Persónuverndarstefna.
Yfirlit yfir söfnun, vinnslu og varðveislu persónuupplýsinga — í samræmi við almennu persónuverndarreglugerðina (GDPR) og lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
1. Gildissvið og ábyrgð
Hagsmunasamtök Æskunnar, kt. 600426-0600 (HÆ), eru félag til almannaheilla. Þessi stefna lýsir meðferð persónuupplýsinga á vegum samtakanna samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679 (GDPR).
Stefnan tekur til allra samskipta við HÆ, hvort sem þau fara fram á vefsvæðinu, í tölvupósti, símleiðis eða í eigin persónu.
- Ábyrgðaraðili: Hagsmunasamtök Æskunnar, kt. 600426-0600
- Tengiliður vegna persónuverndar: personuvernd@
hagsmunasamtokaeskunnar.is
Framkvæmdastjóri fer með yfirumsjón persónuverndarmála fyrir hönd samtakanna.
2. Söfnun persónuupplýsinga
2.1 Við skráningu á vefsvæði
HÆ heldur úti nokkrum tegundum skráninga, þ.m.t. fyrir sjálfboðaliða, fagráð, styrktaraðila, fjáröflunarteymi, fjárhagslega styrki og fréttabréf.
Við allar skráningar er safnað:
- Nafni og netfangi
- Samþykki fyrir persónuverndarstefnunni
Aðrar upplýsingar geta verið skráðar eftir eðli erindis:
- Símanúmer, staðsetning, áhugasvið og áætlað framlag (sjálfboðaliðar)
- Faggrein og vinnustaður (fagráð)
- Nafn fyrirtækis og upplýsingar um tengilið (styrktaraðilar)
- Kennitala (eingöngu í tengslum við fjárstyrki og þegar lagaskylda mælir fyrir um það)
Tekið er fram að margir reitanna eru valfrjálsir og miðlun þeirra upplýsinga byggir á ákvörðun hvers og eins.
Tvöföld staðfesting (Double opt-in): Við nýskráningu er sjálfvirkur staðfestingarpóstur sendur á uppgefið netfang. Skráning tekur ekki gildi fyrr en staðfestingarhlekkur hefur verið virkjaður. Gildistími hlekksins er 48 klukkustundir; sé hann ekki nýttur innan þess tíma, er upplýsingum eytt sjálfkrafa og engin gögn varðveitt. Þetta ferli er viðhaft til að koma í veg fyrir óheimilar skráningar.
2.2 Við móttöku erinda
Þegar erindi berast í tölvupósti eru samskiptin og netfang sendanda varðveitt til að tryggja fullnægjandi úrvinnslu og eftirfylgni.
2.3 Heimsóknir á vefsvæði
Vefsvæði samtakanna notar einungis tæknilega nauðsynlegar vafrakökur (cookies). Ekki fer fram söfnun persónuupplýsinga um gesti í gegnum greiningartól eða auglýsingakökur.
2.4 Fagráðsbirting
Þegar skráning fer fram í fagráð HÆ er boðið upp á val um hvort viðkomandi samþykki opinbera birtingu nafns, faggreinar og (valfrjálst) vinnustaðar á fagráðssíðu vefsins. Samþykki fyrir opinberri birtingu er valfrjálst — óháð því geta fagráðsmeðlimir tekið fullan þátt í starfi ráðsins án opinberrar nafngreiningar.
Samþykki fyrir opinberri birtingu má afturkalla hvenær sem er með því að senda línu á
personuvernd@
2.5 Tenging við önnur félög
Í skráningarformum samtakanna er valfrjáls reitur, „Samstarf við önnur félög“, þar sem einstaklingar og fyrirtæki geta gefið til kynna að þau séu opin fyrir því að HÆ bendi þeim á tækifæri eða tengi þau við önnur félög sem starfa í þágu barna. Reiturinn er valfrjáls og hefur engin áhrif á skráninguna að öðru leyti.
Slík opnun er eingöngu skráð sem merking í skráningu viðkomandi og felur ekki í sér sjálfvirka miðlun gagna. Engar persónuupplýsingar eru sendar til annarra félaga á grundvelli hennar. Uppgefin áhugasvið (málaflokkar) eru aðeins notuð til að meta hvar tækifæri eiga best við. Komi upp viðeigandi tækifæri höfum við samband, og miðlun til annars félags fer aðeins fram með sérstöku, upplýstu samþykki hverju sinni.
Þessa opnun má afturkalla hvenær sem er með því að senda línu á
personuvernd@
3. Tilgangur vinnslu og lagagrundvöllur
HÆ vinnur persónuupplýsingar í eftirfarandi tilgangi:
- Til að hafa samskipti við skráða einstaklinga vegna verkefna, samstarfs eða fyrirspurna.
- Til að gefa út kvittanir og halda bókhald í samræmi við lög.
- Til að dreifa fréttabréfi til þeirra sem hafa óskað eftir slíku.
- Til að afgreiða og svara persónuverndarbeiðnum.
Vinnslan byggir á eftirfarandi lagagrundvelli:
- Samþykki — Vegna skráninga, áskrifta að fréttabréfi og fyrirspurna.
- Lagaskylda — Vegna bókhalds, útgáfu kvittana og afgreiðslu persónuverndarbeiðna.
- Lögmætir hagsmunir — Vegna hefðbundinna samskipta við styrktaraðila.
4. Varðveislutími gagna
| Tegund gagna | Varðveislutími |
|---|---|
| Skráningar (sjálfboðaliðar, fagráð, fjáröflun, styrktaraðilar) | Allt að 5 ár frá síðustu samskiptum |
| Bókhaldsgögn og kvittanir | 7 ár (skv. lögum um bókhald nr. 145/1994) |
| Áskrift að fréttabréfi | Þar til áskrift er afturkölluð |
| Almennar fyrirspurnir í tölvupósti | Allt að 2 ár |
| Persónuverndarbeiðnir | 3 ár |
Að liðnum varðveislutíma er gögnum eytt eða þau gerð ópersónugreinanleg með öruggum hætti.
5. Aðgangur og miðlun gagna
5.1 Innan samtakanna
- Framkvæmdastjóri hefur fullan aðgang að þeim persónuupplýsingum sem samtökin vinna.
- Verkefnastjórar fá afmarkaðan aðgang að upplýsingum sem eru nauðsynlegar fyrir viðkomandi verkefni.
- Stjórn HÆ hefur eingöngu aðgang að yfirlitum og ópersónugreinanlegum upplýsingum, nema lög eða samningar krefjist annars (t.d. við samþykkt stærri samninga eða mat á hagsmunaárekstrum).
5.2 Vinnsluaðilar
HÆ nýtir þjónustu utanaðkomandi aðila við hýsingu vefsvæðis, dreifingu tölvupósts og færslu bókhalds. Allir slíkir aðilar eru bundnir vinnslusamningum sem tryggja samræmi við GDPR og gagnaflutning í samræmi við EU-US Data Privacy Framework eða staðlaða samningsskilmála (SCCs) samþykkta af framkvæmdastjórn Evrópusambandsins.
| Vinnsluaðili | Hlutverk | Staðsetning gagna |
|---|---|---|
| Netlify, Inc. | Vefhýsing, móttaka forma, staðfestingarauðkenni (Netlify Blobs) | Bandaríkin (SCCs) |
| Resend, Inc. | Útsending staðfestinga- og tilkynningarpósta | Bandaríkin (SCCs) |
| Google Ireland Ltd. | Netfangakerfi samtakanna (Google Workspace) | Írland (EES) |
| ISNIC | Skráning léns og DNS-umsýsla | Ísland (EES) |
| Plausible Analytics | Ópersónugreinanleg greining á vefnotkun | Evrópusambandið (EES) |
| Íslenskt bókhaldskerfi | Bókhald og ársreikningsskil | Ísland (EES) |
Staðfestingarauðkenni (e. tokens) í Netlify Blobs eru varðveitt í allt að 48 klukkustundir og eyðast sjálfkrafa fari staðfesting ekki fram, sbr. kafla 2.1.
Skrá yfir vinnsluaðila er uppfærð eftir þörfum. Fyrirspurnum um vinnsluaðila skal beint
til personuvernd@
5.3 Opinberir aðilar
HÆ miðlar gögnum til opinberra aðila þegar lagaskylda býður, svo sem til Skattsins vegna kvittana eða til endurskoðenda vegna frágangs ársreikninga.
5.4 Önnur miðlun
HÆ selur ekki persónuupplýsingar undir neinum kringumstæðum og deilir þeim ekki með þriðja aðila í markaðslegum tilgangi.
6. Öryggisráðstafanir
Samtökin beita viðurkenndum tæknilegum og skipulagslegum öryggisráðstöfunum, þ.m.t.:
- Tveggja þrepa auðkenningu á öllum kerfum sem hýsa persónuupplýsingar.
- Dulkóðun gagna við flutning (HTTPS) og í geymslu.
- Aðgangsstýringum sem takmarka aðgang að gögnum við þá aðila sem raunverulega þurfa á honum að halda.
- Reglubundnu mati á aðgangsheimildum.
Komi upp öryggisbrot er Persónuvernd gert viðvart innan 72 klukkustunda og viðkomandi einstaklingum tilkynnt um brotið ef það er talið geta haft áhrif á réttindi þeirra.
7. Réttindi skráðra einstaklinga
Skráðir einstaklingar eiga rétt á að:
- Krefjast aðgangs að þeim persónuupplýsingum sem HÆ vinnur um þá.
- Krefjast leiðréttingar á röngum eða ófullkomnum upplýsingum.
- Fara fram á eyðingu gagna (nema lagaskylda krefjist áframhaldandi varðveislu).
- Krefjast takmörkunar á vinnslu við tilteknar aðstæður.
- Fá gögn sín afhent á tölvulesanlegu formi.
- Afturkalla samþykki fyrir vinnslu.
- Andmæla vinnslu sem byggir á lögmætum hagsmunum samtakanna.
Hægt er að neyta þessara réttinda með eftirfarandi leiðum:
- Móttökuformi: hagsmunasamtokaeskunnar.is/personuverndarbeidni
- Tölvupósti: personuvernd@
hagsmunasamtokaeskunnar.is
Erindum er svarað eigi síðar en innan 30 daga, án endurgjalds.
Málskot: Einstaklingar sem telja brotið á réttindum sínum geta beint kvörtun til
Persónuverndar (personuvernd.is,
postur@
8. Upplýsingar um börn og ungmenni
Þjónusta á vefsvæði samtakanna er ætluð sjálfráða einstaklingum. HÆ safnar ekki vísvitandi persónuupplýsingum um einstaklinga undir 18 ára aldri í gegnum vefsvæðið. Berist slíkar upplýsingar verður þeim eytt tafarlaust.
9. Uppljóstrunarferli
Samtökin halda úti aðskildu tilkynningakerfi fyrir aðila sem vilja koma á framfæri upplýsingum er varða málefni barna og ungmenna. Ferlið fylgir sérstökum trúnaðarreglum sem nánar er kveðið á um í viðeigandi verklagsreglum.
10. Breytingar á stefnunni
HÆ áskilur sér rétt til að uppfæra persónuverndarstefnu þessa. Verulegar breytingar eru kynntar á vefsvæðinu og tilkynntar skráðum einstaklingum ef þær hafa bein áhrif á réttindi þeirra.