Greina­gerð um vinnslu Veitna á persónu­vernda­upp­lýs­ingum

Á milli Veitna og viðskiptavina er samningssamband um veitingu á vöru og eða þjónustu.

Greinargerð um vinnslu Veitna á persónuupplýsingum

1. Almennt

Veitur ohf. er dótturfélag Orkuveitu Reykjavíkur (OR) og rekur dreifiveitu rafmagns, hitaveitu, vatnsveitu og fráveitu. Orkuveita Reykjavíkur og dótturfélög hennar starfa skv. lögum nr. 136/2013 um Orkuveitu Reykjavíkur. Fyrirtækin stunda vinnslu, framleiðslu og sölu raforku og heits og kalds vatns og gufu og rekstur grunnkerfa, svo sem dreifiveitu rafmagns, hitaveitu, vatnsveitu, fráveitu og gagnaveitu, auk annarrar starfsemi sem hefur sambærilega stöðu. Þessa vöru og þjónustu selur OR viðskiptavinum gegn greiðslu.

Á milli Veitna og viðskiptavina er samningssamband um veitingu á vöru og eða þjónustu. Svo unnt sé að veita og afhenda hana þarf fyrirtækið að afla, skrá, vista og vinna persónuupplýsingar um viðskiptavini þannig að Veitur geti uppfyllt skyldur sínar gagnvart viðkomandi viðskiptavini. Ekki er um vinnslu viðkvæmra persónu­upp­lýsinga að ræða.

Gagnvart viðskiptavini ábyrgjast Veitur að öll vinnsla persónuupplýsinga af hálfu fyrirtækisins samræmist persónuverndarstefnu fyrirtækisins, lögum um persónuvernd og vinnslu persónuupplýsinga og reglum sem settar eru samkvæmt þeim.Í skjali þessu sem sett er til fyllingar stefnunni er að finna upplýsingar og fræðslu um þau atriði sem Veitum ber að veita vegna öflunar og vinnslu persónuupplýsinga um viðskiptavini.

2. Tilgangur vinnslu persónuupplýsinga um viðskiptavini

Veitur safna og vinna tilgreindar persónuupplýsingar um viðskiptavini í þeim tilgangi að geta veitt honum þá vöru og þá þjónustu sem samið er um að fyrirtækið veiti og innheimtir fyrir þá þjónustu áskilið endurgjald. Einnig svo unnt sé að tryggja ætíð bæði bestu mögulegu gæði vöru og þjónustu.

Einnig kann að vera unnið með persónuupplýsingar í þeim tilgangi að greina markaðsleg tækifæri með það fyrir augum að bjóða viðbótar þjónustu eða nýja þjónustu.

Tilgangur með vinnslu persónuupplýsinga getur einnig verið annar en greint er frá hér að framan. Til dæmis halda Veitur úti rafrænni vöktun þar sem tilgangurinn er sértækur hverju sinni en slík vinnsla fer einkum fram til að tryggja öryggi starfsfólks, gæði þjónustuog í öryggis- og eignavörsluskyni: Myndavélaeftirlit í og við mannvirki Veitna, símavöktun í þjónustuveri, ökuritar í bifreiðumog með talstöðvum á Tetra samskiptakerfinu. Um rafræna vöktun gilda reglur persónuverndar um rafræna vöktun og leiðbeiningarskjöl í rekstrarhandbók Veitna, en þar er fjallað m.a. um tilgang vöktunar hverju sinni, hverjir sæti henni, hvar og hvenær henni er beitt, hverjar skyldur fyrirtækisins eru í þeim efnum og hver réttindi starfsfólks eru.

Veitur ábyrgjast að persónuupplýsingar um viðskiptavini verði ekki notaðar í öðrum tilgangi en þeim sem afmarkaður er hér að framan nema með fullri vitneskju og eða samþykki við­skipta­vinar.

3. Á hvaða heimild byggir vinnsla persónuupplýsinga um viðskiptavini

Vinnsla persónuupplýsinga um viðskiptavini er einkum nauðsynleg vegna framkvæmdar á samningi milli Veitna og viðkomandi einstaklings um veitingu fyrirtækisins á vöru og eða þjónustu.Að auki kann einhver vinnsla að byggjast á lögum, t.a.m. lögum um opinber skjalasöfn nr. 77/2014, lögum um bókhald nr. 145/1994 og lögum um ársreikninga nr. 3/2006.

Þar sem samþykki er grundvöllur vinnslu persónuupplýsinga um viðskiptavini, gilda um það sérstakir skilmálar sem viðskiptavinur hefur undirgengist þegar hann veitti samþykkið. Slíkum skilmálum verður ekki breytt nema að fengnu samþykki viðskiptavinar.

4. Tegund persónuupplýsinga sem unnið er með

Veitur safna og vinna einkum úr eftirfarandi upplýsingum um viðskiptavini:

  1. Nafn
  2. Kennitala
  3. Heimilisfang
  4. Símanúmer
  5. Netfang
  6. Bankareikninga
  7. Greiðslukortaupplýsingar sem eru dulkóðaðar í sólarhring og svo eytt
  8. Notkunarsaga – álestrar/reikningar
  9. Bilanasaga -rekstrartruflanir
  10. Vanskilaupplýsingar
  11. Samskiptaupplýsingar
  12. Umsóknir um þjónustu/vöru (t.d. heimlagnir, afsal á vatns- og fráveitulögnum o.s.frv.) 
  13. Hljóðritanir símtala í þjónustuver
  14. Gæslumyndavélar á almennum svæðum í og við starfsstöðvar

Þegar viðskiptavinur á í samskiptum við Veitur á samfélagsmiðlum, t.d. skilar þar álestri eða öðrum upplýsingum, gilda reglur viðkomandi miðils um vernd og vistun persónuupplýsinga. Þar sem við á færir fyrirtækið viðkomandi samskipti / upplýsingar yfir í sín kerfi og fer þar um vernd og vistun þeirra skv. persónuverndarstefnu þess og reglum settum til innleiðingar á henni.

5. Vafrakökur

Veitur safnar upplýsingum með notkun á vafrakökum. Vafrakökur eru litlar textaskrár sem geymdar eru á vafra notenda. Við notum vafrakökur á vefsíðu okkar til að auðkenna notendur. Notkun á vafrakökum gerir okkur því kleift að veita notendum betri upplifun og stuðla að frekari þróun vefsíðunnar.

Veitur styðst við ýmsar tegundir vafrakakna á vefsíðu sinni, en þær er í fyrsta lagi nauðsynlegar vafrakökur sem tryggja rétta virkni vefsíðunnar. Í öðru og þriðja lagi tölfræði- og stillingavafrakökur sem safna nafnlausum tölfræðiupplýsingum og muna stillingar notenda á vefsíðunni og í fjórða lagi vafrakökur sem notaðar eru í markaðslegum tilgangi, en þær safna upplýsingum um virkni notenda í þeim tilgangi að sníða auglýsingar og annað efni að hverjum notanda.

Fyrir nánari upplýsingar um vinnslu persónuupplýsinga hjá Veitum með vafrakökum vísast til fræðslu um vafrakökur á vefsíðu fyrirtækisins.

6. Viðtakendur persónuupplýsinga um viðskiptavini

Upplýsingar um viðskiptavini eru vistaðar hjá Veitum eða á vegum fyrirtækisins á Íslandi eða hjá samstarfsaðila innan EES-svæðisins þar sem reglur um meðferð persónuupplýsinga eru þær sömu og á Íslandi. Persónuupplýsingar verða ekki afhentar þriðja aðila nema á grundvelli laga­heim­ildar, stjórnvaldsfyrirmæla, dómsúrskurðar, vinnslusamnings eða samþykkis við­skipta­vinar.

7. Varðveislutími - Hversu lengi persónuupplýsingar um viðskiptavini eru varðveittar

Veitur vista persónuupplýsingar um viðskiptavini í þann tíma sem lög gera ráð fyrir og nauðsynlegt er m.v. tilgang vinnslunnar. Þar sem OR er í eigu opinberra aðila lýtur fyrirtækið lögum um opinber skjalasöfn og ber því varðveislu- og skilaskyldu samkvæmt þeim. Eru fyrirtækinu því ákveðnar hömlur settar hvað eyðingu gagna varðar. Þeim gögnum sem heimild stendur til að eytt verði skv. sérstöku leyfi Borgarskjalasafns verður eytt í samræmi við veitta heimild hverju sinni.

8. Réttur viðskiptavinar til andmæla, til aðgangs, leiðréttingar og eyðingar/takmörkunar vinnslu

Viðskiptavinur hefur rétt til að andmæla söfnun Veitna á persónuupplýsingum telji hann að hún samræmist ekki tilgangi hennar, meðalhófs sé ekki gætt eða ef hann telur að ná megi sama tilgangi með vægari hætti.

Viðskiptavinur getur óskað eftir því að fá upplýsingar um þá vinnslu sem á sér stað hjá Veitum um hann enda standi hagsmunir annarra ekki í vegi fyrir því. Beiðniþar um skal afgreidd eins fljótt og auðið er og ekki síðar en innan mánaðar frá móttöku beiðni viðskiptavinar þar um.

Viðskiptavinur kann að eiga rétt á að krefjast þess að röngum, villandi eða ófullkomnum persónu­upplýsingum um sig verði leiðréttar og eða þeim eytt.

9. Réttur viðskiptavinar til að leggja fram kvörtun og athugasemdir

Vilji viðskiptavinur koma andmælum, kvörtun eða athugasemdum á framfæri vegna vinnslu persónuupplýsinga skal henni beint að fyrirtækinu. Sé ekki brugðist við af hálfu viðkomandi einingar getur viðskiptavinur leitað til persónuverndarfulltrúa samstæðu OR, personuverndarfulltrui@or.is (sjá nánar hér að neðan).

Viðskiptavini er einnig heimilt að bera vinnslu persónuupplýsinga undir Persónuvernd (www.personuvernd.is)

10. Nákvæmni og áreiðanleiki upplýsinga

Veitur bera ábyrgð á áreiðanleika upplýsinga og að upplýsingar um viðskiptavin séu ávallt upp­færðar í samræmi við tilkynningar hans um breytingar og að teknu tilliti til tilgangs vinnslunnar.

Viðskiptavinur ber ábyrgð á að upplýsa Veitur um breytingar sem gera þarf á upplýsingum um hann.

11. Öryggi persónuupplýsinga um viðskiptavini

Veitur tryggja öryggi persónuupplýsinga með tæknilegum og skipulagslegum ráðstöfunum. Um þær ráðstafanir er fjallað nánar í upplýsingaöryggisstefnu Veitna og viðeigandi leið­beininga­skjölum í rekstrarhandbók fyrirtækisins.

Aðgangur að persónuupplýsingum um viðskiptavini er takmarkaður við það starfsfólk, sem nauðsynlega þarf slíkan aðgang til að ná fram tilgangi vinnslunnar. Starfsfólk er upplýst og meðvitað um skyldu þeirra til að viðhalda trúnaði og öryggi persónuupplýsinga sem þeir hafa aðgang að. Trúnaður og þagnarskylda þeirra gildir áfram þótt látið sé af störfum.

--------------------------------------------------------------------------------------------------------------------------------------------------

Að öðru leyti en kveðið er á um hér að framan fer um meðferð persónuupplýsinga um starfsfólk skv. lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, og ráðstöfunum sem innleiddar eru af hálfu Veitna á grundvelli þeirra.   

Persónuverndarfulltrúi OR er Hörður Helgi Helgason, lögmaður á Landslögum, Borgartúni 26, 105 Reykjavík. Sími 520-2900, personuverndarfulltrui@or.is.

Hvernig getum við aðstoðað þig?