- Þjónusta
- Menntun
- Samgöngur og slökkvilið
- Umhverfismál
- Skipulag og byggingarmál
- Framkvæmdir
- Tímabókanir
- Velferð og fjölskyldan
- Stjórnkerfi
- Bæjarstjórn
- Stjórnsýsla
- Akureyri
- Útboð
- Fjármál og tölfræði
- Fyrir fjölmiðla
- Sveitarstjórnarkosningar 2022
- Mannlíf
- Þjónustugátt
- Fréttir
- Persónuverndarstefna Akureyrarbæjar
Persónuverndarstefna Akureyrarbæjar
1. gr. Markmið
Persónuverndar- og upplýsingaöryggisstefna Akureyrarkaupstaðar (hér eftir Akureyrarbær),
er sett í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr.
90/2018.
Stefnan gildir um sérhverja meðferð persónuupplýsinga í skilningi laganna, í allri starfsemi á
vegum Akureyrarbæjar, þ.m.t. í meðferð starfsmanna, kjörinna fulltrúa og nefndarmanna á
persónuupplýsingum.
Með stefnunni vill Akureyrarbær leggja áherslu á mikilvægi persónuverndar við alla vinnslu
bæjarins á persónuupplýsingum eins og þær eru skilgreindar í lögum um persónuvernd og
vinnslu persónuupplýsinga.
2. gr. Tengiliður/persónuverndarfulltrúi
Persónuverndarfulltrúi Akureyrarbæjar er tengiliður vegna erinda sem varða
persónuupplýsingar og meðferð þeirra af hálfu sveitarfélagsins, hvort sem um er að ræða
fyrirspurnir, ósk um aðgang að slíkum upplýsingum, ósk um breytingar eða eyðingu gagna.
Fyrirspurnir geta borist skriflega eða rafrænt.
Rafrænar fyrirspurnir skulu berast í gegnum beiðnaform í íbúagátt á heimasíðu
Akureyrarbæjar, https://ibuagatt.akureyri.is
Skriflegar fyrirspurnir skulu berast til persónuverndarfulltrúa Akureyrarbæjar, Geislagötu 9,
600 Akureyri
3. gr. Gögn og vinnsla þeirra
Akureyrarbær viðheldur vinnsluskrá í starfsemi búsetusviðs, bæjarlögmanns, fjársýslusviðs,
fjölskyldusviðs, fræðslusviðs, samfélagssviðs, skipulagssviðs, stjórnsýslusviðs, umhverfis- og
mannvirkjasviðs og Öldrunarheimila Akureyrar.
Vinnsla gagna vegna veittrar þjónustu er skilgreind nánar í vinnsluskrá í samræmi við ákvæði
laga um persónuvernd og vinnslu persónuupplýsinga.
Vinnsla gagna er hluti af lögbundinni þjónustu sem sveitarfélög veita og annarri þjónustu sem
Akureyrarbær hefur ákveðið að veita og byggir á lögum, upplýstu samþykki skráðra aðila eða
öðrum heimildum.
Í samræmi við það er vinnsla sviða og stofnana Akureyrarbæjar á persónuupplýsingum
samkvæmt meginreglu um gagnsæi og skulu hvers kyns upplýsingar og samskipti, sem
tengjast vinnslu þessara persónuupplýsinga, vera aðgengileg og auðskiljanleg skráðum aðila
á skýru og einföldu máli.
4. gr. Öryggismál
Akureyrarbær hagnýtir sér m.a. upplýsingatækni til að varðveita gögn og miðla þeim á
öruggan og hagkvæman hátt. Það auðveldar starfsmönnum að hafa yfirsýn yfir skráningar,
utanumhald og vinnslu persónuupplýsinga í starfi sínu og auðveldar skráðum aðilum að óska
eftir slíkum upplýsingum.
Hlutverk þessarar stefnu er að lýsa skuldbindingu Akureyrarbæjar til að vernda gögn sem
sveitarfélagið varðveitir og vinnur með gegn ógnunum, innan frá og utan, vísvitandi og
óviljandi. Markmið stjórnunar upplýsingaöryggis er að tryggja vernd gagna og
upplýsingakerfis gegn óheimilum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu,
tapi eða flutningi.
5. gr. Vinnsla persónuupplýsinga
Akureyrarbær býr yfir persónuupplýsingum er tengjast starfsemi sveitarfélagsins og kunna að
innihalda viðkvæmar persónugreinanlegar upplýsingar sem ber að vernda sérstaklega.
Hagsmunir skráðra aðila, sem tengjast málum er upplýsingarnar varða, gætu skaðast ef
upplýsingarnar komast í hendur annarra en lögmætra viðtakenda, eru rangar eða eru ekki
aðgengilegar þegar þeirra er þörf.
Því leggur Akureyrarbær áherslu á trúnað, réttleika og tiltækileika gagna við vinnslu
persónuupplýsinga.
Trúnaður. Akureyrarbær tryggir að eingöngu aðilar, sem til þess hafa heimild, hafi aðgang að
upplýsingum hjá sveitarfélaginu og búnaði tengdum þeim.
Réttleiki gagna. Akureyrarbær tryggir að upplýsingar sem eru skráðar hjá sveitarfélaginu séu
réttar og nákvæmar á hverjum tíma. Rangar, villandi, ófullkomnar eða úreltar upplýsingar eru
leiðréttar, þeim eytt eða við þær aukið þegar slíkt uppgötvast og haldið uppi reglubundnu
eftirliti í þeim tilgangi.
Tiltækileiki gagna. Akureyrarbær tryggir að skráðar upplýsingar séu aðgengilegar þeim sem
hafa heimild og þurfa að nota þær þegar þeirra er þörf og tryggir einnig að kerfi og gögn sem
kunna að eyðileggjast sé hægt að endurreisa með hjálp viðbragsáætlunar og afrita og þau
geymd á öruggum stað.
6. gr. Fræðsla til almennings og skráðra aðila
Akureyrarbær hefur leiðbeiningar- og upplýsingaskyldu gagnvart almenningi og skráðum
aðilum, hvað varðar vinnslu persónuupplýsinga. Akureyrarbær skal hafa upplýsingar um
fræðslu til almennings og skráðra aðila á áberandi stað á heimasíðu sinni, á þjónustusíðum og
í þjónustuveri.
Í fræðslu til almennings skal m.a. koma fram rétturinn til að fá staðfest hvort verið sé að vinna
með persónuupplýsingar er varða viðkomandi hjá Akureyrarbæ og ef svo er, réttur til aðgangs
að persónuupplýsingum, þ.m.t. upplýsingum um tilgang vinnslu, flokka persónuupplýsinga,
viðtakendur eða flokka viðtakenda sem fengið hafa eða munu fá persónuupplýsingarnar í
hendur. Einnig hversu lengi fyrirhugað er að varðveita persónuupplýsingar, upplýsingar um
uppruna þeirra, réttur til að láta leiðrétta persónuupplýsingar, eyða þeim, takmarka vinnslu
eða andmæla vinnslu og upplýsingar um rétt fólkstil að leggja fram kvörtun hjá Persónuvernd.
Í fræðslu til skráðra aðila skal koma fram réttur til að leiðrétta persónuupplýsingar, réttur til
takmörkunar á persónuupplýsingum, réttur til að andmæla vinnslu, réttur til að flytja eigin
gögn, réttur til eyðingar, ef sá réttur er fyrir hendi og réttur til að leggja fram kvörtun hjá
Persónuvernd.
7. gr. Heimildir til vinnslu og upplýst samþykki
Akureyrarbær skal tryggja að heimild sé fyrir vinnslu persónuupplýsinga.
Slík heimild getur verið byggð á lögum, upplýstu samþykki, samningi, vegna brýnna hagsmuna
eða annarra lögmætra hagsmuna.
Sé vinnsla persónuupplýsinga byggð á samþykki, skal gæta þess að afla upplýsts samþykkis hjá
skráðum aðila, sem er gefið af fúsum og frjálsum vilja. Beiðni um samþykki skal sett fram á
auðgreinanlegan hátt og á skiljanlegu og aðgengilegu formi og á skýru og einföldu máli.
Skráður einstaklingur á rétt á að draga samþykki sitt til baka hvenær sem er. Afturköllun
samþykkis skal ekki hafa áhrif á lögmæti vinnslu á grundvelli samþykkis fram að
afturkölluninni.
8. gr. Skyldur starfsmanna, kjörinna fulltrúa og nefndarmanna
Akureyrarbær stuðlar að virkri öryggisvitund starfsmanna, kjörinna fulltrúa og nefndarmanna,
m.a. með fræðslu. Starfsemi Akureyrarbæjar og starfshættir starfsmanna, kjörinna fulltrúa og
nefndarmanna skal vera til fyrirmyndar hvað varðar upplýsingaöryggi.
Starfsmenn, kjörnir fulltrúar og nefndarmenn sem hafa aðgang að upplýsingaverðmætum og
þeir vinnsluaðilar, sem koma að rekstri upplýsingakerfa á vegum Akureyrarbæjar, skulu hafa
aðgang að og þekkja til þessarar stefnu.
Um þagnarskyldu starfsmanna vísast til 2. mgr. 57. gr. sveitarstjórnarlaga nr. 138/2011. Um
þagnarskyldu kjörinna fulltrúa og nefndarmanna vísast til 4. mgr. 28. gr. sveitarstjórnarlaga
nr. 138/2011.
Viðurlög við persónuverndarbroti gagnvart starfsmönnum geta falist eftir atvikum í skriflegri
áminningu eða brottrekstri, ef brot er stórfellt.
9. gr. Lagaheimild og endurskoðun
Stefna þessi tekur mið af gildandi lögum og reglugerðum um persónuvernd og meðferð
persónuupplýsinga og er í fullu samræmi við reglur Persónuverndar nr. 299/2001 um öryggi
persónuupplýsinga og uppfyllir kröfur staðalsins ÍST EN ISO/IEC 27001.
Stefna þessi tekur gildi 15. júlí 2018. Stefna þessi skal endurskoðuð eftir því sem tilefni er til
eða lög kveða á um.
Samþykkt í bæjarráði 28. júní 2018
Síðast uppfært 18. desember 2024
