Persónuverndarstefna Securitas
Hjá Securitas er lögð rík áhersla á verndun og öryggi persónuupplýsinga. Persónuverndarfulltrúi Securitas hefur eftirlit með því að fyrirtækið uppfylli skyldur sínar samkvæmt persónuverndarlögum. Allar fyrirspurnir vegna persónuverndar skulu berast á netfangið personuvernd@securitas.is
Hér má nálgast Almenna persónuverndarstefnu Securitas
Hér má nálgast Persónuverndarstefnu starfsumsækjenda
Securitas endurskoðar stefnuna reglulega til að sjá til þess að hún sé í samræmi við gildandi lagakröfur og endurspegli þá vinnslu persónuupplýsinga sem á sér stað hjá félaginu á hverjum tíma. Síðustu breytingar voru gerðar í maí 2018.
Einstaklingar geta óskað eftir aðgangi að persónuupplýsingum sem skráðar eru um þá hjá Securitas með því að fylla eftirfarandi eyðublað út: Beiðni um aðgang að persónuupplýsingum og senda með tölvupósti á personuvernd@securitas.is. Einstaklingar geta einnig óskað eftir því að öllum persónuupplýsingum um þá verði eytt úr skrám Securitas með því að fylla þetta eyðublað út: Beiðni um eyðingu persónuupplýsinga og senda með tölvupósti á personuvernd@securtas.is.
Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfsemi okkar. Allir starfsmenn fyrirtækisins eru þátttakendur í persónuverndarstefnu okkar og höfum við innleitt viðeigandi verkferla, aðferðir, þjálfun, öryggisþætti og aðra þætti með það að markmiði að tryggja fylgni við persónuverndarstefnuna.
Securitas deilir aldrei þínum persónuupplýsingum. Einu upplýsingarnar sem Securitas deilir eru tölfræðiskýrslur og/eða greiningar sem byggja á samanteknum og ópersónugreinanlegum gögnum frá hópi notenda, sjá Til að veita þjónustuna hér að ofan.
Sem ábyrgðaraðili er okkur aðeins heimilt að vinna persónuupplýsingar á grundvelli skýrra heimilda persónuverndarlaga, þ.m.t. á grundvelli samþykkis. Skráður einstaklingur er talinn samþykkja vinnslu persónuupplýsinga, ef hann gefur til kynna með skýrum hætti, með viljayfirlýsingu eða annarri athöfn, að hann samþykki vinnsluna. Samþykki þarfnast skýrrar athafnar. Þar af leiðandi fela þögn, reitir sem þegar er búið að haka við eða aðgerðaleysi því ekki í sér samþykki. Ef hinn skráði gefur samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli. Skráður einstaklingur á rétt á að draga samþykki sitt til baka hvenær sem er og skal fyrirtækið verða við slíkri beiðni svo fljótt sem auðið er. Samþykki gæti þurft að vera endurnýjað ef við hyggjumst vinna persónuupplýsingar í nýjum og ósamrýmanlegum tilgangi, sem ekki var tilgreindur þegar hinn skráði einstaklingur gaf samþykki sitt í upphafi. Að því gefnu að við getum ekki stuðst við aðra heimild til vinnslu, er afdráttarlaust samþykki almennt notað sem grundvöllur vinnslu viðkvæmra persónuupplýsinga, sjálfvirkrar einstaklingsmiðaðrar ákvörðunartöku og miðlunar persónuupplýsinga yfir landamæri. Yfirleitt styðjumst við aðrar heimildir við vinnslu flestra tegunda viðkvæmra persónuupplýsinga (og þurfum þar af leiðandi ekki afdráttarlaust samþykki). Þegar afdráttarlauss samþykkis er krafist, munum við tryggja að samþykkið sé að fullu í samræmi við ákvæði persónuverndarlaga. Okkur ber ávallt að afla sönnunar á því að samþykkis hafi verið aflað og halda skrár um öll veitt samþykki, svo að við getum sýnt fram á að kröfum persónuverndalaga sé gætt, hvað samþykki varðar.
Persónuverndarlög krefjast þess að ábyrgðaraðili útskýri fyrir hinum skráða einstaklingi með ítarlegum hætti hvaðan persónuupplýsingum er safnað, m.a. hvort persónuupplýsingum hafi verið aflað frá hinum skráða einstaklingi eða frá þriðja aðila. Við munum koma slíkum útskýringum til skila með viðeigandi hætti, á aðgengilegu formi og á skýru og einföldu máli svo hinn skráði einstaklingur geti auðveldlega skilið þær. Þegar við söfnum persónuupplýsingum beint frá hinum skráða einstaklingi, þ.m.t. vegna mannauðs- eða starfsmannamála, látum við hinum skráðum einstaklingi í té allar þær upplýsingar sem persónuverndarlög krefjast, þ.m.t. heiti og samskiptaupplýsingar ábyrgðaraðila og persónuverndarfulltrúa, hvernig og af hverju við vinnum, miðlum, verndum og geymum tilteknar persónuupplýsingar. Er þetta kynnt hinum skráða einstaklingi þegar hann veitir okkur persónuupplýsingarnar við upphaf vinnslu. Þegar persónuupplýsingum er safnað með óbeinum hætti (t.d. þegar upplýsingar eru fengnar frá þriðja aðila eða þeim er aflað af miðli sem er aðgengilegur almenningi), látum við hinum skráða einstaklingi í té allar þær upplýsingar sem persónuverndarlög krefjast eins fljótt og auðið er eftir að upplýsinganna er aflað. Þá gætum við þess að þriðji aðilinn hafi safnað upplýsingunum í samræmi við persónuverndarlög og á grundvelli, sem samræmist fyrirhugaðri vinnslu okkar á persónuupplýsingunum.
Persónuupplýsingar skulu aðeins vera fengnar í skýrt tilgreindum og lögmætum tilgangi. Þær skulu ekki vera unnar frekar á þann hátt að ósamrýmanlegt sé þeim tilgangi. Okkur er óheimilt að nota persónuupplýsingar í nýjum, ólíkum eða ósamrýmanlegum tilgangi við þann, sem upphaflega var gert ráð fyrir, nema við höfum tilkynnt hinum skráða einstaklingi um hinn nýja tilgang og hann hefur gefið samþykki sitt fyrir slíkri breyttri vinnslu (sé öflun samþykkis nauðsynleg).
Persónuupplýsingar skulu vera nægilegar, viðeignandi og takmarkast við það sem nauðsynlegt er miðað við tilgang vinnslunnar. Okkur er aðeins heimilt að afla persónuupplýsinga sem eru nauðsynlegar og ekki safna meiri upplýsingum en þörf er á. Við gætum þess að allar persónuupplýsingar, sem safnað er, séu nægjanlegar og viðeigandi miðað við tilgang vinnslunnar. Okkur ber að gæta þess að eyða persónuupplýsingum eða gera þær ópersónugreinanlegar þegar ekki er lengur þörf á persónuupplýsingunum vegna tilgangs vinnslunnar.
Persónuupplýsingar skulu vera áreiðanlegar og, ef nauðsyn krefur, uppfærðar. Tryggja skal að persónuupplýsingar, sem eru óáreiðanlegar, verði eytt eða þær leiðréttar án tafar. Okkur ber að gæta þess að persónuupplýsingar, sem við búum yfir, séu áreiðanlegar, réttar, uppfærðar og viðeigandi miðað við tilgang vinnslunnar. Við athugum áreiðanleika persónuupplýsinganna þegar þeim er aflað og með reglulegu millibili eftir öflun. Við gerum viðeigandi ráðstafanir til að eyða eða lagfæra óáreiðanlegum eða óuppfærðum persónuupplýsingum.
Persónuupplýsingar skulu varðveittar á því formi að ekki sé unnt að persónugreina skráða einstaklinga lengur en þörf krefur, miðað við tilganginn með vinnslu upplýsinganna. Okkur er óheimilt að varðveita persónuupplýsingar á formi þar sem unnt er að persónugreina skráða einstaklinga lengur en þörf er á miðað við upphaflegan tilgang vinnslunnar. Við fylgjum stefnu um varðveislu gagna, til að stuðla að því að persónuupplýsingum sé eytt eftir hæfilegan tíma miðað við tilgang varðveislunnar, nema lög krefjist þess að slíkar upplýsingar séu varðveittar í lengri tíma. Við gerum viðeigandi ráðstafanir til að eyða öllum persónuupplýsingum, sem ekki er lengur þörf á í samræmi við viðeigandi lög, verkferla og stefnu fyrirtækisins. Við gætum þess að hinum skráða einstaklingi sé tilkynnt um hversu lengi upplýsingar eru geymdar og hvernig lengd þess tíma er ákveðin.
Persónuverndarlög krefjast þess að ábyrgðaraðili tilkynni sérhvert öryggisbrot við vinnslu persónuupplýsinga til eftirlitsyfirvalda. Í ákveðnum tilvikum skal ábyrgðaraðili jafnframt tilkynna skráðum einstaklingum um öryggisbrot. Þá ber vinnsluaðila að tilkynna ábyrgðaraðila um öryggisbrot, sem verða við vinnslu vinnsluaðila. Við höfum komið upp ferlum um hvernig skal meðhöndla möguleg öryggisbrot við vinnslu persónuupplýsinga og munum við tilkynna viðeigandi eftirlitsyfirvöldum, skráðum einstaklingum og ábyrgðaraðilum um öryggisbrot eins og lög mæla fyrir um.
Við skjalfestum með nákvæmum hætti vinnslu persónuupplýsinga, að því marki sem slíkrar skráningar er krafist samkvæmt persónuverndarlögum. Við höldum skrá yfir vinnslustarfsemi okkar, þ.m.t. skrá yfir samþykki hinna skráðu einstaklinga og hvernig samþykkis er aflað. Í skránni kemur m.a. fram heiti og samskiptaupplýsingar ábyrgðaraðila og persónuverndarfulltrúa (ef hann hefur verið skipaður), tilgangur vinnslunnar, lýsing á flokkum skráðra einstaklinga og flokkum persónuupplýsinga, flokkar viðtakenda, sem fengið hafa eða munu fá persónuupplýsingar í hendur, hvar persónuupplýsingarnar eru geymdar, miðlun persónuupplýsinga, fyrirhuguð tímamörk varðandi eyðingu persónuupplýsinga og almenn lýsing á öryggisráðstöfunum. Til að útbúa slíkar skrár er nauðsynlegt að persónuupplýsingar séu skráðar með þeim hætti að fram komi allar þær upplýsingar, sem hér að ofan greinir, ásamt því að flæði persónuupplýsinganna sé skýrt.
Fyrirtækið sér starfsmönnum fyrir fullnægjandi þjálfun þannig að þeim sé kleift að fylgja persónuverndarlögum. Fyrirtækið prófar kerfi og ferla fyrirtækisins til að meta hvort kröfum persónuverndarlaga sé mætt og hvort til staðar séu nægjanlegar varnir og hvort úrræði séu í boði til að gætt sé að notkun og vernd persónuupplýsinga með fullnægjandi hætti.
Fyrirtækinu ber að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, sem skulu vera gerðar til að framfylgja meginreglum um persónuvernd og fella nauðsynlegar verndarráðstafanir inn í vinnslu persónuupplýsinga með skilvirkum hætti (innbyggð persónuvernd), t.d. með notkun gerviauðkenna. Fyrirtækið hefur metið með hvaða hætti unnt er að tryggja innbyggða persónuvernd í öllum forritum, kerfum og ferlum, sem eru notuð til að vinna persónuupplýsingar með hliðsjón af:
Almennt er SEÁ óheimil ef hún hefur réttaráhrif að því er varðar hinn skráða einstakling eða snertir hann á sambærilegan hátt að verulegu leyti, nema ákvörðunin: a) Byggist á afdráttarlausu samþykki hins skráða; b) er heimiluð í lögum eða c) er forsenda þess að unnt sé að gera eða framkvæma samning við hinn skráða einstakling. Sé ákvörðun tekin, sem byggir á sjálfvirkri gagnavinnslu (þ.m.t. gerð persónusniða), ber fyrirtækinu að gera hinum skráða einstaklingi grein fyrir andmælarétti sínum í síðasta lagi þegar fyrst er haft samband við hann. Skal rétturinn vera settur skýrt fram og aðgreindur frá öðrum upplýsingum. Þess að auki skal gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða. Fyrirtækinu ber einnig að gera hinum skráða einstaklingi grein fyrir þeirri aðferðafræði, sem er beitt í ákvörðunartökunni eða gerð persónusniðsins, mikilvægi og fyrirhuguðum áhrifum, ásamt því að gefa hinum skráða einstaklingi rétt til íhlutunar, að láta skoðun sína í ljós og vefengja ákvörðunina. Mat á áhrifum á persónuvernd mun verða gert áður en sjálfvirk gagnavinnsla (þ.m.t. gerð persónusniðs) eða SEÁ hefst.
Okkur ber að fylgja tilteknum reglum þegar við styðjumst við beina markaðsetningu. Þörf er á fyrirfram samþykki hins skráða þegar stuðst er við beina rafræna markaðssetningu, (t.d. með tölvupósti eða smáskilaboðum). Ekki er þörf á samþykki þegar beinni rafrænni markaðsetningu er beint að núverandi viðskiptavini fyrirtækisins og við höfum þegar aflað samskiptaupplýsinga um hinn skráða í viðskiptum við hann og um er að ræða markaðsetningu á sambærilegum vörum eða þjónustu, ásamt því að við höfum gefið einstaklingum tækifæri á að afþakka markaðssetningunna strax í upphafi þegar við öfluðum upplýsinganna og jafnframt í öllum skilaboðum þar á eftir. Réttur hins skráða til að andmæla vinnslu í þágu beinnar markaðssetningar skal vera kynntur fyrir honum og skal andmælarétturinn settur skýrt fram og aðgreindur frá öðrum upplýsingum. Ef hinn skráði andmælir vinnslu í þágu beinnar markaðssetningar, skal vinnslu hætt eins fljótt og auðið er. Ef hinn skráði nýtir þennan rétt sinn, skal ekki vinna persónuupplýsingar frekar í slíkum tilgangi. Vinnslu skal hætt að því marki að einungis sé haldið eftir nægjanlegum upplýsingum til að tryggja að óskir einstaklingsins varðandi markaðssetningu séu virtar í framtíðinni.
Við áskiljum okkur þann rétt að breyta persónuverndarstefnu þessari hvenær sem er, án fyrirvara. Ef persónuverndarstefnunni er breytt, munum við gefa út nýja útgáfu, þar sem útgáfudagur og listi yfir gerðar breytingar koma fram.