tilkynningar er varða persónuvernd má beina til félagsins á netfangið personuvernd@hsorka.is. HS Orka bendir á að einstaklingar geta lagt fram kvörtun hjá þar til bæru yfirvaldi eins og
Persónuvernd ef þeir telja að vinnsla félagsins á persónuupplýsingum samræmist ekki gilandi regluverki persónuverndarlöggjafar.

8. Breytingar og gildistaka

HS Orka áskilur sér rétt til þess að uppfæra persónuverndarstefnu þessa eftir þörfum. Við slíka uppfærslu mun félagið tilkynna og upplýsa um breytingar með nýrri birtingu stefnunnar á þessari síðu. Breytingar á stefnunni taka gildi við birtingu á síðunni. Persónuverndarstefna þessi tekur gildi við birtingu hennar.