Persónuverndarreglur Norðuráls
Þjónustubirgjar, umsækjendur og aðrir ytri aðilar
Norðurál (einnig vísað til „félagsins“ og „okkar“) hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem unnið er með innan félagsins. Persónuverndarreglur þessar ná til starfsfólks þjónustubirgja er félagið kaupir þjónustu af og annarra einstaklinga er koma inn á athafnasvæði Norðuráls á Grundartanga sem og þeirra einstaklinga sem sækja um störf hjá félaginu (hér eftir sameiginlega vísað til „þín“).
Persónuverndarreglum þessum er ætlað að upplýsa þig um hvaða persónuupplýsingum félagið safnar, með hvaða hætti félagið nýtir slíkar persónuupplýsingar og hverjir fá aðgang að upplýsingunum.
Með Norðuráli er bæði átt við Norðurál Grundartanga ehf. og Norðurál ehf.
Ef þú ert í vafa um það hvernig persónuverndarreglurnar varða þig, vinsamlega hafðu samband við framkvæmdastjóra mannauðssviðs til að fá frekari upplýsingar. Samskiptaupplýsingar framkvæmdastjóra mannauðssviðs koma fram í lok reglnanna.
Tilgangur og lagaskylda
Norðurál leitast við að uppfylla í hvívetna persónuverndarlöggjöf og eru reglur þessar byggðar á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Hvað eru persónuupplýsingar?
Persónuupplýsingar í skilningi reglna þessara eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.
Persónuupplýsingar sem Norðurál safnar og vinnur um þig
Ólíkum persónuupplýsingum kann að vera safnað, eftir eðli sambands þíns við félagið.
A. Starfsfólk þjónustubirgja
Eftirfarandi eru upplýsingar sem Norðurál vinnur með um starfsfólk þjónustubirgja sem vinna fyrir félagið:
- samskiptaupplýsingar svo sem nafn, netfang og símanúmer; og
- kennitala.
Fyrir það starfsfólk þjónustubirgja sem starfar innan athafnasvæðis Norðuráls á Grundartanga er auk þess unnið með eftirtaldar upplýsingar:
- passamynd;
- undirritun um móttöku á fræðslu, s.s. um rafræna vöktun;
- vinnuseðlar og/eða tímaskýrslur;
- upptökur úr öryggismyndavélum;
- aðgangsupplýsingar og upplýsingar um viðveru á athafnasvæðinu;
- upplýsingar um keyptar máltíðir hjá mötuneyti,
- viðveruskráning á öryggisnámskeið, og
- eftir atvikum upplýsingar um vinnuslys eða önnur öryggisfrávik.
Að meginstefnu til aflar Norðurál persónuupplýsinga beint frá starfsfólki þjónustubirgja eða öðrum tengilið hjá viðkomandi þjónustubirgja. Í þeim tilvikum þar sem að persónuupplýsinga er aflað frá þriðja aðila mun félagið leitast við að upplýsa um slíkt.
B. Einstaklingar sem heimsækja athafnasvæði Norðuráls
Eftirfarandi eru upplýsingar sem félagið vinnur með um ytri aðila er heimsækja athafnasvæði Norðuráls á Grundartanga:
- samskiptaupplýsingar svo sem nafn, fyrirtæki, símanúmer, komu- og brottfarartími; og
- upptökur úr öryggismyndavélum.
C. Umsækjendur um störf
Að meginstefnu til vinnur Norðurál með eftirfarandi upplýsingar um umsækjendur:
- samskiptaupplýsingar, svo sem nafn, kennitala, heimilisfang, símanúmer og tölvupóstfang;
- starfsumsóknir, meðmæli og upplýsingar úr starfsviðtölum; og
- upplýsingar um menntun, þjálfun og starfsreynslu.
Hvað varðar umsækjendur sem komast áfram í viðtal, þá safnar Norðurál auk þess eftirfarandi upplýsingum, eftir því sem við á:
- upplýsingar um ökuréttindi og vinnuvélaréttindi; og
- upplýsingar um hreina sakaskrá eða ekki.
Auk framangreindra upplýsinga, kann Norðurál einnig að safna og vinna aðrar upplýsingar sem umsækjendur láta félaginu sjálfir í té (t.d. um hjúskaparstöðu).
Að meginstefnu til aflar Norðurál persónuupplýsinga beint frá umsækjendum. Í þeim tilvikum þar sem að persónuupplýsinga er aflað frá þriðja aðila mun félagið leitast við að upplýsa umsækjendur um slíkt.
Auk framangreindra upplýsinga, kann Norðurál einnig að safna og vinna aðrar upplýsingar sem þú kannt að láta félaginu í té svo sem tölvupóstar til Norðuráls og upplýsingar á reikningum og upplýsingar sem eru félaginu nauðsynlegar vegna starfsemi þess.
Norðurál mun leitast við að varðveita persónuupplýsingar eins og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum.
Upplýsingar um starfsfólk þjónustubirgja sem unnar eru vegna öryggis í starfi (öryggismyndavélar og aðgangsstýringar) eru varðveittar í allt að 30 daga í samræmi við reglur um rafræna vöktun. Upplýsingar úr aðgangsstýringarkerfum eru þó jafnframt nýttar í þeim tilgangi að sannreyna viðveru þjónustubirgja og bera saman við útgefna reikninga. Í þeim tilgangi eru upplýsingar um aðgangsstýringar inn á svæði Norðuráls varðveittar í 60 daga. Samskiptaupplýsingar eru varðveittar svo lengi sem viðkomandi starfsmaður starfar hjá þjónustubirgja. Það sama á við um passamyndir. Þá eru upplýsingar um vinnuslys almennt ekki varðveittar lengur en í 20 ár frá slysinu, nema nauðsynleg sé. Bókhaldsgögn eru varðveitt í 10 ár vegna greiningarþarfa Norðuráls. Upplýsingar um umsækjendur eru varðveittar í 6 mánuði frá lokum ráðningarferils. Ef um almenna umsókn er að ræða er umsókn varðveitt í 6 mánuði frá síðustu uppfærslu umsóknar. Komi til ráðningar, eru upplýsingar varðveittar í samræmi við persónuverndarstefnu starfsfólks félagsins. Aðrar upplýsingar sem félagið kann að vinna með eru varðveittar svo lengi sem málefnaleg ástæða er til.
Hvers vegna söfnum við persónuupplýsingum og á hvaða grundvelli?
Norðurál skuldbindur sig til þess að öll vinnsla á öllum persónuupplýsingum sé lögleg, sanngjörn og gagnsæ. Upplýsingum verði aðeins safnað í tilteknum, sérstökum og lögmætum tilgangi og að söfnun og vinnsla gangi ekki lengra en þörf krefur miðað við tilgang vinnslunnar. Vinnsla skal í öllum tilvikum vera nægileg, viðeigandi og takmörkuð við það sem nauðsynlegt er miðað við tilgang vinnslunnar.
Samskiptaupplýsingar þjónustubirgja eru félaginu nauðsynlegar á grundvelli samnings, enda getur félagið ekki uppfyllt skyldur sínar á grundvelli samnings við þjónustubirgja nema að geta átt í samskiptum við starfsfólk hans.
Upplýsingar um keyptar máltíðir í mötuneyti eru jafnframt unnar á grundvelli samnings, þ.e. svo Norðurál geti sent viðkomandi þjónustubirgja reikning.
Aðrar upplýsingar eru unnar á grundvelli lögmætra hagsmuna félagsins, í öryggis- og eignarvörsluskyni. Á það t.a.m. við um aðgangs- og viðveruskráningar sem hefur þann tilgang að félagið hafi yfirsýn yfir alla sem vinna innan athafnasvæðis félagsins hverju sinni, sem og þá vinnslu sem felst í utanumhaldi á því hverjir hafa setið öryggisnámskeið. Viðveruskráningar eru einnig notaðar til að bera saman innstimplanir við reikninga, hvort sem unnið er eftir tilboði eða tímavinnu. Jafnframt eru passamyndir varðveittar til að geta borið kennsl á starfsfólk þjónustubirgja. Þá er myndavélaeftirlit einnig viðhaft í öryggis- og eignavörsluskyni á grundvelli lögmætra hagsmuna félagsins.
Upplýsingar sem unnar eru á grundvelli öryggissjónarmiða eru nauðsynlegar svo félagið geti uppfyllt skyldur sínar gagnvart þjónustubirgjum, starfsfólki sem og öðrum sem kunna að vera innan athafnasvæðis félagsins ef rýma þyrfti svæðið. Sem og til að tryggja að allir sem vinna innan athafnasvæðis þekki svæðið og þær öryggis- og umhverfisreglur sem gilda innan athafnasvæðis félagsins.
Upplýsingar um umsækjendur eru unnar í þeim tilgangi að meta hæfni umsækjanda í nánar tiltekið starf og til að meta hvort ganga skuli til samnings við viðkomandi. Vinnslan fer því fram á grundvelli beiðni umsækjanda um að gera samning við Norðurál. Hvað varðar vinnslu á upplýsingum um innihald sakaskráa byggir vinnslan auk þess á lögmætum hagsmunum Norðuráls.
Í þeim tilvikum þar sem að söfnun og vinnsla persónuupplýsinga krefst samþykkis umsækjanda, er viðkomandi ávallt heimilt að afturkalla slíkt samþykki sitt. Öll samskipti í tengslum við slíka afturköllun eða breytingu á innihaldi samþykkis skal beina til framkvæmdastjóra mannauðssviðs.
Norðurál getur að auki í einhverjum tilvikum unnið persónuupplýsingar á grundvelli lagaskyldu, s.s. vinnulöggjafar og skattalöggjafar. Sem dæmi má nefna upplýsingar um vinnutengd slys og önnur öryggisfrávik.
Miðlun til þriðju aðila
Norðurál kann að miðla persónuupplýsingum þínum til ráðgjafa, annarra verktaka og annarra þriðju aðila vegna vinnu þeirra fyrir félagið í tengslum við verktakasamning eða ráðningarferli. Þá kann félagið að veita þriðju aðilum sem sjá um upplýsingatæknimál félagsins aðgang að þeim persónuupplýsingum sem Norðurál vinnur um þig. Á það t.a.m. við um tímaskráningar starfsfólks þjónustubirgja. Þá eru ákveðin tölvukerfi félagsins, þar sem unnið er með upplýsingar um starfsfólk þjónustubirgja, hýst og rekin af móðurfélagi Norðuráls, Century Aluminium, í Bandaríkjunum. Þessir þriðju aðilar koma fram sem svokallaðir vinnsluaðilar og eru þeir bundnir samkvæmt samningi við Norðurál til að halda trúnað og gæta að öryggi þeirra persónuupplýsinga sem þeir meðhöndla fyrir hönd félagsins.
Þriðju aðilar sem veita okkur þjónustu samkvæmt framansögðu gætu verið staðsettir utan Íslands. Norðurál mun ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar. Allur flutningur til móðurfélags Norðuráls byggir á stöðluðum samningsskilmálum framkvæmdastjórnar Evrópusambandsins.
Að lokum gætu persónuupplýsingar um þig verið afhentar að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til Vinnueftirlitsins ef vinnutengt slys verður. Einnig kann persónuupplýsingum þínum að vera miðlað til þriðja aðila til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum eða dómsúrskurði. Afhending getur einnig verið nauðsynleg í neyðarástandi eða til að tryggja öryggi starfsfólks Norðuráls eða þriðja aðila.
Hvernig er öryggi persónuupplýsinga tryggt?
Norðurál leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar, með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.
Breytingar og leiðréttingar á persónuupplýsingum
Það er mikilvægt að þær persónuupplýsingar sem félagið vinnur með séu bæði réttar og viðeigandi. Því er mikilvægt að tilkynnt sé um allar breytingar sem kunna að verða á persónuupplýsingum þínum á meðan að starfað er fyrir félagið.
Þjónustubirgja ber að láta Norðurál vita hvenær starfsfólk hans hættir störfum hjá fyrirtækinu.
Starfsfólk þjónustubirgja á rétt á því að óáreiðanlegar persónuupplýsingar er þá varða séu leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga skal starfsfólk eiga rétt á að láta fullgera ófullkomnar persónuupplýsingar um sig, þ.m.t. með því að leggja fram frekari upplýsingar.
Réttur þinn hvað varðar þær persónuupplýsingar sem félagið vinnur
Þú átt rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki, og ef svo er getur þú óskað eftir aðgangi að upplýsingunum og upplýsingum um hvernig vinnslunni er hagað. Þá kann einnig að vera að þú hafir rétt á að fá afrit af upplýsingunum. Við ákveðnar aðstæður getur þú farið fram á það við félagið að við sendum upplýsingar, sem þú hefur sjálf/ur látið okkur í té eða stafa frá þér, beint til þriðja aðila.
Við ákveðnar aðstæður getur þú óskað eftir því að persónuupplýsingum um þig verði eytt án tafar, til að mynda þegar varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að þú hefur afturkallað samþykki þitt fyrir vinnslu persónuupplýsinganna ef engin önnur heimild liggur til grundvallar henni.
Í þeim tilvikum þar sem söfnun og vinnsla persónuupplýsinga krefst samþykkis starfsfólks þjónustubirgja, er viðkomandi ávallt heimilt að afturkalla samþykki sitt. Öll samskipti í tengslum við slíka afturköllun eða breytingu á innihaldi samþykkis skal beina til innkaupadeildar eða framkvæmdastjóra mannauðssviðs.
Viljir þú ekki láta eyða upplýsingum þínum, t.d. vegna þess að þú þarft á þeim að halda til að verjast kröfu, en vilt samt sem áður að þær séu ekki unnar frekar af hálfu félagsins getur þú óskað eftir því að vinnsla þeirra verði takmörkuð.
Réttur þinn til eyðingar persónuupplýsinga er hins vegar ekki fortakslaus. Þannig kunna lög eða reglugerðir að heimila eða skylda félagið til að hafna ósk um eyðingu persónuupplýsinga.
Vinsamlega beinið öllum óskum um eyðingu og/eða takmörkun vinnslu til framkvæmdastjóra mannauðssviðs sem getur einnig veitt þér frekari upplýsingar um rétt þinn.
Þegar einstaklingar nýta sér réttindi sín á grundvelli persónuverndarlaga vinnur félagið með grunnupplýsingar í þeim tilgangi að auðkenna viðkomandi og bregðast við beiðninni. Óski einstaklingur eftir aðgangi að persónuupplýsingum sem finna má í gögnum sem jafnframt innihalda upplýsingar um þriðja aðila, kann beiðni einstaklings að vera miðlað til viðkomandi þriðja aðila í þeim tilgangi að óska eftir samþykki viðkomandi fyrir því að aðgangur verði veittur að gögnunum.
Fyrirspurnir og kvörtun til Persónuverndar
Ef þú vilt nýta þér þau réttindi sem lýst er hér að ofan, eða ef þú hefur einhverjar spurningar varðandi reglurnar eða það hvernig félagið vinnur með persónuupplýsingar þínar, vinsamlegast hafðu samband við framkvæmdastjóra mannauðssviðs sbr. samskiptaupplýsingar hér að neðan.
Ef þú ert ósáttur við vinnslu félagsins á persónuupplýsingum getur þú sent erindi til Persónuverndar (www.personuvernd.is).
Samskiptaupplýsingar
Við höfum tilnefnt framkvæmdastjóra mannauðssviðs til að hafa umsjón með eftirfylgni þessarar persónuverndarreglna. Hér fyrir neðan má finna samskiptaupplýsingar hans:
Netfang: personuvernd@nordural.is
Sem áður segir er í reglum þessum vísað til Norðuráls ehf. og Norðuráls Grundartanga ehf. sem Norðuráls. Félögin koma jafnframt eftir atvikum fram sem sameiginilegir ábyrgðaraðilar, s.s. hvað varðar upplýsingatækniþjónustu.
Samskiptaupplýsingar félaganna:
Norðurál ehf
Skógarhlíð 12
105 Reykjavík
Norðurál Grundartangi ehf
Grundartanga
301 Akranes
Endurskoðun
Norðurál getur frá einum tíma til annars breytt persónuverndarreglum þessum í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Verði gerðar breytingar á persónuverndarreglum þessum verður uppfærð útgáfa af reglunum eða slíkt kynnt á heimasíðu félagsins.
Allar breytingar sem kunna að verða gerðar á reglunum taka gildi eftir að uppfærð útgáfa hefur verið kynnt á heimasíðu Norðuráls.
Þessar persónuverndarreglur voru settar þann 10. júlí 2018. Þá voru persónuverndarreglur þessar endurskoðaðar og uppfærðar reglur birtar þann 29. nóvember 2022.