Persónuverndarstefna
Fulltingi hefur ávallt haft gildin traust, fagmennsku og árangur að leiðarljósi í rekstri sínum. Því leggur fyrirtækið ríka áherslu á að persónuupplýsingar séu meðhöndlaðar á ábyrgan og öruggan hátt þannig að réttindi viðskiptamanna þess séu tryggð eins og best verður á kosið. Í þessari stefnu eru veittar upplýsingar um hvaða gagna er aflað undir rekstri slysamála, í hvaða tilgangi, hvernig gögnin eru notuð, hvernig þeim er deilt, hversu lengi þau eru varðveitt og hvernig öryggi þeirra er gætt innan fyrirtækisins og við vistun gagna
Ný löggjöf um persónuvernd og vinnslu persónuupplýsinga (GDPR) kom til framkvæmda á evrópska efnahagssvæðinu 25. maí 2018. Mikilvægt skref var tekið með þeirri reglugerð í að skerpa á lögum og reglum sem snúa að meðferð persónuupplýsinga. Með lögum Alþingis nr. 90/2018 voru ákvæði reglugerðarinnar sett í lög á Íslandi og tóku þau gildi 15. júlí 2018. Fulltingi tryggir að farið sé með persónuupplýsingar viðskiptamanna og annarra hagsmunaaðila af trúnaði og í samræmi við ákvæði laga um persónuvernd á hverjum tíma.
Með hugtakinu persónuupplýsingar er átt við upplýsingar sem hægt er að rekja til ákveðins einstaklings, annað hvort með hjálp auðkennis eins og nafni, kennitölu, heimilisfangs, símanúmers, netfangs o.þ.h. eða með því að safna ópersónugreinanlegum upplýsingum um einstakling.
I. Hvaða persónuupplýsingar vinnur Fulltingi og í hvaða tilgangi?
Í upphafi slysamáls veitir einstaklingur Fulltingi umboð til að gæta hagsmuna sinna gagnvart trygginga-félagi, Sjúkratryggingum Íslands, opinberum stofnunum og/eða öðrum aðilum. Með umboðinu veitir einstaklingur enn fremur heimild til þess að Fulltingi afli þeirra gagna sem nauðsynlegt er til þess að geta sinnt hagsmunagæslu og þessi gögn innihalda oftar en ekki persónuupplýsingar eða viðkvæmar persónuupplýsingar. Í umboðinu kemur skýrt fram í hvaða tilgangi gagnaöflunin sé og dæmi tekin um þau gögn sem þarf að afla. Það geta verið læknisvottorð og sjúkraskrár, lögregluskýrslur, gögn frá Vinnueftirliti ríkisins, upplýsingar um fyrri heilsufarssögu, gögn frá skattayfirvöldum og öðrum meðferðaraðilum svo eitthvað sé nefnt.
Fulltingi leitast við að safna ekki umfangsmeiri persónuupplýsingum en þörf er á til að ná fram tilganginum með vinnslu þeirra og notast t.d. við þá vinnureglu að upplýsa viðskiptamenn sína sérstaklega ef málið krefst þess að sérstaklega viðkvæmra persónuupplýsinga sé aflað, t.d. afrit af heildarsjúkraskrá.
Fulltingi er ábyrgðaraðili að vinnslu þeirra persónuupplýsinga sem fram fer af hálfu fyrirtækisins til þess að gæta hagsmuna viðskiptamanna sinna. Vinnsla persónuupplýsinga byggir á 1. og 2. tölul. og eftir atvikum á 5. og 6. tölul. 9. gr. persónuverndarlaga nr. 90/2018. Heimild til vinnslu viðkvæmra persónuupplýsinga byggir á 1. og eftir atvikum á 5. og 6. tölul. 1. mgr. 11. gr. laganna. Þá getur vinnslan byggst á ákvæði 3. mgr. 12. gr. sömu laga í einhverjum tilvikum.
II. Hvernig notar Fulltingi gögn og hvernig er þeim deilt og þau geymd?
Fulltingi nýtir upplýsingar til að veita viðkomandi aðila þjónustu vegna þess máls sem umboðið nær til. Upplýsingum getur verið deilt með aðilum sem málið varðar m.a. tryggingafélögum, meðferðaraðilum, matsmönnum, sveitafélögum, stéttarfélögum, ríkislögmanni, dómstólum og úrskurðarnefndum. Fulltingi kappkostar við að takmarka deilingu gagna eins og unnt er og ganga ekki lengra en þörf er á við vinnslu hvers máls.
Persónuupplýsingar eru ekki varðveittar lengur en þörf er á samkvæmt fyrirmælum í lögum eða vegna skjalavistunar sem er samrýmanleg þeim tilgangi. Fulltingi veitir þjónustu á sviði lögfræði og þarf að taka mið af gildandi fyrningarlögum sem eiga við um hvert mál fyrir sig og eru gögn geymd í samræmi við þau lög og ekki lengur en nauðsyn ber til.
Gætt er trúnaðar um persónuupplýsingar og stuðlað að öryggi þeirra með tæknilegum ráðstöfunum sem eru viðeigandi með hliðsjón af nýjustu tækni, umfangi og tilgangi vinnslunnar.
III. Réttindi viðskiptamanna/einstaklinga samkvæmt persónuverndarlöggjöf
Samkvæmt nýju persónuverndarlögunum er einstaklingum tryggður sérstakur réttur sem nær til persónuupplýsinga sem varða þá og allir viðskiptamenn Fulltingis hafa þannig rétt til að:
- Fá aðgang að gögnum sem varða þá
- Flytja persónuupplýsingar til annars ábyrgðaraðila
- Persónuupplýsingar séu leiðréttar eða þeim eytt
- Óska eftir takmörkun á vinnslu persónuupplýsinga og andmæla vinnslu
IV. Öryggi og vinnsluaðilar
Fulltingi hefur gert viðeigandi ráðstafanir til þess að tryggja öryggi þeirra gagna sem unnið er með hverju sinni. Allar gagnasendingar er varða viðkvæmar persónuupplýsingar fara fram með dulkóðun skjala og/eða í gegnum örugga gagnagátt.
Tölvukerfi Fulltingis er hýst hjá ytri þjónustuaðilum og vinnsla gagna er m.a. í samræmi við upplýsingaöryggisstaðal ÍST/ISO 27001.
Komi upp öryggisbrestur við meðferð persónuupplýsinga þar sem staðfest er eða grunur leikur á um að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Persónuvernd og eftir atvikum einstaklingum tilkynnt um öryggisbrest nema hann hafi ekki í för með sér mikla áhættu fyrir einstaklinga.
V. Persónuverndarfulltrúi
Fulltingi hefur skipað Hildi Helgu Kristinsdóttur hdl., sem persónuverndarfulltrúa. Öllum fyrirspurnum og ábendingum skal beint á netfangið personuvernd@ fulltingi.is