Persónuverndarreglur þjónustubirgja

Norðurál (einnig vísað til „félagsins“ og „okkar“) hefur einsett sér að tryggja áreiðanleika, trúnað og öryggi persónuupplýsinga sem unnið er með innan félagsins. Persónuverndarreglur þessar ná til starfsmanna þjónustubirgja er félagið kaupir þjónustu af svo og annarra einstaklinga er koma inn á athafnasvæði Norðuráls á Grundartanga (hér eftir sameiginlega vísað til „þín“).

Persónuverndarreglum þessum er ætlað að upplýsa þig um hvaða persónuupplýsingum félagið safnar, með hvaða hætti félagið nýtir slíkar persónuupplýsingar og hverjir fá aðgang að upplýsingunum.

Ef þú ert í vafa um það hvernig persónuverndarreglurnar varða þig, vinsamlega hafðu samband við deildarstjóra starfsmannaþjónustu til að fá frekari upplýsingar. Samskiptaupplýsingar deildarstjóra starfsmannaþjónustu koma fram í lok reglnanna.

Tilgangur og lagaskylda
Norðurál leitast við að uppfylla í hvívetna persónuverndarlöggjöf og eru reglur þessar byggðar á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Hvað eru persónuupplýsingar?
Persónuupplýsingar í skilningi reglna þessa eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar.

Persónuupplýsingar sem Norðurál safnar og vinnur um þig
Ólíkum persónuupplýsingum kann að vera safnað um starfsmenn þjónustubirgja og ytri aðila og kann vinnsla og söfnun á persónuupplýsingum að fara eftir eðli þeirra verkefna sem unnin eru fyrir félagið.

Eftirfarandi eru upplýsingar sem Norðurál vinnur með um starfsmenn þjónustubirgja sem vinna fyrir félagið:

  • Samskiptaupplýsingar svo sem nafn, netfang og símanúmer, og kennitala

Fyrir þá starfsmenn þjónustubirgja sem starfa innan athafnasvæðis Norðuráls á Grundartanga er auk þess unnið með eftirtaldar upplýsingar:

  • Passamynd
  • Undirritun um móttöku á fræðslu, s.s. um rafræna vöktun
  • Tímaskráningar úr stimpilklukku hjá félaginu
  • Vinnuseðlar og/eða tímaskýrslur
  • Upptökur úr öryggismyndavélum
  • Aðgangsupplýsingar og upplýsingar um viðveru á athafnasvæðinu
  • Upplýsingar um keyptar máltíðir hjá mötuneyti
  • Viðveruskráning á öryggisnámskeið, og eftir atvikum upplýsingar um vinnuslys eða önnur öryggisfrávik

Eftirfarandi eru upplýsingar sem félagið vinnur með um ytri aðila er heimsækja athafnasvæði Norðuráls á Grundartanga:

  • Samskiptaupplýsingar svo sem nafn, fyrirtæki, símanúmer, komu- og brottfarartími
  • Upptökur úr öryggismyndavélum

Auk framangreindra upplýsinga, kann Norðurál einnig að safna og vinna aðrar upplýsingar sem þú kannt að láta félaginu í té svo sem tölvupóstar til Norðuráls og upplýsingar á reikningum og upplýsingar sem eru félaginu nauðsynlegar vegna starfsemi þess.

Að meginstefnu til aflar Norðurál persónuupplýsinga beint frá þér eða vinnuveitanda þínum. Í þeim tilvikum þar sem að persónuupplýsinga er aflað frá þriðja aðila mun félagið leitast við að upplýsa um slíkt.

Norðurál mun leitast við að varðveita persónuupplýsingar eins og þörf krefur miðað við tilgang vinnslunnar, nema annað sé heimilt eða skylt samkvæmt lögum.

Upplýsingar um starfsmenn þjónustubirgja sem unnar eru vegna öryggis í starfi (öryggismyndavélar og aðgangsstýringar) eru varðveittar í allt að 90 daga. Samskiptaupplýsingar eru varðveittar svo lengi sem viðkomandi starfsmaður starfar hjá þjónustubirgja. Það sama á við um passamyndir. Þá eru upplýsingar um vinnuslys almennt ekki varðveittar lengur en í 20 ár frá slysinu, nema nauðsynleg sé. Upplýsingar er falla undir bókhaldslög eru varðveittar í 7 ár frá lokum viðkomandi reikningsárs. Aðrar upplýsingar er kunna að myndast eru varðveittar svo lengi sem málefnaleg ástæða er til.

Hvers vegna söfnum við persónuupplýsingum og á hvaða grundvelli?
Norðurál skuldbindur sig til þess að öll vinnsla á persónuupplýsingum um starfsmenn þjónustubirgja sinna sé lögleg, sanngjörn og gagnsæ. Upplýsingum verði aðeins safnað í tilteknum, sérstökum og lögmætum tilgangi og að söfnun og vinnsla gangi ekki lengra en þörf krefur miðað við tilgang vinnslunnar. Vinnsla skal í öllum tilvikum vera nægileg, viðeigandi og takmörkuð við það sem nauðsynlegt er miðað við tilgang vinnslunnar.

Samskiptaupplýsingar þjónustubirgja eru félaginu nauðsynlegar á grundvelli samnings, enda getur félagið ekki uppfyllt skyldur sínar á grundvelli samnings við þjónustubirgja nema að geta átt í samskiptum við starfsmenn hans.

Upplýsingar um keyptar máltíðir í mötuneyti eru jafnframt unnar á grundvelli samnings, þ.e. svo Norðurál geti sent viðkomandi þjónustubirgja reikning.

Aðrar upplýsingar eru unnar á grundvelli lögmætra hagsmuna félagsins, í öryggis- og eignarvörsluskyni. Á það t.a.m. við um aðgangs- og viðveruskráningar sem hefur þann tilgang að félagið hafi yfirsýn yfir alla sem vinna innan athafnasvæðis félagsins hverju sinni, sem og þá vinnslu sem felst í utanumhaldi á því hverjir hafa setið öryggisnámskeið. Viðveruskráningar eru einnig notaðar til að bera saman innstimplanir við reikninga, hvort sem unnið er eftir tilboði eða tímavinnu. Jafnframt eru passamyndir varðveittar til að geta borið kennsl á starfsmenn þjónustubirgja. Þá er myndavélaeftirlit einnig viðhaft í öryggis- og eignavörsluskyni á grundvelli lögmætra hagsmuna félagsins.

Upplýsingar sem unnar eru á grundvelli öryggissjónarmiða eru nauðsynlegar svo félagið geti uppfyllt skyldur sínar gagnvart þjónustubirgjum, starfsmönnum sem og öðrum sem kunna að vera innan athafnasvæðis félagsins ef rýma þyrfti svæðið. Sem og til að tryggja að allir sem vinna innan athafnasvæðis þekki svæðið og þær öryggis- og umhverfisreglur sem gilda innan athafnasvæðis félagsins.

Norðurál getur að auki í einhverjum tilvikum unnið persónuupplýsingar á grundvelli lagaskyldu, s.s. vinnulöggjafar og skattalöggjafar. Sem dæmi má nefna upplýsingar um vinnutengd slys og önnur öryggisfrávik.

Miðlun til þriðju aðila
Norðurál kann að miðla persónuupplýsingum þínum til ráðgjafa, annarra verktaka og annarra þriðju aðila vegna vinnu þeirra fyrir félagið í tengslum við verktakasamning. Á það t.a.m. við um tímaskráningar starfsmanna þjónustubirgja.

Einnig gæti persónuupplýsingum verið miðlað til þriðju aðila sem veita okkur upplýsingatækniþjónustu og aðra þjónustu sem tengist vinnslu og er hluti af rekstri félagsins.

Þriðju aðilar sem veita okkur þjónustu samkvæmt framansögðu gætu verið staðsettir utan Íslands. Norðurál mun ekki miðla persónuupplýsingum utan Evrópska efnahagssvæðisins nema slíkt sé heimilt á grundvelli viðeigandi persónuverndarlöggjafar.

Að lokum gætu persónuupplýsingar um þig verið afhentar að því marki sem heimilað er eða krafist er á grundvelli viðeigandi laga eða reglna, s.s. til Vinnueftirlitsins ef vinnutengt slys verður. Einnig kann persónuupplýsingum þínum að vera miðlað til þriðja aðila til að bregðast við löglegum aðgerðum eins og húsleitum, stefnum eða dómsúrskurði. Afhending getur einnig verið nauðsynleg í neyðarástandi eða til að tryggja öryggi starfsmanna Norðuráls eða þriðja aðila.

Hvernig er öryggi persónuupplýsinga tryggt?
Norðurál leitast við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar, með sértöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun þeirra.

Breytingar og leiðréttingar á persónuupplýsingum
Það er mikilvægt að þær persónuupplýsingar sem félagið vinnur með séu bæði réttar og viðeigandi. Því er mikilvægt að tilkynnt sé um allar breytingar sem kunna að verða á persónuupplýsingum þínum á meðan að starfað er fyrir félagið.

Þjónustubirgja ber að láta Norðurál vita hvenær starfsmenn hans hætta störfum hjá fyrirtækinu.

Starfsmenn þjónustubirgja eiga rétt á því að óáreiðanlegar persónuupplýsingar er þá varða séu leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga skal starfsmaður eiga rétt á að láta fullgera ófullkomnar persónuupplýsingar um hann, þ.m.t. með því að leggja fram frekari upplýsingar.

Vinsamlega beinið öllum uppfærslum til innkaupadeildar.

Réttur þinn hvað varðar þær persónuupplýsingar sem félagið vinnur
Þú átt rétt á að fá staðfest hvort við vinnum persónuupplýsingar um þig eða ekki, og ef svo er getur þú óskað eftir aðgangi að upplýsingunum og upplýsingum um hvernig vinnslunni er hagað. Þá kann einnig að vera að þú hafir rétt á að fá afrit af upplýsingunum. Við ákveðnar aðstæður getur þú farið fram á það við félagið að við sendum upplýsingar, sem þú hefur sjálf/ur látið okkur í té eða stafa frá þér, beint til þriðja aðila.

Við ákveðnar aðstæður getur þú óskað eftir því að persónuupplýsingum um þig verði eytt án tafar, til að mynda þegar varðveisla upplýsinganna er ekki lengur nauðsynleg miðað við tilgang vinnslunnar eða vegna þess að þú hefur afturkallað samþykki þitt fyrir vinnslu persónuupplýsinganna ef engin önnur heimild liggur til grundvallar henni.

Í þeim tilvikum þar sem söfnun og vinnsla persónuupplýsinga krefst samþykkis starfsmanns þjónustubirgja, er viðkomandi ávallt heimilt að afturkalla samþykki sitt. Öll samskipti í tengslum við slíka afturköllun eða breytingu á innihaldi samþykkis skal beina til deildarstjóra starfsmannaþjónustu.

Viljir þú ekki láta eyða upplýsingum þínum, t.d. vegna þess að þú þarft á þeim að halda til að verjast kröfu, en vilt samt sem áður að þær séu ekki unnar frekar af hálfu félagsins getur þú óskað eftir því að vinnsla þeirra verði takmörkuð.

Réttur þinn til eyðingar persónuupplýsinga er hins vegar ekki fortakslaus. Þannig kunna lög eða reglugerðir að heimila eða skylda félagið til að hafna ósk um eyðingu persónuupplýsinga.

Vinsamlega beinið öllum óskum um eyðingu og/eða takmörkun vinnslu til umsjónarmanns starfsmannaþjónustu sem getur einnig veitt þér frekari upplýsingar um rétt þinn.

Fyrirspurnir og kvörtun til Persónuverndar
Ef þú vilt nýta þér þau réttindi sem lýst er í 8. gr. í persónaverdnarreglum þessum, eða ef þú hefur einhverjar spurningar varðandi reglurnar eða það hvernig félagið vinnur með persónuupplýsingar þínar, vinsamlegast hafðu samband við deildarstjóra starfsmannaþjónustu sbr. 10. gr. í reglum þessum.

Ef þú ert ósátt/ur við vinnslu félagsins á persónuupplýsingum getur þú sent erindi til Persónuverndar (www.personuvernd.is).

Samskiptaupplýsingar
Við höfum tilnefnt deildarstjóra starfsmannaþjónustu til að hafa umsjón með eftirfylgni þessarar persónuverndarreglna. Hér fyrir neðan má finna samskiptaupplýsingar hans:
personuvernd@nordural.is 

Samskiptaupplýsingar félagsins:

Norðurál ehf
Skógarhlíð 12
105 Reykjavík

Norðurál Grundartangi ehf
Grundartanga
301 Akranes

Endurskoðun
Norðurál getur frá einum tíma til annars breytt persónuverndarreglum þessum í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig félagið vinnur með persónuupplýsingar. Verði gerðar breytingar á persónuverndarreglum þessum verður uppfærð útgáfa af reglunum eða slíkt kynnt á heimasíðu félagsins.

Allar breytingar sem kunna að verða gerðar á reglunum taka gildi eftir að uppfærð útgáfa hefur verið kynnt á heimasíðu Norðuráls.

Þessar persónuverndarreglur voru settar þann 10. júlí 2018