Hoppa yfir valmynd

Meðferð persónuupplýsinga

Útgáfa 1.00                                

Stjórnarráð Íslands

Í Stjórnarráði Íslands eru tólf ráðuneyti:

  • Forsætisráðuneyti
  • Dómsmálaráðuneytið
  • Félags- og vinnumarkaðsráðuneytið
  • Fjármála- og efnahagsráðuneytið
  • Háskóla-, iðnaðar- og nýsköpunarráðuneytið
  • Heilbrigðisráðuneytið
  • Innviðaráðuneytið
  • Matvælaráðuneytið
  • Menningar- og viðskiptaráðuneytið
  • Mennta- og barnamálaráðuneytið
  • Umhverfis-, orku- og loftslagsráðuneytið
  • Utanríkisráðuneytið

Nánari upplýsingar um ráðuneytin er að finna hér á vef Stjórnarráðsins (undir „Ráðuneyti“ í valmynd).

Persónuverndarfulltrúi Stjórnarráðs Íslands

Persónuverndarfulltrúi Stjórnarráðsins er Daði Heiðar Kristinsson. Hægt er að hafa samband við hann í síma 545 8800 eða senda tölvupóst á netfangið personuverndarfulltrui[hja]stjornarradid.is. Hann hefur aðstöðu hjá Rekstrarfélagi Stjórnarráðsins, Skuggasundi 3, 101 Reykjavík.

Persónuverndarfulltrúi er óháður og sjálfstæður í störfum og hefur eftirlit með meðferð persónuupplýsinga innan Stjórnarráðsins.

Erindum og fyrirspurnum er varða vinnslu persónuupplýsinga hjá Stjórnarráðinu skal beint til persónuverndarfulltrúa.

Hvernig unnið er með persónuupplýsingar innan Stjórnarráðsins*

Þessari síðu er ætlað að veita upplýsingar um þá vinnslu persónuupplýsinga sem á sér stað í Stjórnarráði Íslands. Í fyrsta kafla er fjallað almennt um meðferð persónuupplýsinga í Stjórnarráðinu en í öðrum kafla er nánari umfjöllun um meðferð persónuupplýsinga í tilteknum verkefnum ráðuneyta:

  • Heimsóknir á vef Stjórnarráðsins og áskrift að efni vefsins.
  • Gestir hjá ráðuneytum, fundir, viðburðir og annað.
  • Myndavélakerfi.
  • Fyrirspurnir sendar ráðuneytum.
  • Umsóknir um styrki.
  • Umsóknir um leyfi.
  • Stjórnsýslukærur.
  • Kaup ráðuneyta á vöru og þjónustu.
  • Umsækjendur um störf hjá Stjórnarráðinu.
  • Nefndir og starfshópar hjá Stjórnarráðinu og ríkisstofnunum.

Í fræðslunni er gengið út frá eftirfarandi spurningum:

  • Hvaða persónuupplýsingar er unnið með?
  • Hvers vegna er unnið með persónuupplýsingarnar?
  • Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?
  • Hvernig er persónuupplýsinganna aflað eða þær fengnar?
  • Hverjir vinna með persónuupplýsingarnar?
  • Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?
  • Hver eru réttindi einstaklinga hvað varðar vinnslu persónuupplýsinga hjá Stjórnarráðinu?

Einnig er sagt frá því ef einstaklingar og fyrirtæki utan ráðuneytanna vinna með persónuupplýsingarnar fyrir þau.

*Þessi persónuverndarstefna er sett fram með þeim fyrirvara að hún er enn í vinnslu og mun taka breytingum og verða uppfærð. Þá er mögulegt að einhverjar upplýsingar séu rangar og verða þær leiðréttar við fyrsta tækifæri.

Það fer eftir málum eða verkefnum ráðuneyta hvaða upplýsingar um einstaklinga er unnið með. Í flestum tilfellum skrá ráðuneyti hjá sér samskiptaupplýsingar um einstaklinga, sem fengnar eru frá þeim sjálfum og Þjóðskrá Íslands, eins og:

  • nafn, heimilisfang, kennitölu, síma, netfang o.fl.

Ráðuneytin skrá líka niður aðrar upplýsingar, eins og:

  • samskipti við einstaklinga.
  • efni erindis.
  • öll gögn og skjöl sem fylgja erindum.

Það fer eftir hverju máli fyrir sig eða málaflokki hvaða persónuupplýsingum er safnað aukalega. Nánari upplýsingar um hvaða persónuupplýsingar unnið er með í einstaka verkefnum ráðuneyta má sjá hér fyrir neðan í viðeigandi köflum.

Ráðuneytin vinna oftast með persónuupplýsingar eftir að einstaklingar hafa samband að fyrra bragði, svo sem til að:

  • afgreiða fyrirspurnir eða erindi,
  • afgreiða umsóknir um styrki eða leyfi,
  • afgreiða kvartanir eða kærur einstaklinga,
  • taka við umsóknum um störf hjá ráðuneytum,

Þá er unnið með persónuupplýsingar um einstaklinga sem:

  • gerast áskrifendur að efni á vef Stjórnarráðsins,
  • skrá sig á viðburði á vegum ráðuneyta,
  • heimsækja eða eiga fundi í ráðuneytum.

Auk þess hafa ráðuneytin upplýsingar um skjólstæðinga sína og eins tengiliði, birgja og samningsaðila, ráðgjafa og verktaka.

Í einhverjum tilvikum vinna ráðuneytin með persónuupplýsingar einstaklinga án þess að þeir hafi sjálfir átt frumkvæði að því. Það á helst við þegar ráðuneytum berast persónuupplýsingar um einstaklinga í tengslum við afgreiðslu mála annarra einstaklinga eða vegna upplýsingaöflunar ráðuneyta í tengslum við mál þar sem málsmeðferð stofnana, sem undir þau heyra, er tekin til skoðunar. Sem dæmi má nefna ef einstaklingur er nefndur á nafn í kvörtun eða kæru annars einstaklings vegna máls sem er til meðferðar hjá ráðuneyti.

Þar sem ráðuneytin móta stefnur og áætlanir á sínu málefnasviði eru í sumum tilvikum unnar tölfræðiupplýsingar úr tölfræðigögnum sem fengin eru frá ríkisstofnunum sem heyra undir ráðuneytin. Yfirleitt er ekki hægt að rekja slíkar upplýsingar til einstaklinga en stundum verður að vera hægt að gera það svo að bera megi saman ólíkar skrár með upplýsingum og koma í veg fyrir tvískráningu. Í slíkum tilvikum er gætt að því að einungis það starfsfólk sem þarf á upplýsingunum að halda vinnu sinnar vegna hafi aðgang að þeim og að ekki sé hægt að rekja upplýsingarnar til einstaklinga þegar niðurstöður greiningarvinnunnar eru birtar.

Upplýsingunum er safnað eða þær skráðar til þess að hægt sé að afgreiða erindi og mál einstaklinga sem berast ráðuneytum, til að sinna eftirliti með starfsemi ríkisstofnana sem heyra undir viðkomandi ráðuneyti, til að kaupa vöru og þjónustu og til að móta stefnu og áætlanir ríkisins til framtíðar í ákveðnum málaflokkum.

Ráðuneytin vinna að jafnaði með persónuupplýsingar til að sinna opinberu hlutverki sínu, til að gæta almannahagsmuna eða vegna lagaskyldu eða -heimildar. Þá er unnið með upplýsingar í tengslum við tölfræði-, sagnfræði- eða vísindarannsóknir, og við skjalavistun. Þegar unnið er með upplýsingar um birgja og aðra sem eiga í viðskiptum við ráðuneytin vegna kaupa á vöru eða þjónustu er það gert til þess að geta efnt samning við viðkomandi. Í fáein skipti er unnið með persónuupplýsingar á grundvelli samþykkis, þ.e. fólk samþykkir að ráðuneyti fái og noti upplýsingar um það um leið og það sendir mál, fyrirspurn eða erindi til ráðuneytisins. Auk þess vinna ráðuneytin með upplýsingar í einhverjum tilvikum til að stofna, hafa uppi eða verja réttarkröfur, þ.e. gæta hagsmuna fyrir dómstólum eða öðrum stjórnvöldum.

*Hægt er að sjá skilgreiningar feitletraðra orða í hugtakalista.

Yfirleitt berast ráðuneytum persónuupplýsingar frá einstaklingunum sjálfum með tölvupósti, bréfapósti eða í síma. Ráðuneytin afla einnig upplýsinga hjá ríkisstofnunum sem undir þau heyra og fer þá eftir viðkvæmni upplýsinganna hvaða leiðir eru notaðar. Leitast er við að tryggja öryggi upplýsinganna eftir fremsta megni. Í einhverjum tilvikum fá ráðuneytin upplýsingar frá fleiri en einni ríkisstofnun, svo sem Þjóðskrá Íslands, Fjársýslu ríkisins, Tollstjóra og Ríkisskattstjóra. Þá berast upplýsingar til ráðuneytanna í gegnum vefkerfi eins og Starfatorg eða Samráðsgáttina.

Nánari fræðslu um hvernig persónuupplýsingum er safnað eða þær eru skráðar má nálgast í viðeigandi köflum um tiltekin verkefni.

Í flestum tilfellum er það starfsfólk ráðuneytis sem vinnur með persónuupplýsingarnar og þær fara ekki út fyrir ráðuneytin. Ráðuneytunum er að vísu stundum skylt að deila upplýsingum með öðrum. Sem dæmi ef ráðuneyti berst kvörtun vegna afgreiðslu máls hjá ríkisstofnun sem undir það heyrir ber því samkvæmt lögum að senda þeirri stofnun gögn málsins, þar á meðal kvörtunina sjálfa. Þá getur ráðuneytunum verið skylt að afhenda upplýsingar til annarra ríkisstofnana á grundvelli laga eða reglna, svo sem til eftirlitsstjórnvalda og dómstóla vegna málarekstrar. Sem dæmi getur umboðsmaður Alþingis krafið ráðuneytin um gögn og upplýsingar sem hann þarfnast vegna starfs síns. Auk þess veita ráðuneytin Alþingi upplýsingar þegar þau svara fyrirspurnum alþingismanna.

Samkvæmt upplýsingalögum ber ráðuneytum að afhenda upplýsingar í ákveðnum tilfellum en þá er reynt eftir fremsta megni að afmá allar persónugreinanlegar upplýsingar um aðra en þann sem ber fram beiðnina. Þá eru ýmsar upplýsingar birtar opinberlega eins og hverjir hafa sótt um ákveðin störf hjá Stjórnarráðinu, hverjir hafa sent umsagnir við lagafrumvörp inn á Samráðsgáttina og upplýsingar um þá sem ráðuneytin eiga í viðskiptum við, sbr. http://opnirreikningar.is/.

Ráðuneyti nýta oft utanaðkomandi sérfræðiráðgjöf, svo sem við ráðningu starfsfólks, álitsgerðir, greiningar o.fl. Þá eru utanaðkomandi sérfræðingar stundum fengnir til að afla persónuupplýsinga, svo sem við gerð úttekta eða skýrslna fyrir ráðuneytin, en í öðrum tilvikum fá þeir upplýsingarnar frá ráðuneytunum. Í slíkum tilvikum vinnur sérfræðingur með persónuupplýsingar á grundvelli skriflegs samnings, samkomulags eða skipunarbréfs, sitji hann í starfshóp eða nefnd, og þá einungis eftir fyrirmælum ráðuneytis.

Í einhverjum tilvikum eru gögn, skjöl og upplýsingar ráðuneyta geymd hjá öðrum aðilum, stundum vegna lagaskyldu en annars á grundvelli samnings. Sem dæmi eru upplýsingar um birgja og viðskiptamenn vegna bókhalds ráðuneyta að finna hjá Fjársýslu ríkisins sem er falið með lögum að halda utan um sameiginleg upplýsingakerfi vegna fjármála ríkisstofnana. Þá heldur Fjársýslan jafnframt utan um umsóknir og umsóknargögn þegar sótt er um störf hjá Stjórnarráðinu á vef Starfatorgs. Þá er rekstur allra tölvu- og fjarskiptakerfa flestra ráðuneyta hjá Rekstrarfélagi Stjórnarráðsins sem er ráðuneytisstofnun innan Stjórnarráðsins og eru rafræn gögn ráðuneytanna því geymd á netþjónum þess.

Öll gögn og upplýsingar í vörslu ráðuneytanna eru geymd innan Evrópska efnahagssvæðisins, hjá bandarískum fyrirtækjum sem eru hluti af Privacy Shield-samkomulaginu eða ríkjum sem Persónuvernd hefur talið veita persónuupplýsingum fullnægjandi vernd.

Þegar upplýsingar berast ráðuneytum eru þær skráðar í málaskrá sem er tölvukerfi og skjalasafn. Upplýsingarnar eru síðan notaðar til að afgreiða mál viðkomandi eða efna skyldu ráðuneytis, hvort sem hún leiðir af lögum eða samningi. Reynt er að tryggja öryggi upplýsinganna eftir fremsta megni og að einungis þeir hafi aðgang að þeim sem hafa til þess leyfi. Enda ber opinberum skjalasöfnum skylda til að tryggja örugga varðveislu skjala. Rafræn gögn ráðuneytanna eru flest geymd í kerfum Rekstrarfélags Stjórnarráðsins sem hefur vottun ÍST ISO/IEC 27001 – Stjórnunarkerfi um upplýsingaöryggi og ráðuneytin hafa einsett sér að fylgja staðlinum eftir fremsta megni.

Ráðuneytin eru skilaskyldir aðilar samkvæmt lögum um opinber skjalasöfn, nr. 77/2014. Af því leiðir að þeim er óheimilt að eyða skjölum og gögnum sem þeim berast eða verða til hjá þeim, nema að fengnu leyfi Þjóðskjalasafns Íslands. Í skilaskyldu felst jafnframt að öllum skjölum og gögnum sem berast ráðuneytum eða verða til hjá þeim, skal skilað til Þjóðskjalasafns Íslands þar sem þau eru geymd til framtíðar. Nánari upplýsingar um Þjóðskjalasafn Íslands má finna á vef safnsins: https://skjalasafn.is/.

Ráðuneytin eru opinberir aðilar og þar af leiðandi eiga réttindi einstaklinga samkvæmt persónuverndarlögum ekki alltaf við og í sumum tilfellum aðeins að hluta. Þá getur verið mismunandi hvaða réttindi einstaklingar hafa eftir því hvers vegna unnið er með persónuupplýsingarnar og með hvaða heimild.

Aðgangur að eigin persónuupplýsingum

Samkvæmt persónuverndarlögum eiga allir rétt á að fá aðgang að og afrit af eigin persónuupplýs­ingum. Þessi réttur á þó ekki við um vinnuskjöl sem notuð eru við undirbúning ákvarðana en þá eiga sömu takmarkanir við og gilda í upplýsingalögum. Rétturinn til að fá aðgang að eigin persónu­upplýsingum nær ekki til:

  • fundargerða ríkisráðs og ríkisstjórnar, minnisgreina á ráðherrafundum og gagna sem tekin hafa verið saman fyrir slíka fundi,
  • bréfaskipta við sérfróða aðila til afnota í dómsmáli eða við athugun á því hvort mál skuli höfðað,
  • gagna sem tengjast málefnum starfsmanna,
  • vinnugagna.

Þá er ráðuneytunum heimilt að takmarka réttinn til aðgangs að gögnum vegna almannahagsmuna þegar þau varða:

  • öryggi ríkisins eða varnarmál,
  • samskipti við önnur ríki eða fjölþjóðastofnanir,
  • efnahagslega mikilvæga hagsmuni ríkisins,
  • viðskipti stofnana og fyrirtækja í eigu ríkis eða sveitarfélaga að því leyti sem þau eru í samkeppni við aðra,
  • fyrirhugaðar ráðstafanir eða próf á vegum hins opinbera ef þau yrðu þýðingarlaus eða skiluðu ekki tilætluðum árangri væru þau á almannavitorði,
  • umhverfismál ef birting gagnanna getur haft alvarleg áhrif á vernd þess hluta umhverfisins sem upplýsingarnar varða, t.d. heimkynni fágætra tegund lífvera, steinda, steingervinga eða bergmyndana.

Ráðuneytum er óheimilt að veita aðgang að gögnum sem varða einka- eða fjárhagsmálefni einstaklinga, fyrirtækja og stofnana sem sanngjarnt er og eðlilegt að leynt fari, nema með samþykki þess sem í hlut á.

Ef takmarkanirnar eiga einungis við um hluta gagna er veittur aðgangur að þeim hluta sem takmarkanirnar taka ekki til.

Einstaklingar eiga alltaf rétt á að fá að vita hvort ráðuneytin vinna með persónuupplýsingar um þá og um:

  • tilgang vinnslunnar,
  • flokka persónuupplýsinga,
  • viðtakendur eða flokka viðtakenda persónuupplýsinganna,
  • varðveislutíma eða viðmið um varðveislutíma,
  • réttindi þeirra,
  • réttinn til að leggja fram kvörtun hjá Persónuvernd,
  • hvort fram fari sjálfvirk ákvarðanataka.

Leiðrétting og eyðing persónuupplýsinga (rétturinn til að gleymast)

Samkvæmt persónuverndarlögum eiga allir rétt á að óáreiðanlegar og ófullkomnar persónuupplýsingar séu lagfærðar. Upp að vissu marki eiga allir rétt á að persónuupplýsingum um þá sé eytt. Sá réttur á þó ekki við um vinnslu ráðuneyta á persónuupplýsingum enda eru þau opinberir aðilar. Ráðuneytum er óheimilt samkvæmt lögum um opinber skjalasöfn, nr. 77/2014, að breyta eða eyða gögnum í sinni vörslu nema að fengnu leyfi Þjóðskjalasafns Íslands. Einstaklingar geta þó átt rétt á að gögn verði leiðrétt og að athugasemdir séu geymdar með þeim.

Takmörkun á eða andmæli við vinnslu persónuupplýsinga

Einstaklingar geta ekki krafist þess að persónuupplýsingum sé eytt hjá ráðuneytum en í ákveðnum tilvikum geta þeir óskað eftir því að vinnslan verði takmörkuð og vinnslu hætt tímabundið þótt persónuupplýsingarnar séu enn varðveittar hjá ráðuneytum. Það á til að mynda við ef einstaklingur telur upplýsingarnar ekki réttar, að ráðuneytin hafi ekki heimild til að vinna með upplýsingarnar eða að þau þurfi ekki lengur á persónuupplýsingunum að halda fyrir vinnsluna. Ráðuneytin leggja þó sitt af mörkum til að tryggja að einungis þeir hafi aðgang að persónuupplýsingum sem þess þurfa vinnu sinnar vegna.

Einstaklingar eiga einnig rétt á að andmæla vinnslu persónuupplýsinga þegar hún fer fram vegna verks sem unnið er í þágu almannahagsmuna, við beitingu opinbers valds eða ef vinnsla fer fram til að gæta lögmætra hagsmuna ráðuneyta.

Ef unnið er með persónuupplýsingar með samþykki einstaklings getur hann alltaf dregið það til baka.

Flutningur á gögnum

Samkvæmt persónuverndarlögum eiga allir rétt á að fá eigin persónuupplýsingar á algengu tölvuformi og láta senda þær annað, ef unnið var með persónuupplýsingar með samþykki viðkomandi, vegna samnings eða með sjálfvirkum hætti.

Vinsamlegast hafið samband við persónuverndarfulltrúa Stjórnarráðsins í síma 545 8800 eða sendið tölvupóst á netfangið personuverndarfulltrui[hja]stjornarradid.is ef einhverjar spurningar vakna um réttindi einstaklings hvað varðar vinnslu persónuupplýsinga hjá Stjórnarráði Íslands eða ef einstaklingur vill leita réttar síns í tengslum við vinnslu persónuupplýsinga.

Hjá Stjórnarráði Íslands er lögð rík áhersla á að gæta öryggis persónuupplýsinga. Tölvukerfi flestra ráðuneytanna eru hýst og rekin af Rekstrarfélagi Stjórnarráðsins sem er með vottun frá British Standards Institution (BSI) um að félagið hafi innleitt stjórnkerfi upplýsingaöryggis sem uppfyllir kröfur ÍST ISO/IEC 27001 – Stjórnunarkerfi um upplýsingaöryggi-staðalsins. Rekstrarfélagið hefur sett sér stefnu í upplýsingaöryggismálum og hvert ráðuneyti hefur sett sér öryggisstefnu. Þá er öryggisstjóri starfandi hjá Rekstrarfélaginu ásamt tækni- og upplýsingaöryggisstjóra og upplýsingaöryggisnefnd. Hjá Stjórnarráðinu starfar einnig stýrihópur um netöryggi.

Til að tryggja öryggi persónuupplýsinga hafa verið innleiddar skipulagslegar og tæknilegar ráðstafanir, eins og:

  • dulkóðun gagnagrunna, samskipta og gagna við flutning,
  • aðgangsstýringar þannig að einungis þeir sem þurfa persónuupplýsingar starfa sinna vegna hafi aðgang að þeim,
  • almennar tölvuvarnir, eins og vírusvarnir og eldveggir, sem eru uppfærðar reglulega,
  • virkt öryggiseftirlit, svo sem með innri og ytri úttektum og áhættumati, og virk skráning öryggisbresta,
  • virk fræðsla fyrir starfsfólk um öryggismál.

Þá hvílir þagnarskylda á öllu starfsfólki ráðuneytanna samkvæmt lögum um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996.

Þeir sem telja vinnslu persónuupplýsinga hjá Stjórnarráði Íslands brjóta gegn rétti sínum geta sent erindi eða kvörtun til Persónuverndar.

Hægt er að hafa samband við Persónuvernd með því að senda tölvupóst á netfangið postur[hja]personuvernd.is eða í síma 510 9600. Stofnunin er til húsa á Rauðarárstíg 10, 105 Reykjavík.

Sjá nánar á vef stofnunarinnar.

Nánar um meðferð persónuupplýsinga hjá Stjórnarráði Íslands

Hér er fjallað um vinnslu persónuupplýsinga í tengslum við heimsóknir á vef Stjórnarráðsins og áskriftir að vefnum. Þegar þú notar vefi Stjórnarráðsins verða til upplýsingar um heimsóknina. Stjórnarráðið miðlar þeim ekki til annarra nema samkvæmt lagaskyldu til eftirlitsaðila.

Notkun á vefkökum

Vefkökur (e. cookies) eru litlar textaskrár sem eru vistaðar á tölvunni þinni eða snjalltæki þegar þú heimsækir vefi.

Notendur vefs Stjórnarráðsins geta samþykkt eða hafnað vefkökum með því að smella á tannhjól sem er neðarlega í horninu til vinstri á skjánum. Einnig er hægt stilla vafra þannig að þeir láti vita af kökum eða hafni þeim með öllu.

Vefkökur frá fyrsta aðila (e. first-party cookies) koma frá sama léni og vefurinn sem þú heimsækir (í þessu tilviki stjornarradid.is). Vefur Stjórnarráðsins notar aðeins slíkar vefkökur sem nauðsynlegar eru fyrir virkni vefsins. Upplýsingar úr þeim eru ekki greindar frekar.

Vefkökur frá þriðja aðila (e. third-party cookies) koma frá öðrum lénum. Það er stefna Stjórnarráðsins að nota sparlega og með ábyrgum hætti vefkökur frá þriðja aðila.  

Stjórnarráðið notar Siteimprove til vefmælinga. Við hverja komu inn á vefinn eru nokkur atriði skráð, svo sem tími og dagsetning, hvaða síða er heimsótt, leitarorð, frá hvaða vef er komið og gerð vafra og stýrikerfis. Þessar upplýsingar eru nýttar við þróun vefsins. Þær eru að einnig að hluta til gerðar opinberar á vefnum. Engum frekari upplýsingum er safnað um hverja komu (IP tölur notenda ekki skráðar) og ekki er gerð tilraun til að tengja slíkar upplýsingar við aðrar persónugreinanlegar upplýsingar.

Vefkökur frá eftirfarandi aðilum geta vistast á tölvu notanda ef þjónustan er nýtt á vef Stjórnarráðsins.

  • Á vefnum eru birt myndbönd sem vistuð eru á YouTube og Vimeo. Við það að horfa á myndböndin eru vefkökur frá þessum aðilum vistaðar. Mögulega eru aðrar myndveitur einnig notaðar eða þjónusta sem birtir beina útsendingu, það sama gildir þar.
  • Fjöldi myndrita á vefnum eru sett upp með þjónustu frá Infogram og nokkur með þjónustu frá PowerBI (Microsoft).
  • Á fáeinum síðum eru birt efni frá Twitter.

Ítarlegur listi yfir allar vefkökur, bæði frá vefnum sjálfum (fyrsta aðila) og frá þriðja aðila. 

Skráning notenda á vefnum

 

Var efnið hjálplegt?

Á flestum síðum vefsins er hægt að skrá ábendingu um hvað megi betur fara á viðkomandi síðu. Notendum er boðið að gefa upp netfang sitt svo hægt sé leiðbeina þeim á vefnum eða óska eftir frekari upplýsingum. Sé netfang ekki skráð er ekki hægt að rekja hvaðan ábendingin kom. Þessar skráningar eru geymdar í hálft ár í vefumsjónarkerfinu.

Áskrift að efni vefsins

Notendur geta skráð sig í áskrift að efni vefsins. Tilkynningar um nýtt efni eru sjálfkrafa sendar á netföng sem skráð hafa verið fyrir áskrift að efni. Netföngin eru vistuð í vefumsjónarkerfinu. Þessar upplýsingar eru aðeins notaðar til að senda út tilkynningar um nýtt efni á vefnum. Neðst í tölvupóstunum sem berst notendum er tengill sem hægt er að smella á til að segja upp áskrift.

Vefurinn og þær upplýsingar sem hann tekur á móti eru vistaðar á Íslandi hjá fyrirtæki með alþjóðlega öryggisvottun (ISO 27001).

Hafa samband – ábending eða fyrirspurn

Á öllum síðum vefsins er hægt að hafa samband við ráðuneytin með því að senda þeim tölvupóst. Skylt er að gefa upp nafn, netfang og efni ábendingar/fyrirspurnar. Tilgangur þess að skrá upplýsingar um nafn og netfang er að starfsfólk ráðuneytanna geti haft samband og svarað. Ábending/fyrirspurn er umsvifalaust send á almennt netfang þess ráðuneytis sem er valið. Þar er hún skráð í skjalakerfi (málaskrá) og erindinu komið til starfsmanns sem afgreiðir það. Afrit af erindunum og svörum ráðuneytis eru ekki vistuð í vefumsjónarkerfinu.

Tölvupóstur til vefumsjónar

Hægt er að senda tölvupóst til vefumsjónar, [email protected], með ábendingum er varða vefinn. Þeir tölvupóstar eru ekki geymdir eftir að erindum hefur verið svarað.

Uppfært í mars 2023

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Ráðuneytin vinna með ákveðnar upplýsingar um þá sem koma í ráðuneytin, svo sem:

  • nafn, netfang, síma og vinnuveitanda,
  • samskipti ráðuneytis og gests,
  • heimsóknir, eins og fundartíma og fundarefni.

Unnið er með þessar upplýsingar til þess að geta haft samband við gesti og til að skipuleggja og halda fundi eða viðburði á vegum ráðuneyta.

Af öryggisástæðum eru gestir í sumum ráðuneytum beðnir um að skrifa nafn sitt, vinnuveitanda og komutíma á sérstakt skráningarblað í afgreiðslu við komu.

Ef boðið er upp á mat á fundum eða viðburðum gæti verið óskað eftir upplýsingum frá þátttakendum um fæðuóþol eða -ofnæmi.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Þegar ráðuneyti vinna með persónuupplýsingar gesta er það oftast nær með samþykki þeirra.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Persónuupplýsingar koma yfirleitt frá gestunum sjálfum, í fundarboðum, á vef vinnuveitanda eða eru fengnar við skráningu í afgreiðslu ráðuneytis.

Hverjir vinna með persónuupplýsingarnar?

Sjaldgæft er að aðrir en starfsmenn ráðuneytis vinni með upplýsingar um gesti þess. Ef viðburðir eða fundir eru haldnir annars staðar má þó gera ráð fyrir að sá sem heldur viðburðinn safni upplýsingum um fundargesti.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Upplýsingar um fundargesti og gesti á viðburðum eru geymdar í málaskrá undir ákveðnu málsnúmeri. Þar eru allar upplýsingar um málið. Séu gögn send í bréfapósti eru þau skönnuð og sett inn á málið og þau síðan geymd í skjalasafni ráðuneytisins.

Upplýsingum og gögnum í málaskrá er ekki eytt og þeim er að endingu skilað til Þjóðskjalasafns Íslands til varðveislu. Sjá nánar um Þjóðskjalasafn Íslands á vefslóðinni https://skjalasafn.is/. Aftur á móti eru upplýsingar á skráningarblaði í afgreiðslu ekki geymdar.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Við og í húsnæði ráðuneyta má finna öryggismyndavélar. Myndavélarnar eru aðallega við lyftur, útgang og afgreiðslu ráðuneytanna og í sumum tilfellum utan húss. Öllu myndefni þar sem hreyfing á sér stað er safnað. Myndefnið er hljóðlaust. Hljóðupptaka er ýmist ekki möguleg á myndavélunum eða hefur verið gerð óvirk.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Unnið er með upplýsingar úr myndavélakerfi af öryggisástæðum til að gæta lögmætra hagsmuna ráðuneytanna.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Myndefni úr myndavélakerfi er safnað.

Hverjir vinna með persónuupplýsingarnar?

Fjarskipta- og öryggisstjóri getur skoðað myndefnið í rauntíma, aftur í tíma og tekið afrit að beiðni ráðuneytis eða lögreglu, en gögn (afrit) eru eingöngu afhent lögreglu. Öryggisverðir hafa aðgang að myndefninu; þeir geta skoðað myndefni í rauntíma og spólað aftur í tímann. Einnig hefur fjarskiptamiðstöð lögreglunnar í Skógarhlíð heimild til að skoða ýmsar vélar; hún getur skoðað myndefni í rauntíma og spólað aftur í tímann, en ekki tekið afrit.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Upptökur úr myndavélakerfi eru geymdar í allt að þrjá mánuði.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Þegar ráðuneytum er send fyrirspurn með tölvupósti eru skráðar upplýsingar til að unnt sé að svara fyrirspurninni og hafa samband við viðkomandi. Ráðuneytin skrá niður:

  • nafn, kennitölu, heimilisfang, síma, netfang o.fl.,
  • efni fyrirspurnar,
  • samskipti ráðuneytis og umsækjanda,
  • fylgigögn.

Til að svara fyrirspurn er í einhverjum tilvikum unnið með fjárhagsupplýsingar einstaklinga og jafnvel persónuupplýsingar eins og kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, heimspekilega sannfæringu eða þátttöku í stéttarfélagi, heilsufarsupplýsingar eða upplýsingar er varða kynlíf einstaklings eða kynhneigð.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Vinnsla persónuupplýsinga hjá ráðuneytum í tengslum við afgreiðslu fyrirspurna byggist á því að þau fara með opinbert vald en einnig er kveðið á um almenna skyldu ríkisstarfsmanna til að veita almenningi aðstoð og leiðbeiningar samkvæmt lögum um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996, og í stjórnsýslulögum, nr. 37/1993, er lögð skylda á stjórnvöld að veita þeim sem til þeirra leita aðstoð og leiðbeiningar um mál sem þau sinna.

Þegar ráðuneytum berast viðkvæmar persónuupplýsingar í tengslum við fyrirspurnir byggist vinnsla þeirra einnig á því að ráðuneytin fara með opinbert vald og þeim ber lagaskylda til að veita aðstoð og leiðbeiningar um mál sem þau sinna.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Persónuupplýsingar sem koma frá þeim sem sendir fyrirspurnina eru skráðar og samskiptaupplýsingar eru að hluta fengnar frá Þjóðskrá Íslands. Þá er upplýsingum einnig flett upp í tölvukerfum ráðuneytis ef þörf krefur til að svara fyrirspurn.

Ef hringt er í ráðuneyti fer almennt engin skráning fram og símtöl eru ekki hljóðrituð. Það getur þó verið að upplýsingar séu skráðar til þess að geta svarað fyrirspurn.

Persónuupplýsingum er yfirleitt safnað eða þeirra aflað með sama hætti og ef um fyrirspurn er að ræða en upplýsingar fylgja oft fyrirspurninni sjálfri.

Hverjir vinna með persónuupplýsingarnar?

Starfsfólk ráðuneytis vinnur með upplýsingarnar til að svara fyrirspurnum. Ef önnur ríkisstofnun sinnir málinu þá sendir ráðuneytið fyrirspurnina þangað og starfsfólk þess afgreiðir hana, hafi fyrirspurnin verið send í almennum pósti eða tölvupósti.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Þegar fyrirspurn berst ráðuneyti er stofnað mál í málaskrá undir ákveðnu málsnúmeri. Þar eru allar upplýsingar um málið. Sé fyrirspurn og fylgigögn send í bréfapósti eru þau skönnuð og sett inn á málið og þau síðan geymd í skjalasafni ráðuneytisins. Svarið við fyrirspurninni er síðan notað síðar til að svara öðrum sams konar fyrirspurnum.

Upplýsingum og gögnum er ekki eytt og þeim er að endingu skilað til Þjóðskjalasafns Íslands til varðveislu. Sjá nánar um Þjóðskjalasafn Íslands á vefslóðinni https://skjalasafn.is/.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Þegar beiðni frá starfsmönnum Stjórnarráðsins berast til sérfræðinga innan Umbru –  þjónustumiðstöðvar Stjórnarráðsins, fer beiðnin inn í verkbeiðnakerfi FreshDesk. Svo unnt sé að afgreiða beiðnina, er ávallt unnið með samskiptaupplýsingar líkt og nafn, netfang, póstfang, heimilisfang, og símanúmer (vinnusími og farsími), vinnustaður/ráðuneyti sem og efni þjónustubeiðni. Eftir atvikum er jafnframt unnið með annars konar upplýsingar en það fer eftir eðli beiðninnar og atvikum hverju sinni hvort vinna þarf með eftirfarandi upplýsingar:

  • Notendanafn
  • Lykilorð
  • IP-tölur
  • Nafn á netþjónum
  • Tölvunöfn
  • Kreditkortanúmer

Ef beiðni berst frá öðrum en starfsmönnum Stjórnarráðsins er ávallt unnið með nafn, netfang, vinnustað  og efni þjónustubeiðni. Eftir atvikum er jafnframt unnið með annars konar upplýsingar en það fer eftir eðli beiðninnar og atvikum hverju sinni hvort vinna þarf með eftirfarandi upplýsingar: 

  • Notendanafn
  • Lykilorð
  • Póstfang
  • Heimilisfang
  • Símanúmer

Öflun framangreindra persónuupplýsinga gerir starfsmönnum Umbru kleift að eiga í samskiptum við viðskiptavini sína á skilvirkan hátt með því að flokka samskiptin niður eða merkja þau til að auka yfirsýn og þjónustu við viðskiptavini. Upplýsingarnar eru svo notaðar til að meta þarfir viðskiptavinar og veita honum viðeigandi aðstoð, s.s. svara beiðnum og spurningum. 

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingar? 

Vinnsla persónuupplýsinga sem hér um ræðir byggist á lögmætum hagsmunum Umbru og ráðuneytanna, sem felast í því að geta veitt þjónustuna, haft eftirlit með henni og bætt hana.

Hvernig er persónuupplýsinganna aflað eða þær fengnar? 

FreshDesk vaktar nokkur pósthólf sem notendur senda beiðnir á og býr til verkbeiðnir út frá þeim.  Utan verkbeiðna af hendi notenda verða til sjálfkrafa tölvupóstar frá notendaumsýslukerfi Umbru við stofnun notenda, en þar koma fram ýmsar upplýsingar líkt og rakið hefur verið hér að framan.

Hverjir vinna með persónuupplýsingarnar?

Starfsmenn Umbru hafa aðgang að FreshDesk og er aðgangur þeirra innan Freshdesk aðskildur niður á svið. Í ákveðnum tilfellum mun verktaki hafa aðgang að ákveðnum beiðnum sem starfsmenn Umbru þurfa aðstoð við að leysa úr eða eru sérstaklega merktar á hlutaðeigandi verktaka.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar? 

Gögnin eru hýst í skýi innan Evrópska efnahagssvæðisins en þeim verður alla jafna ekki eytt. Upplýsingar um lykilorð berast örsjaldan en rétt þykir að nefna að í þeim tilvikum er ekki hægt að fjarlægja slíkar upplýsingar. Þá er aðeins hægt að fjarlægja lykilorðin, komi þær með upprunalega póstinum sem stofnar verkbeiðnina. Rétt ber að taka fram að ef notandi svarar beiðninni eða bætir við upplýsingum er ekki hægt að eiga við þann texta eftir á.  Þetta á aðeins við um lykilorð starfsmanna Stjórnarráðsins. Lykilorð starfsmanna utan Stjórnarráðsins er einkvæmt og virkar því aðeins í eitt skipti en eftir það þarf að breyta lykilorðinu við fyrstu innskráningu og líftími lykilorðsins því mjög stuttur. Auk þess er tveggja þátta auðkenning sem gerir það að verkum að samþykkja þarf innskráningu af skráða farsímanum ef einhver kemst yfir nýja lykilorðið.

Nánari fræðslu um það hvernig FreshDesk vinnur með þínar persónuupplýsingar, s.s. hvernig öryggi upplýsinganna er gætt, réttindi hinna skráðu til upplýsinganna, hvert upplýsingunum er miðlað, o.fl. má finna í persónuverndarstefnu Freshworks.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Í einhverjum tilvikum úthluta ráðuneyti styrkjum úr sjóðum og þá er ráðherrum og ríkisstjórn Íslands heimilt að ráðstafa fé til einstaklinga eða lögaðila í formi framlaga, styrkja eða annarrar fyrirgreiðslu.

Til að úthluta styrkjum þurfa ráðuneytin ákveðnar upplýsingar, eins og:

  • nafn, kennitölu, heimilisfang, síma, netfang o.fl.,
  • efni umsóknar um styrk,
  • samskipti ráðuneytis og umsækjanda,
  • nafn tengiliðar,
  • kostnaðaráætlun.

Það fer eftir málaflokki hvaða upplýsinga er óskað eftir. Komi til þess að viðkomandi fái styrk eru bankaupplýsingar skráðar svo að hægt sé að greiða styrkinn út. Stundum eru gerðir samningar við þá sem hljóta styrk og er þá safnað upplýsingum í tengslum við samningagerðina. Þá er stundum óskað eftir því að þeir sem þiggja styrk skili ráðuneyti skýrslu um hvernig styrkurinn var notaður og hver árangurinn af verkefninu var. Þessum upplýsingum er safnað til að hafa eftirlit með úthlutun fjár úr ríkissjóði.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Vinnsla persónuupplýsinga hjá ráðuneytum í tengslum við afgreiðslu styrkbeiðna byggist á því að þau fara með opinbert vald eða samþykki þess sem sækir um styrk en það fer eftir hvort styrkur er veittur á grundvelli tiltekinna laga eða almennrar heimildar í 42. gr. laga um opinber fjármál, nr. 123/2015, eða sem hluti af opinberu hlutverki ráðuneytis.

Það er sjaldgæft að unnið sé með viðkvæmar persónuupplýsingar í tengslum við styrkumsóknir en ef svo er þá er það gert, eins og fyrr segir, með samþykki viðkomandi eða vegna þess að ráðuneytin fara með opinbert vald. Í einhverjum tilvikum er um lagaskyldu að ræða.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Það fer eftir málaflokki hvernig persónuupplýsingum og gögnum er safnað. Þrír möguleikar koma helst til greina, eftir að styrkir eru auglýstir: 1) að umsækjandi sendi ráðuneyti umsókn með bréfa- eða tölvupósti, 2) sendi inn umsókn í gegnum mínar síður á vef Stjórnarráðsins (https://minarsidur.stjr.is) eða 3) í gegnum þriðja aðila sem sér þá um umsýslu styrkjanna.

Hverjir vinna með persónuupplýsingarnar?

Þegar umsóknir eru sendar beint til ráðuneyta vinnur starfsfólk þeirra með þær og fylgigögn þeirra. Í einhverjum tilvikum hefur umsýslu styrktarsjóða verið útvistað til þriðja aðila, t.d. Rannsóknarmiðstöðvar Íslands (Rannís). Upplýsingar um Rannís má sjá hér: https://www.rannis.is/.

Í einhverjum tilvikum sjá ráðuneytin um umsýslu sjóða sem eru að öðru leyti sjálfstæðir eða skila ráðherra tillögu um úthlutun. Í þeim tilvikum taka ráðuneytin á móti umsóknum og umsóknargögnum og senda meðlimum stjórnar. Í kjölfarið leggja stjórnir fram tillögu til ráðherra um úthlutun eða úthluta sjálfar styrkjum. Í öðrum tilvikum eru umsóknir sendar til sjóðsins eða annarra stjórnvalda sem skila tillögum um úthlutanir til þess ráðuneytis sem veitir styrkinn.

Þegar ráðuneytin greiða styrki úr sjóðum vinnur starfsfólk þeirra með upplýsingar um styrkþegann, þar á meðal bankaupplýsingar.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Umsóknir og umsóknargögn sem berast ráðuneytum eru geymd í málaskrá undir ákveðnu málsnúmeri. Þar eru allar upplýsingar um málið. Sé umsókn og fylgigögn send í bréfapósti eru þau skönnuð og sett inn á málið og þau síðan geymd í skjalasafni ráðuneytisins.

Upplýsingum og gögnum málsins er ekki eytt og þeim er að endingu skilað til Þjóðskjalasafns Íslands til varðveislu. Sjá nánar um Þjóðskjalasafn Íslands á vefslóðinni https://skjalasafn.is/.

Í sumum tilfellum eru birtar upplýsingar um styrki á vef Stjórnarráðsins, svo sem hverjir fengu styrk og upphæð styrks, og jafnvel í fjölmiðlum.

Þá geta fjölmiðlar átt rétt á því að fá upplýsingar um hverjir hafa hlotið styrki frá ráðuneytum og hve háa upphæð á grundvelli upplýsingalaga.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Sum ráðuneyti veita einstaklingum og fyrirtækjum ýmiss konar leyfi, svo sem starfsleyfi eða sérfræðileyfi en einnig önnur leyfi. Við afgreiðslu leyfisumsóknar þurfa ráðuneytin að safna, skrá og vinna með ákveðnar persónuupplýsingar, eins og:

  • nafn, kennitölu, heimilisfang, síma, netfang o.fl.,
  • efni umsóknar,
  • samskipti ráðuneytis og umsækjanda,
  • fylgigögn umsóknar.

Ef sótt er um starfsleyfi er algengt að ráðuneytin óski eftir staðfestu ljósriti af prófskírteini þar sem fram kemur nafn, kennitala og prófgráða.

Í einhverjum tilvikum þarf umsækjandi að greiða leyfisgjald og er þá einnig unnið með persónu­upplýs­ing­arnar til þess að innheimta það.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Vinnsla persónuupplýsinga hjá ráðuneytum í tengslum við afgreiðslu umsókna um leyfi byggist á lagaskyldu samkvæmt ákvæðum sérlaga.

Það er sjaldgæft að unnið sé með viðkvæmar persónuupplýsingar í tengslum við umsóknir um leyfi en ef það er gert þá er það með samþykki viðkomandi eða vegna þess að ráðuneytin fara með opinbert vald og ber í einhverjum tilvikum lagaskylda til að afgreiða leyfisumsóknir.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Það fer eftir málaflokki hvernig persónuupplýsingum og gögnum er safnað og koma þrír möguleikar helst til greina: 1) að umsækjandi sendi ráðuneyti umsókn með bréfa- eða tölvupósti, 2) sendi inn umsókn í gegnum mínar síður á vef Stjórnarráðsins (https://minarsidur.stjr.is) eða 3) í gegnum þriðja aðila, nefnd eða stjórnvald, sem sér um umsýslu leyfa sem gefin eru út af ráðherra.

Hverjir vinna með persónuupplýsingarnar?

Þegar umsóknir eru sendar beint til ráðuneyta vinnur starfsfólk þeirra með þær og fylgigögn þeirra. Í einhverjum tilvikum sér þriðji aðili um umsýslu leyfa sem útgefin eru af ráðherra og er það þá gert á grundvelli tiltekinna heimilda í lögum.

Í einhverjum tilvikum sjá ráðuneytin um umsýslu nefnda sem annars eru sjálfstæðar um veitingu leyfa eða skila ráðherra tillögu. Í þeim tilvikum taka ráðuneytin á móti umsóknum og umsóknargögnum og senda nefndarmönnum. Í kjölfarið ákveða nefndarmenn hverjum eigi að veita leyfið eða leggja fram tillögu til ráðherra þess efnis. Í öðrum tilvikum sjá nefndirnar eða stjórnvöld um að taka á móti umsóknum og skila tillögum til ráðuneytis sem veitir leyfið eða veita leyfið sjálf.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Umsóknir og umsóknargögn sem berast ráðuneytum eru geymd í málaskrá undir ákveðnu málsnúmeri. Þar eru allar upplýsingar um málið. Sé umsókn og fylgigögn send í bréfapósti eru þau skönnuð og sett inn á málið og þau síðan geymd í skjalasafni ráðuneytisins.

Upplýsingum og gögnum málsins er ekki eytt og þeim er að endingu skilað til Þjóðskjalasafns Íslands til varðveislu. Sjá nánar um Þjóðskjalasafn Íslands á vefslóðinni https://skjalasafn.is/.

Í sumum tilfellum eru birtar upplýsingar um hverjir hafa hlotið leyfi á vef Stjórnarráðsins og kemur þá fram nafn og kennitala viðkomandi, hvaða leyfi var veitt og hvenær. Sjá dæmi: https://www.stjornarradid.is/verkefni/atvinnuvegir/starfsrettindi/.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Í ákveðnum tilvikum er hægt að kæra ákvarðanir ríkisstofnana til þess ráðuneytis sem fer með mála­flokk­inn. Þegar mál er kært eru persónuupplýsingar skráðar til að geta tekið kæruna til meðferðar, rannsakað hana, haft samband við kæranda og til að geta sinnt lögbundnu hlutverki ráðuneytisins. Ráðuneytin vinna með upplýsingar eins og:

  • nafn, kennitölu, netfang, síma, heimilisfang o.fl.,
  • fylgigögn,
  • samskipti ráðuneytis og kæranda,
  • samskipti ríkisstofnunar og umsækjanda,
  • efni kæru,
  • upplýsingar um aðra sem málið snertir,
  • umsögn ríkisstofnunar um kæru.

Í einhverjum tilvikum er unnið með fjárhagsupplýsingar einstaklinga og jafnvel persónuupplýsingar eins og kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða

heimspekilega sannfæringu eða þátttöku í stéttarfélagi, heilsufarsupplýsingar eða upplýsingar er varða kynlíf einstaklings eða kynhneigð.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Vinnsla persónuupplýsinga hjá ráðuneytum í tengslum við meðferð stjórnsýslukæra byggist á því að þau fara með opinbert vald eða lagaskyldu en í stjórnsýslulögum, nr. 37/1993, er kveðið á um rétt fólks til að kæra ákvarðanir ríkisstofnana undir ákveðnum kringumstæðum til ráðuneyta. Í íslenskri lögfræði hefur verið talið að ráðuneytum sé skylt að taka mál til meðferðar ef á annað borð er hægt að kæra þau til þeirra.

Þegar ráðuneytum berast viðkvæmar persónuupplýsingar í tengslum við meðferð stjórnsýslukæra byggist vinnsla þeirra á því að ráðuneytin fara með opinbert vald og bera lagaskyldu til að taka málin til meðferðar.

Hvernig og hvaðan er persónuupplýsinganna aflað eða þær fengnar?

Samskiptaupplýsingar koma frá einstaklingi og Þjóðskrá Íslands. Upplýsingar um mál koma frá einstaklingi og þeirri ríkisstofnun sem var áður með málið til meðferðar. Ráðuneytum er skylt samkvæmt stjórnsýslulögum að óska eftir umsögn ríkisstofnunarinnar sem tók ákvörðunina sem hefur verið kærð. Þá er upplýsingum einnig flett upp í tölvukerfum ráðuneytis ef þörf krefur til að leysa mál eða rannsaka.

Hverjir vinna með persónuupplýsingarnar?

Starfsfólk ráðuneytis vinnur með upplýsingarnar til að taka kæru til meðferðar. Stjórnsýslukæra og þau gögn sem henni fylgja eru síðan send þeirri ríkisstofnun sem tók ákvörðunina sem hefur verið kærð og vinnur því starfsfólk hennar einnig með upplýsingarnar. Ef aðrir eiga aðild að málinu fá þeir líka stjórnsýslukæruna og fylgigögn þar sem þeir eiga rétt samkvæmt stjórnsýslulögum að koma sínum sjónarmiðum og gögnum á framfæri í málinu.

Ráðuneytin virða óskir um nafnleynd eftir fremsta megni en oft er ekki hægt að verða við því.

Ef einstaklingur kemur fram fyrir hönd annars í máli þá óska ráðuneytin eftir upplýsingum um viðkomandi og ganga úr skugga um að honum sé heimilt að koma fram fyrir hönd annars.

Ef önnur ríkisstofnun á að sinna málinu er ráðuneytum skylt samkvæmt lögum að senda stjórnsýslukæruna og gögn sem henni fylgja þangað og starfsfólk stofnunarinnar afgreiðir hana.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Þegar stjórnsýslukæra berst ráðuneyti er stofnað mál í málaskrá undir ákveðnu málsnúmeri. Þar eru allar upplýsingar um málið. Sé kæra og fylgigögn send í bréfapósti eru þau skönnuð og sett inn á málið og þau síðan geymd í skjalasafni ráðuneytisins. Niðurstaða málsins er notuð síðar til að leysa önnur sams konar mál.

Í einhverjum tilvikum vinna ráðuneytin tölfræðiupplýsingar um stjórnsýslukærur, svo sem fjölda mála og málsmeðferðartíma. Þessar upplýsingar eru notaðar innan húss til að leggja mat á þjónustu ráðuneytanna og eru aldrei birtar undir nafni þótt upplýsingar sem ekki er hægt að rekja til fólks geti verið birtar í skýrslum.

Upplýsingum og gögnum er ekki eytt og þeim er að endingu skilað til Þjóðskjalasafns Íslands til varðveislu. Sjá nánar um Þjóðskjalasafn Íslands á vefslóðinni https://skjalasafn.is/.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Ráðuneytin eiga í ýmsum viðskiptum við einkaaðila og einstaklinga. Í því skyni vinna þau með ýmsar persónuupplýsingar, eins og:

  • nafn, kennitölu, heimilisfang, síma, netfang o.fl.,
  • nafn tengiliðar,
  • samskipti ráðuneytis og tengiliðar,
  • viðskiptasögu,
  • bankaupplýsingar.

Ráðuneytin vinna með þessar upplýsingar þegar þau gera samninga um kaup á ýmiss konar vöru og þjónustu, og þegar viðskiptin eru færð í bókhald ráðuneytanna.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Vinnsla persónuupplýsinga vegna viðskiptasamninga fer fram í ráðuneytum við samningaumleitanir og þegar fylgja þarf eftir þeim samningum sem hafa verið gerðir. Þá bera fyrirtæki og stofnanir lagaskyldu til að halda bókhald, sbr. lög um bókhald, nr. 145/1994. Þá fer vinnsla slíkra upplýsinga fram til að gæta lögmætra hagsmuna ráðuneytanna.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Persónuupplýsingar vegna samninga um kaup á vöru og þjónustu koma yfirleitt beint frá viðkomandi fyrirtæki, tengiliði þess eða einstaklingi. Ráðuneytin fá þó einnig upplýsingar beint úr fjárhagskerfi ríkisins og frá Þjóðskrá Íslands.

Hverjir vinna með persónuupplýsingarnar?

Starfsfólk ráðuneyta vinnur með upplýsingar vegna viðskipta þeirra og er þriðji aðili sjaldnast fenginn til að vinna með þær. Þegar kaup á vöru eða þjónustu eru útboðsskyld samkvæmt lögum um opinber innkaup, nr. 120/2016, annast Ríkiskaup innkaupin og vinnur ákveðnar persónuupplýsingar í tengslum við þau. Hægt er að nálgast persónuverndarstefnu Ríkiskaupa hér: https://www.rikiskaup.is/is/um-rikiskaup/reglur-og-gaedamal/medferd-personuupplysinga.

Upplýsingar um innkaup og viðskipti ráðuneytanna eru geymd í sameiginlegu fjárhagskerfi ríkisins sem er í umsjón Fjársýslu ríkisins. Nánari upplýsingar um fjárhagskerfi ríkisins má finna hér: https://www.fjs.is/um-fjarsysluna/upplysingakerfi-fjs/.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Eins og áður segir eru upplýsingar um innkaup og viðskipti ráðuneytanna, þar á meðal persónuupplýsingar, geymdar í fjárhagskerfi ríkisins sem er í umsjón Fjársýslu ríkisins. Varðveislutími bókhaldsupplýsinga tekur mið af ákvæðum laga um bókhald, nr. 145/1994.

Upplýsingar úr fjárhagskerfi ríkisins eru birtar á vefnum http://opnirreikningar.is/. Þar má finna upplýsingar um greidda reikninga ráðuneyta og stofnana úr bókhaldi ríkisins, eins og:

  • kaupanda vöru eða þjónustu,
  • dagsetningu greiðslu,
  • seljanda vöru eða þjónustu,
  • upphæð greiðslu.

Þá geta fjölmiðlar átt rétt á því að fá upplýsingar um innkaup ráðuneyta á grundvelli upplýsingalaga.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Þegar sótt er um starf hjá ráðuneyti þarf ákveðnar upplýsingar og gögn til að geta átt í samskiptum við umsækjendur og lagt mat á hæfni þeirra. Í þeim tilgangi er unnið með:

  • nafn, kennitölu, heimilisfang, síma, netfang o.fl.,
  • ferilskrá,
  • kynningarbréf,
  • prófskírteini,
  • meðmæli,
  • niðurstöður úr atvinnuviðtali, svo sem stigagjöf og minnispunkta,
  • hæfnismat.

Þá er leitað upplýsinga frá umsagnaraðilum eða meðmælendum um þá umsækjendur sem til greina kemur að ráða. Stundum eru próf eða raunhæf verkefni lögð fyrir umsækjendur og í fáein skipti, helst þegar verið er að ráða í störf embættismanna, eru umsækjendur beðnir um að taka persónuleikapróf.

Þeir umsækjendur sem fá störf hjá Stjórnarráðinu þurfa síðan að veita viðbótarupplýsingar svo að hægt sé að greiða þeim laun, eins og:

  • bankaupplýsingar,
  • greiðslur í lífeyrissjóði,
  • stéttarfélagsaðild.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Ráðuneytin vinna með persónuupplýsingar umsækjenda til þess að geta gert ráðningarsamning, komi til þess. Þegar unnið er með viðkvæmar persónuupplýsingar í tengslum við starfsumsóknir er það gert til að ráðuneytin geti uppfyllt skyldur sínar samkvæmt vinnulöggjöf og kjarasamningum, svo sem til að greiða í lífeyrissjóð og stéttarfélag.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Persónuupplýsingar og umsóknargögn koma stundum frá umsækjendum í gegnum vef Starfatorgs, https://www.stjornarradid.is/efst-a-baugi/laus-storf-a-starfatorgi/, en ráðuneytin taka líka við umsóknum í bréfapósti og tölvupósti. Ráðuneytin njóta stundum ráðgjafar og aðstoðar ráðningar­skrifstofa sem taka stundum, ekki alltaf, á móti umsóknum og umsóknargögnum, svo sem í gegnum eigin ráðningarvef.

Í einhverjum tilvikum er upplýsingum safnað með því að leggja próf fyrir umsækjendur eða raunhæf verkefni.

Þá er haft samband við umsagnaraðila og meðmælendur þeirra umsækjenda sem til greina kemur að ráða til að afla frekari upplýsinga.

Hverjir vinna með persónuupplýsingarnar?

Oftast vinnur starfsfólk ráðuneyta með umsóknir og umsóknargögn. Ýmsir aðrir vinna þó með gögnin fyrir hönd ráðuneytanna, sem dæmi ráðningarstofur.

Ef sótt er um starf á vef Starfatorgs eru umsóknirnar og umsóknargögnin send í gegnum vefinn. Umsóknin og gögnin eru þá geymd í mannauðskerfi ríkisins sem er í umsjón Fjársýslu ríkisins.

Ef sótt er um starf í gegnum ráðningarstofu tekur starfsfólk hennar á móti umsóknum og flokkar þær. Þá eru stofur stundum fengnar til að leggja próf og raunhæf verkefni fyrir umsækjendur. Það er mismunandi eftir ráðuneytum hvaða ráðningarstofa eða ráðgjafi er fenginn til aðstoðar.

Ef umsækjandi fær starf hjá Stjórnarráðinu eru upplýsingar um hann geymdar í mannauðskerfi ríkisins. Í kerfið eru skráðar upplýsingar sem notaðar eru til að greiða laun, eins og nafn, kennitala, heimilisfang, bankaupplýsingar, lífeyrissjóður, stéttarfélag, viðvera og laun.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Umsóknir og önnur umsóknargögn, prófúrlausnir og hæfnismat er geymt í málaskrá viðkomandi ráðuneytis undir ákveðnu málsnúmeri, skjalasafni og sameiginlegum aðgangsstýrðum vinnudrifum þeirra sem vinna við ráðningarmál. Í málaskrá eru allar upplýsingar um mál. Sé umsókn og fylgigögn send í bréfapósti eru þau skönnuð og sett inn á málið og þau síðan geymd í skjalasafni ráðuneytisins.

Upplýsingum og gögnum er ekki eytt og þeim er að endingu skilað til Þjóðskjalasafns Íslands til varðveislu. Sjá nánar um Þjóðskjalasafn Íslands á vefslóðinni https://skjalasafn.is/.

Hvaða persónuupplýsingar er unnið með og hvers vegna?

Á vegum ráðuneytanna starfa ýmsar nefndir, faghópar, starfshópar og ráð sem vinna að margs konar málum. Nánari upplýsingar um nefndir á vegum Stjórnarráðsins má finna hér: https://www.stjornarradid.is/raduneyti/nefndir/.

Auk þess sem nefndirnar vinna sumar með persónuupplýsingar vinna ráðuneytin með persónu­upplýs­ingar um þá sem eru í nefndunum, eins og:

  • nafn, kennitölu, heimilisfang, síma, netfang o.fl.,
  • nefndarsetu,
  • bankaupplýsingar,
  • þóknunareiningar.

Unnið er með þessar upplýsingar svo að hægt sé að skipa einstaklinga í nefndir og greiða þeim þóknun, séu störf þeirra launuð sérstaklega. Þær persónuupplýsingar sem nefndirnar vinna með eru oftast nær hluti af verkefnum og stjórnsýslu ráðuneytanna og því ekki fjallað um það hér. Sjálfstæðar nefndir eru ábyrgðaraðilar að þeirri vinnslu persónuupplýsinga sem fer fram hjá þeim.

Hvers vegna er Stjórnarráðinu heimilt að vinna með persónuupplýsingarnar?

Það getur verið mismunandi hvers vegna ráðuneytunum er heimilt að vinna með persónuupplýsingar í tengslum við skipun nefnda. Í einhverjum tilvikum er skipað í nefndir á grundvelli lagaskyldu og í öðrum tilvikum á grundvelli verkskipulagsvalds ráðherra og er það þá hluti af opinberu valdi ráðherra.

Hvernig er persónuupplýsinganna aflað eða þær fengnar?

Persónuupplýsingar og umsóknargögn koma oftast frá nefndarmönnum en þó einnig frá Þjóðskrá Íslands og mögulega úr fjárhags- eða mannauðskerfi ríkisins.

Hverjir vinna með persónuupplýsingarnar?

Starfsfólk ráðuneytanna vinnur með persónuupplýsingar vegna skipunar nefndarmanna og starfa þeirra og þeim er ekki miðlað til þriðja aðila, fyrir utan Fjársýslu ríkisins sem greiðir út þóknun að beiðni ráðuneytanna.

Hvað er gert við persónuupplýsingarnar og hversu lengi eru þær geymdar?

Upplýsingar um nefndir og nefndarmenn eru geymdar í málaskrá viðkomandi ráðuneytis undir ákveðnu málsnúmeri og í skjalasafni. Í málaskrá eru allar upplýsingar um mál. Séu gögn send í bréfapósti eru þau skönnuð og sett inn á málið og þau síðan geymd í skjalasafni ráðuneytisins.

Upplýsingum og gögnum er ekki eytt og þeim er að endingu skilað til Þjóðskjalasafns Íslands til varðveislu. Sjá nánar um Þjóðskjalasafn Íslands á vefslóðinni https://skjalasafn.is/.

Þá eru upplýsingar sem tengjast greiðslu þóknunar til nefndarmanna geymdar í mannauðskerfi ríkisins sem er í umsjón Fjársýslu ríkisins.

Upplýsingar um nefndir og hverjir sitja í þeim eru birtar á vef Stjórnarráðsins, sbr. https://www.stjornarradid.is/raduneyti/nefndir/.

Hugtakalisti

Persónuupplýsingar: 
Upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“); einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.

Viðkvæmar persónuupplýsingar:

  1. Upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífsskoðun eða aðild að stéttarfélagi.
  2. Heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun.
  3. Upplýsingar um kynlíf manna og kynhneigð.
  4. Erfðafræðilegar upplýsingar, þ.e. persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heilbrigði einstaklingsins og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi.
  5. Lífkennaupplýsingar, þ.e. persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem andlitsmyndir eða gögn um fingraför, enda sé unnið með upplýsingarnar í því skyni að persónugreina einstakling með einkvæmum hætti.

Vinnsla: 
Aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.

Ábyrgðaraðili: 
Einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga.

Vinnsluaðili: 
Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila.

 

Heimildir til að vinna með almennar persónuupplýsingar:

Samþykki: hinn skráði hafi gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða.

Samningur: vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.

Lagaskylda: vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila;

Brýnir hagsmunir: vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.

Almannahagsmunir eða opinbert vald: vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.

Lögmætir hagsmunir: vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn.

 

Heimildir til að vinna með viðkvæmar persónuupplýsingar:

Samþykki: hinn skráði hafi veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða.

Vinnulöggjöf, kjarasamningar og almannatryggingar: vinnslan sé nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.

Brýnir hagsmunir: vinnslan sé nauðsynleg til að verja brýna hagsmuni hins skráða eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt.

Lögmæt starfsemi: vinnslan fari fram sem liður í lögmætri starfsemi stofnunar, samtaka eða annars aðila sem starfar ekki í hagnaðarskyni og hefur stjórnmálaleg, heimspekileg, trúarleg eða stéttarfélagsleg markmið, enda nái vinnslan einungis til meðlima eða fyrrum meðlima viðkomandi aðila eða einstaklinga sem eru í reglulegu sambandi við hann í tengslum við tilgang hans, persónuupplýsingar séu ekki fengnar þriðja aðila í hendur án samþykkis hins skráða og gerðar séu viðeigandi verndarráðstafanir.

Einstaklingur gert opinberar: vinnslan taki einungis til upplýsinga sem hinn skráði hefur augljóslega sjálfur gert opinberar.

Réttarkrafa: vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.

Almannahagsmunir eða lagaheimild: vinnslan sé nauðsynleg, af ástæðum sem varða verulega almannahagsmuni, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.

Heilbrigðisástæður: vinnslan sé nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu.

Lýðheilsa: vinnslan sé nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.

Tölfræði-, sagnfræði- eða vísindarannsóknir: vinnslan sé nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lög þessi og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.

Skjalavistun: vinnslan sé nauðsynleg vegna skjalavistunar í þágu almannahagsmuna og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, einkum þagnarskyldu.

Skjal: Hvers konar gögn, jafnt rituð sem í öðru formi, er hafa að geyma upplýsingar og hafa orðið til, borist eða verið viðhaldið við starfsemi á vegum stofnunar eða einstaklings. 

 

Var efnið hjálplegt?
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Yfirlit

Hafa samband

Ábending / fyrirspurn
Ruslvörn
Vinsamlegast svaraðu í tölustöfum